多くの企業にとって無線 LAN は、長所と短所の両方を備えた諸刃の剣です。無線 LAN は、一方では比類ない利便性をもたらし、ネットワーク利用者は、電波の届く範囲であれば社内のどこででも仕事ができるようになります。また一方では、新たなセキュリティ上の脅威となり、ネットワークに甚大な被害を及ぼす可能性があります。無線 LAN は、従来の有線ネットワークには存在しなかったさまざまな問題をもたらすのです。 多くの ネットワーク管理者 はすでに、ネットワークのセキュリティを守るため、無線によるネットワーク・アクセスを禁止し、「No WiFi」ポリシーを導入することでこの問題に対処しています。しかしながら、異なるものの見方と充分な情報を得たうえでの調査、そしてエンドポイントを保護する手段があれば、無線 LAN は、安全性を確保した上で導入することが可能になります。
考え方を変える必要性
テレビ・ドラマの『Xファイル』では、「誰も信じるな」という言葉がキーワードになっていました。この考え方は、無線セキュリティにも当てはまるかもしれません。しかし、賢明なネットワーク管理者たるものは、無線技術を「安全でない」といって恐れるのではなく、無線技術が本質的に安全でないことを受け入れたうえで、それに応じた対策を講じなければなりません。これはつまり、インターネットなどの信頼できない外部ネットワークからのトラフィックにセキュリティを適用するのと同じように、無線ネットワークにもセキュリティを適用するということです。例えば、無線と有線のトラフィックを切り分け、無線ネットワークとコア・ネットワークとの間にファイアウォールを導入することで、脅威の侵入を防止できます。このアプローチでは、DMZ(インターネットなどの公開ネットワークにより近い場所に置かれるサブネットワーク)により隔離するのと同じような形で、無線ネットワークに対する防御ラインを設定することができます。これにより、トラフィックをその種類に応じて検査することが可能になります。
人間に対する差別的な隔離は、大きな間違いであることが歴史によって証明されています。しかしネットワークに関しては、隔離ほどセキュリティを確保できる手段はありません。隔離型のアーキテクチャには、2つのメリットがあります。1つは、既存のファイアウォールを使用して、統合された認証を行える可能性があることです。この場合無線ユーザは、他の保護されていないリモート・ユーザと全く同じプロセスで認証を受けることになります。もう 1つのメリットは、無線アクセス・ポイントがセキュリティ上の判断を下すようには設計されていないことに起因しています。すなわち、無線のトラフィックを隔離し、このトラフィックを検査するファイアウォールを利用することにより、無線ネットワークから侵入する脅威を識別するための独立したルールを定義し、コア・ネットワークに入ってくるトラフィックに対してより高いレベルの包括的なセキュリティを適用できるようになるのです。
最新の状態の維持
最も優れたセキュリティ計画があったとしても、最新で最も優れた技術を使用していないのであれば、その効果は著しく損なわれます。したがって、既存の無線
LAN のセキュリティを向上させようとするのであれば、そのバックグラウンド技術を、最新の標準を採用したものにアップグレードする必要があります。ここで述べているのが
WEP(Wired Equivalent Privacy)だと思った方は、もう少し最新の動向をチェックされた方が良いかもしれません。今導入するべき標準は、WPA2(WiFi
Protected Access 2)です。WPA2 では、デバイスがアクセス・ポイントへの接続を確立するたびに新しい暗号鍵を生成する、より複雑な鍵階層を使用します。WPA2
は、TKIP(Temporal Key Integrity Protocol)と互換性があるほか、802.11i
プロトコルに準拠しており、その他の最新の暗号化規格もサポートしています。これらの標準が提供するセキュリティは、現在無線で利用できるセキュリティとしては最も安全なものです。
しかし、何事にも変化はつきものです。 セキュリティ技術は日進月歩で進化しており、最新の技術を導入してそれでおしまいというわけにはいきません。ネットワーク管理者は、最新の無線セキュリティ技術のすべてを把握しておくことが必要です。その理由としてはまず、無線技術の標準は数か月単位で変化しているということが挙げられます。
これはつまり、きちんと情報収集をしている ネットワーク管理者でなければ、最新動向に付いていくことができないということです。さらに、多くの組織は情報の氾濫に圧倒されてしまっており、ネットワークを整備するためにはベンダーに相談しなければならない状況になっています。したがって、人員に余裕のある ネットワーク管理者は、無線技術の動向を定期的にチェックする担当者を割り当てておくと良いかもしれません。また、チェック・ポイント・ソフトウェア・テクノロジーズが提供している SmartDefense サービスなどのセキュリティ・サービスを購読することも、セキュリティを最新の状態に維持するうえで役立ちます。
導入は慎重に
無線セキュリティ・パズルの最後のピースは、言うまでもなくエンドポイントを保護することです。ネットワークに無線接続する利用者がいる企業では、これらの利用者をリモート・ユーザとして扱い、彼らが使用するノート
PC に最高レベルのセキュリティ・ソフトウェアを導入する必要があります。少なくとも、これらのノート PC
のデータを保護するためにパーソナル・ファイアウォールは不可欠です。可能な場合には、無線 LAN をまたがった通信のために
VPN クライアントを導入できれば申し分ありません。この種のエンドポイント・セキュリティ製品は、ウイルスやワーム、スパイウェアなどのマルウェアに対する防御の最前線として機能します。無線アクセス・ポイントには物理的なセキュリティ機能が備わっていないため、これらのエンドポイント・セキュリティ製品が搭載されていない場合、空港やコーヒー・ショップなどの公共のホット・スポットからネットワークに無線アクセスするネットワーク利用者は、常に脅威に対して脆弱となってしまいます。
評論家の中には、このような予防策は被害妄想的であり、ネットワーク構成を変更したり、最新の技術を導入したりすれば充分だと指摘する人もいます。しかし、組織には「転ばぬ先の杖」も必要です。エンドポイント・セキュリティは、ネットワーク・ベースの防御機能に問題が発生した場合のバックアップ・システムとしても機能します。ネットワークの防御機能に問題が発生した場合、エンドポイント・セキュリティが存在しなければ、すべての従業員が危険にさらされることになります。多くの ネットワーク管理者 は、エンドポイント・セキュリティを一種の保険であり、ネットワーク全体の安全性を維持するための投資であると考えています。最も緻密に焦点を絞ったアプローチにおいて、ネットワーク管理者は、実際に支出を提案する前に、最も効果的な投資方法を見出すために全面的なリスク分析から始めます。例えば、リモート・ユーザがほとんどいないような企業では、ここまでの警戒は必要ないかもしれません。
チェック・ポイントのソリューション
チェック・ポイント・ソフトウェア・テクノロジーズは、無線環境に不可欠なすべてのセキュリティ・コンポーネントを把握できるようにネットワーク管理者
を支援します。SmartCenter による一元的な管理機能と柔軟な、VPN-1 Power ゲートウェイの導入オプションを組み合わせることで、無線
LAN を隔離できるようになります。企業の小規模拠点向けの UTM-1 Edge W では、ファイアウォール、VPN
およびセキュリティ機能内蔵の無線アクセス・ポイントを統合し、単一のオールインワン・アプライアンスとして提供し、容易にセキュリティを兼ね備えた無線
LAN 環境を構築できます。そして、エンドポイント・セキュリティ・ソフトウェアの Integrity によって、ネットワークに無線
LAN 接続する従業員の PC を、接続前にセキュリティ・ポリシーを遵守しているか確認し、セキュリティ要件を満たしていなければ要件を満たすようバージョンアップを促すなどの設定することが可能になります。これにより、ネットワークのコア、エッジ、そしてエンドポイントが保護されることになります。チェック・ポイントが提供するこの3方向からのアプローチは、企業全体における無線セキュリティの強化を実現します。