PEAP およびパスワードでワイヤレス LAN のセキュリティを保護する

[アーティクル]
12/06/2019

はじめに: ワイヤレス LAN のセキュリティに対応した戦略を選択する

公開日: 2004年9月7日

トピック

はじめに
 ワイヤレスネットワーキングに関する議論
 WLAN を (本当に) セキュリティで保護する方法
 適切な WLAN オプションを選択する
 要約
 参照情報

はじめに

ワイヤレスローカルエリアネットワーク (WLAN) テクノロジは、議論の余地のあるトピックです。既に WLAN を展開した組織は、WLAN がセキュリティで保護されているかどうかについての不安を抱えています。しかしその一方、いまだに WLAN を展開していない組織は、ユーザーに対して生産性の利益を失わせ、より高いオーナーシップコストを押し付けているのではないかという不安を抱えています。しかし、企業のコーポレートコンピューティングに対して WLAN が安全に使用できるかどうかについては、まだなお多くの混乱があります。

第一世代の WLAN セキュリティに弱点が見つかって以来、アナリストやネットワークセキュリティ会社はこれらの問題を解決するために躍起になってきました。こうした労力の中には、ワイヤレスセキュリティを強化するという目標に大きく貢献したものもありますが、セキュリティ上の別の脆弱性を導入する、費用のかかる独自のハードウェアを必要とする、または仮想プライベートネットワーク (VPN) などの潜在的に新たな複雑性を持つセキュリティテクノロジ上に層を形成することで WLAN セキュリティの問題をまとめて回避しようとする、などの欠陥を抱えたものもあります。

それと並行して、Institude of Electrical and Electronics Engineers (IEEE) およびその他の規格化団体やコンソーシアムは、WLAN が、敵意のある 21 世紀初期のセキュリティ環境に対抗できるように、ワイヤレスセキュリティに関する規格の見直しや改善を徐々に行なってきました。規格団体や業界リーダーの努力の結果、"WLAN セキュリティ" はオキシモロン (矛盾する 2 つの側面のあるもの) ではなくなりました。今日、WLAN はセキュリティにおける高い信頼性を備えて展開や使用が可能になりました。

このドキュメントでは、マイクロソフトが提供する 2 つの WLAN セキュリティソリューションについて説明し、WLAN をセキュリティで保護可能かどうか、また WLAN をセキュリティで保護する方法としてどちらが最良の方法であるかという疑問に答えます。

ワイヤレスソリューションの概要

このドキュメントの主な目的は、組織内の WLAN をセキュリティで保護するための最適な方法を決定するのに役立つ情報を提供することです。このため、ここでは次の 4 つの項目について説明します。

ワイヤレス LAN に関するさまざまな議論 (およびワイヤレス LAN に関するセキュリティ上の問題)
安全な WLAN 規格の使用
VPN や Internet Protocol security (IPsec) などの代替戦略
適切な WLAN オプションの選択

マイクロソフトでは、IEEE や Internet Engineering Task Force (IETE)、Wi-Fi Alliance などの団体が策定したオープンスタンダードに基づいて、2 つの WLAN ソリューションを開発しました。2 つのソリューションには、「ワイヤレス LAN のセキュリティ強化 (Windows Server 2003 証明書サービス)」と「PEAP およびパスワードでワイヤレス LAN のセキュリティを保護する」というタイトルが付いています。タイトル名からもある程度わかるように、前者はユーザーとコンピュータの認証に公開キー証明書を使用し、後者は簡単なユーザー名とパスワードを使用します。ただし、2 つのソリューションの基本アーキテクチャは非常に似ています。両方とも、Microsoft Windows® Server 2003 インフラストラクチャ、および Microsoft Windows XP クライアントと Microsoft Pocket PC 2003 クライアントに基づいています。

タイトルからはわかりませんが、これらのソリューションの対象読者は若干異なります。「ワイヤレス LAN のセキュリティ強化 (Windows Server 2003 証明書サービス)」は、比較的複雑な情報テクノロジ (IT) 環境を備えた大規模な組織を主に対象としており、「PEAP およびパスワードでワイヤレス LAN のセキュリティを保護する」は、非常にシンプルで、小規模な組織で容易に展開できます。

だからといって、大規模組織はパスワード認証を使用できないわけでも、小規模組織には証明書による認証が適さないわけでもありません。これは、特定のテクノロジを使用するのにより適した組織の種類を示しているにすぎません。次の図に、簡単なディシジョンツリーを示します。この図を参考に自分の組織に適合するソリューションを選択してください。使用可能なオプションは以下の 3 つです。

SOHO 向けの Wi-Fi Protected Access (WPA) の事前共有キー (PSK)
証明書を使用しない、また証明書を必要としない組織向けのパスワードベースの WLAN セキュリティ
証明書を必要とし、証明書を展開できる組織向けの証明書ベースの WLAN セキュリティ

これらのオプションについては、このドキュメントで後述しますが、最後の 2 つのオプションの機能を組み合わせるとハイブリッドソリューションになります。

図 1: マイクロソフトワイヤレス LAN ソリューションのディシジョンツリー

拡大表示する

ページのトップへ

ワイヤレスネットワーキングに関する議論

今日、ビジネス向けの WLAN に対する強い要望があることは容易に理解できます。WLAN テクノロジは、この 10 年でさまざまな変遷をとげ、比較的最近になってようやく目標とする水準に達するまでになりました。信頼性があり、標準化された低コストのテクノロジが、より柔軟な方法で作業を行い、さらにより広範囲な接続を実現することへの高まる要望を満たせるようになってようやく、WLAN の導入が実際に普及し始めました。しかし、このテクノロジを急速に導入したことにより、第一世代の WLAN に存在する多くの深刻なセキュリティ面の短所が浮き彫りにされる結果となりました。ここでは、WLAN の長所 (機能性) と短所 (セキュリティ) を検証します。

ワイヤレス LAN の長所

WLAN テクノロジの長所は、基幹ビジネス面の長所と運用面の長所の 2 つに分類されます。基幹ビジネス面の長所には、従業員の生産性の向上、ビジネスプロセスの効率化、新しいビジネス機能全体を作成する可能性の拡大などが挙げられます。運用面の長所には、管理コストや資本支出の削減などが挙げられます。

基幹ビジネス面の長所

WLAN の基幹ビジネス面の長所は、従業員の柔軟性とモビリディの向上によってもたらされます。

人々は自分のデスクから解放され、ネットワークへの接続を失うことなくオフィスの周りを容易に動きまわることが可能になります。モビリティおよびネットワークの柔軟性がどのようにビジネスに利益をもたらすかという例をいくつか挙げて検証しましょう。

オフィス間を移動するモバイルワーカーや会社に出勤してきた在宅勤務者が、会社のローカルエリアネットワーク (LAN) に透過的にアクセスできるので、時間と労力が節約できます。ワイヤレスが使える範囲であれば、どこからでも即座に接続が可能です。ネットワークポートやケーブルを探したり、IT スタッフに依頼してネットワークに接続してもらったりする必要はありません。
ナレッジワーカーは社内のどこにいても連絡を取り合うことができます。従業員は、電子メール、電子予定表、およびチャットなどのテクノロジを使用して、会議中など、自分のデスクから離れた所で作業している間もオンラインの状態を維持できます。
オンライン情報がいつでも利用できます。会議中に、誰かが先月の数値が記載されているレポートや最新版のプレゼンテーションを取りに走り、その間会議を中断させるようなことはありません。これによって会議の質と生産性が大幅に向上します。
企業組織の柔軟性も向上します。チームやプロジェクト構造が変更された場合、人々は自分のデスクへのケーブル配線がないため、デスクの移動、さらにはオフィス全体の移動が迅速かつ容易になりました。
企業の IT 環境への新しいデバイスおよびアプリケーションの統合が大幅に改善されます。パーソナルデジタルアシスタント (PDA) やタブレット PC のように、企業の IT 資産の中でも、最近まで重役たちの遊び道具となっていたデバイスが、組織がワイヤレスに対応するようになることで統合化が進み、今までよりはるかに役に立つようになります。製造現場、病棟、店舗、レストランなど、これまでネットワークの存在しなかった場所にワイヤレスコンピュータ、デバイス、およびアプリケーションを供給することによって、これまでは IT と関わることがなかったスタッフやビジネスプロセスに利益をもたらします。

組織が異なれば、体験する長所もそれぞれ異なります。つまり、これらの長所のうち組織に関連する部分については、ビジネスの特性および労働力の規模や地理的な分散などの多くの要因によって異なります。

運用面の長所

WLAN テクノロジによる主な運用面の長所は、投資資本および運用コストの低減です。これを以下にまとめます。

建物へのネットワークアクセスの供給コストが大幅に低減します。ほとんどのオフィススペースにはネットワークのためのケーブルが敷設されていますが、工場や倉庫、店舗などの他の多くの作業スペースにはケーブルは敷設されていません。また、屋外、海上、さらに戦地などの有線のネットワークが実現不可能と思われる場所にもネットワークを供給できます。
組織が変更された場合や、必要な場合は毎日でも、さまざまなレベルの要請に応じたネットワークのスケールアップが簡単に行えます。有線のネットワークポートの数を増やすよりも、ワイヤレスアクセスポイント (AP) をより高性能なものに切り替える方がはるかに導入が簡単になります。
ネットワーク資本と建物のインフラストラクチャとを結び付けて考える必要がなくなります。ワイヤレスネットワークインフラストラクチャの場合には新しいビルに移動することも比較的簡単に行えますが、ビル内の配線は一般に建物に永続的に固定されます。

ワイヤレス LAN におけるセキュリティ上の問題

このような長所があるにもかかわらず、WLAN における多くのセキュリティ問題を考えると、WLAN の導入には躊躇させられるものがあります。財務および管理などのセキュリティを特に重視する部門においてはなおさらです。保護されていないネットワークデータをたまたま近くにいた人にばらまくという危険があることは明らかであるにも関わらず、驚くべき数の WLAN にセキュリティ対策が行われていません。大半のビジネス現場では何らかの形のワイヤレスセキュリティを実装していますが、これは、一般に、基本的な第一世代の機能で実装されているにすぎません。今日の規格からすると、これでは十分な保護とはいえません。

IEEE 802.11 WLAN の最初の規格が策定されたとき、セキュリティには今日ほど大きな関心が示されていませんでした。脅威のレベルはかなり低く、今ほど複雑ではありませんでした。ワイヤレステクノロジの導入はまだ幼年期といったものでした。Wired Equivalent Privacy (WEP) と呼ばれる第一世代の WLAN セキュリティスキームは、このような背景のもと出現しました。WEP では、無線のセキュリティを有線のセキュリティに等価なものにするのに必要な手段を過少評価していました。これに対して、現代の WLAN セキュリティ方式は、明確な物理的な境界またはネットワート境界の存在しない無線のような敵意に満ちた環境で動作するように設計されています。

第一世代の静的な WEP (共有パスワードを使ってネットワークを保護する)、および強力な認証と暗号化キー管理を組み合わせた WEP 暗号化を使用するセキュリティスキームとを区別することが重要になります。前者は、認証やデータ保護を含む完全なセキュリティスキームで、このドキュメントでは "静的なWEP" と呼びます。一方、動的な WEP では、このドキュメントで後述するより強力なセキュリティで保護されるソリューションの一部として使用されるデータの暗号化および整合性方法のみが定義されます。

静的な WEP に発見されたセキュリティの弱点は、静的な WEP によって保護された WLAN が、いくつかの種類の脅威に脆弱であることを示します。Airsnort や WEPCrack のような無償で提供される "監査" ツールを使えば、静的な WEP で保護されたワイヤレスネットワークへの侵入は簡単なことです。セキュリティで保護されていない WLAN は、同様にこれらの脅威にさらされています。異なる点は、攻撃を実行するのに知識、時間、リソースをあまり必要としていないことです。

近年の WLAN セキュリティソリューションの動作を論じる前に、WLAN への主な脅威を検証します。次の表は、これらの脅威をまとめたものです。

表 1: WLAN に対する主要なセキュリティの脅威

脅威	脅威の説明
盗聴 (データの漏洩)	ネットワークでのデータ転送の傍受によって、機密データの漏洩、保護されていないユーザーの資格情報の漏洩、および識別情報の盗聴が起こる可能性があります。また、高度な技術力を持つ悪意のある侵入者がいた場合、IT 環境の情報が収集されてしまいます。こうした情報を使うと、本来なら攻撃を受けにくい他のシステムやデータまでが攻撃を受けてしまう可能性があります。
転送データの傍受と変更	攻撃者がネットワークへのアクセス権を得ると、正当な当事者の間に認証されていないコンピュータを割り込ませ、通信を傍受および変更することができます。
なりすまし	内部ネットワークにアクセスできると、悪意のある侵入者はネットワーク外からは不可能な方法を使用して、自分が送信したデータを正当なデータから送信されたデータに見せかけることができます (偽の電子メールメッセージなど)。システム管理者を含めたユーザーは、企業ネットワークの外から発信されたものよりも、内部で発信されたアイテムを信頼する傾向があります。
サービス拒否 (DoS)	予測される攻撃者は、あらゆる手段を使って DoS 攻撃を開始します。たとえば、無線レベルの信号破壊は、電子レンジなどの簡単な技術でも行えます。攻撃には、低階層のワイヤレスプロトコル自体を攻撃目標とする高度なものもあれば、WLAN に大量のデータトラフィックをランダムに送りつけるような単純な程度の低い攻撃もあります。
フリーローディング (またはリソースの盗聴)	侵入者は無料でインターネットを使用するためのアクセスポイントとして企業のネットワークを使用している場合もあります。他の脅威のような損害を受けることはありませんが、最低でも、正当なユーザーに対して有効なサービスレベルを低下させるばかりか、ウィルスや他の脅威を侵入させる可能性がでてきます。
偶発的な脅威	WLAN の一部の機能によって、意図しない脅威が実際に発生してしまう場合があります。たとえば、部署に訪れた顧客がネットワークに接続するつもりがなくても、本人のポータブルコンピュータを起動するだけで WLAN に自動的に接続してしまう可能性があります。このように、ポータブルコンピュータは会社のネットワークにウイルスが侵入する潜在的な入口となり得るのです。このような脅威は、セキュリティで保護されていない WLAN だけに発生する問題です。
不適切な WLAN	会社で正式に WLAN を導入していない場合、会社のネットワーク上に存在する管理されていない WLAN からの脅威にいまださらされている場合があります。熱心な従業員が購入した廉価な WLAN ハードウェアによって、会社のネットワーク内に思わぬ脆弱性が生じる可能性もあります。

静的な WEP に焦点を当てた WLAN におけるセキュリティ問題は、メディアで再三取り上げられてきました。これらの脅威に対抗できる良質なセキュリティソリューションが存在するにもかかわらず、あらゆる規模の組織でいまだ WLAN の導入に慎重な姿勢を示しており、多くの組織で WLAN テクノロジの導入を中止したり、使用を完全に禁止しています。WLAN とネットワークが安全でないと広く誤解されるに至った主な要因には次のようなものがあります。 - どの WLAN テクノロジが安全で、どの WLAN テクノロジが安全ではないといった不確実な情報が広まりました。静的な WEP で立て続けに欠陥が発見されてから、ビジネスではすべての WLAN セキュリティ対策に懐疑的になってしまいました。こうした問題の解決を謳ったさまざまな公式標準と独自のソリューションが発表されましたが、ユーザーを当惑させただけで、混乱はほとんど解決されていません。 - ワイヤレスは目に見えません。ネットワークセキュリティ管理者にとって、これは単なる心理的な動揺をもたらすものではなく、実際のセキュリティ管理問題を発生させるものです。有線のネットワークにケーブルを挿し込んでいる侵入者を見ることは現実に可能ですが、WLAN への侵入は実態のないものです。有線ネットワークの防御に役立つ壁やドアといった従来の物理的なセキュリティ防御方法では、"ワイヤレス" な攻撃者を遮断することができません。 - 今日、情報に対するセキュリティを求める意識は非常に高まっています。ビジネスでは、システム上にきわめて高いレベルのセキュリティが要求され、システムにセキュリティの脆弱性をもたらす可能性のあるテクノロジに対して不信感があります。 - このようなセキュリティへの意識が高った結果、さまざまな国や産業部門においてデータのセキュリティを管理する法的および規制的要件が増えつつあります。この現象を示す例のひとつとして、個人医療データの取り扱いを規制するためにアメリカ政府によって 1996 年に施行された、医療保険の携行性と責任に関する法律 (HIPAA) が広く知られています。 [](#mainsection)[ページのトップへ](#mainsection) ### WLAN を (本当に) セキュリティで保護する方法前述した WLAN のセキュリティ上の短所が見つかって以来、業界をリードするネットワークベンダや規格化団体、およびアナリストは、これらの脆弱性の救済策の発見に尽力してきました。この努力の結果、WLAN セキュリティ問題に対するさまざまな対応策が提案されてきました。主要な代替手段を以下に示します。 - WLAN テクノロジを展開しない。 - 802.11 の静的な WEP セキュリティにあくまで固執する。 - VPN を使用して WLAN 上のデータを保護する。 - IPsec を使用して WLAN トラフィックを保護する。 - 802.1X 認証およびデータ暗号化を使用して WLAN を保護する。上記の戦略は、セキュリティ、機能性、および利便性の組み合わせを基に、満足度の低いものから並べたものです。ただし、これはある程度主観的な判断によるものです。マイクロソフトが推奨するオプションは、上記の戦略の最後の代替手段で、802.1X 認証と WLAN 暗号化を使用したものです。次にこのアプローチについて説明し、このアプローチを前述した主要な WLAN の脅威一覧 (表 1) に照らして評価します。また、他のアプローチの長所と短所についても後で説明します。 #### 802.1X 認証とデータ暗号化で WLAN を保護するこのアプローチには推奨するだけの多くの長所があります (ただし、そのタイトル名や不明瞭な用語は含まれていません)。このアプローチを基にしたソリューションの長所を説明する前に、このソリューションで使用される用語およびその動作方法を説明します。 ##### WLAN セキュリティについて WLAN の保護には、次の 3 つの要素が関係します。 - ネットワークに接続するユーザーまたはデバイスの認証: これにより、接続を試みるユーザーまたはデバイスを認識するのに高い信頼性を持つことができます。 - WLAN を使用するユーザーまたはデバイスの承認: これにより、WLAN にアクセスするユーザーまたはデバイスを管理できます。 - ネットワーク上で転送されるデータの保護: これにより、盗聴や不正な改ざんからこれらのデータを保護します。これらの項目に加え、監視機能が必要になる場合もあります。ただし、監視は主にこれらの 3 つの要素を確認および強化する手段になります。 ###### ネットワーク認証と承認静的な WEP セキュリティは、WLAN への認証にシンプルな共有シークレット情報 (パスワードまたはキー) を使用します。この秘密キーを所有するユーザーが WLAN にアクセスできます。本来の WEP 標準では、これらのキーの更新または配布を自動化する方法が提供されていないため、これらのキーを定期的に変更するのはきわめて困難です。WEP における暗号化の欠陥により、攻撃者は、簡単なツールを使用して静的な WEP キーを見破ることができます。より強力な認証および承認方法を提供するため、マイクロソフトおよびその他の多くのベンダでは、802.1X プロトコルを使用した WLAN セキュリティフレームワークを提供しています。802.1X はネットワークへのアクセス認証に関する IEEE 標準規格であり、オプションでトラフィック保護に使用されるキーの管理も含まれます。その使用はワイヤレスネットワークに限定されるものではなく、多くのハイエンド有線 LAN スイッチにも実装されています。 802.1X プロトコルには、ネットワークユーザー、ワイヤレス AP などのネットワークアクセス (またはゲートウェイ) デバイス、および RADIUS (Remote Authentication Dial-In User Service) サーバー形式の認証と承認が含まれます。RADIUS サーバーはユーザーの資格情報の認証、およびユーザーの WLAN へのアクセスの承認といったジョブを実行します。 1X は、Extensible Authentication Protocol (EAP) と呼ばれる IETF プロトコルを使用して、クライアントと (AP で中継された) RADIUS サーバーとの間の認証のやり取りを実行します。EAP は、パスワード、デジタル証明書、またはその他の種類の資格情報を基に、複数の認証方法をサポートする一般的な認証プロトコルです。 EAP はプラグ可能な認証方法なので、EAP 標準の認証タイプを使用する必要はありません。環境が異なる場合は、異なる資格情報タイプおよび認証プロトコルを使用した、別の EAP 方法が適用される可能性もあります。WLAN 認証での EAP 方法の使用については後述します。 ###### WLAN におけるデータ保護 1X 認証およびネットワークアクセスは、ソリューションの一部にすぎません。この他にもワイヤレスネットワークトラフィックを保護する重要なコンポーネントがあります。定期的に暗号化キーを自動更新する方法を静的な WEP に追加している場合は、前述した WEP データ暗号化における欠陥が改良されます。静的な WEP をクラッキングするツールは、同じキーで暗号化された 1 ～ 1,000 万パケットを収集する必要があります。静的な WEP キーは数週間から時には数ヶ月間変更されないことがあるため、攻撃者にとってこのデータ量を収集するのは、通常容易なことです。WLAN 上のすべてのコンピュータで同じ静的なキーを共有している場合、WLAN 上のすべてのコンピュータから転送されるデータが盗まれ、キーの解読に使用されます。 802.1X をベースにしたソリューションを使用することにより、暗号化キーは頻繁に変更できます。802.1X の安全な認証プロセスにおいて、EAP 方法は各クライアントに一意の暗号化キーを生成します。前述した WEP クラッキング攻撃を回避するには、RADIUS サーバーで新しい暗号化キーを定期的に生成することです。こうすれば、最新の WLAN ハードウェアに組み込まれた WEP 暗号化アルゴリズムを、より安全な方法で使用できます。 ###### WPA と 802.11i 802.1X の動的なキーの再発行機能を備えた WEP は、ほとんどの実用的用途に対して安全ですが、次のような若干の問題があります。 - WEP は、ブロードキャストパケットのようなグローバル転送に対して別の静的キーを使用します。ユーザー別キーとは異なり、グローバルキーは定期的に更新されません。ブロードキャストを使って機密データを転送することはあまりありませんが、グローバル転送に対して静的キーを使用すると、攻撃者が、IP アドレスやコンピュータ、ユーザー名などのネットワーク情報を取得しやすくなります。 - WEP で保護されたネットワークフレームには十分な整合性保護機能が備えられていません。暗号化テクノロジを使用する場合、攻撃者は WLAN フレーム内での情報の変更、およびフレームの整合性チェック値の更新ができるようになり、受信者はそれを検知できません。 - WLAN 転送速度が速くなり、演算能力と暗号化テクノロジが改善されると、今より頻繁に WEP キーを更新する必要があります。これにより、RADIUS サーバー上に許容範囲を超える負荷がかかる可能性があります。これらの問題を解決するため、IEEE は 802.11i (Robust Security Network、略して RSN とも呼ばれています) という新しい WLAN セキュリティ標準の策定に取り組んでいます。業界をリードする Wi-Fi ベンダのコンソーシアムである Wi-Fi Alliance は、802.11i の早期リリースの基本的な内容を策定し、これを WPA (Wi-Fi Protected Access) として知られる業界標準に公開しました。WPA には802.11i の機能の多くが含まれます。WPA の公開により、Wi-Fi Alliance は Wi-Fi ロゴを表記するすべての機器に対して、WPA 規格への準拠を命じる権利を取得し、802.11i の公開に先駆けて、Wi-Fi ネットワークハードウェアベンダに対し、標準化されたセキュリティの高いオプションを提供することを許可しました。WPA には、WLAN のセキュリティ保護に現在利用できる技術の中で最も安全と一般的に認められているセキュリティ機能が集められています。 WPA には、802.1X と RADIUS 認証 (WPA として知られています) を使用するモードと、事前共有キーを使用する SOHO 環境向けのよりシンプルなスキームを使用するモード (WPA PSK) があります。WPA は、強力な暗号化に、802.1X の強力な認証および承認メカニズムを組み合わせます。WPA データ保護は、以下により、既に認識されている WEP の脆弱性を排除します。 - 各パケットに対する一意の暗号化キーの使用。 - 長い初期化ベクタの使用。128 ビットのキーイングマテリアルの追加によってキースペースを効率的に 2 倍にします。 - 改ざんや偽装に対して脆弱でない、署名付きメッセージの整合性チェック値の追加。 - リプレイ攻撃を阻止するための暗号化フレームカウンタの組み込み。ただし、WPA は、WEP が使用するのと同じ暗号化アルゴリズムを使用するため、簡単なファームウェアのアップグレードを行うだけで既存のハードウェア上に実装できます。また、WPA の PSK モードを使用すると、SOHO での作業者は、静的な WEP の脆弱性に遭遇することなく (ただし、単純なパスワードを推測する攻撃を避けることができるのに十分な強さを備えた事前共有キーを使用する必要があります)、共有キー WLAN を使用できます。RADIUS ベースの WPA および動的 WEP と同様、各ワイヤレスクライアントに対して暗号化キーが個別に生成されます。事前共有キーは認証資格情報として使用されます。つまり、事前共有キーを所有したユーザーは、WLAN を使用する権限が与えられ、データを保護するための一意の暗号化キーを受け取ります。 802.11i (RSN) は DoS 攻撃に対するより強力な保護を含め、WLAN に高いセキュリティレベルを提供します。802.11i (RSN) は 2004 年半ばにリリースされる予定です。 ###### EAP 認証方法 EAP は、その名前の "Extensible (拡張)" が意味するとおり、多くの認証方法をサポートしています。これらの方法は、パスワード、証明書、ワンタイムパスワードトークン、バイオメトリクスなどのある一定の資格情報の種類を使用した、Kerberos、Transport Layer Security (TLS)、マイクロソフトチャレンジハンドシェイク認証プロトコル (MS-CHAP) などの異なる認証プロトコルを使用します。理論上、EAP 方法は 802.1X で使用できますが、すべての EAP 方法が WLAN で使用するのに適しているわけではありません。特に、使用する EAP 認証方法は、保護されていない環境で使用するのに適し、暗号化キーを生成できるものでなければなりません。主に、WLANで使用される EAP 方法は、EAP-TLS、Protected EAP (PEAP)、Tunneled TLS (TTLS)、および Lightweight EAP (LEAP) です。これらのうち、マイクロソフトでは PEAP と EAP-TLS をサポートしています。 **EAP-TLS** EAP-TLS は IETF 標準(RFC 2716) で、ワイヤレスクライアントと RADIUS サーバーの両方でおそらく最も広くサポートされている認証方式です。EAP-TLS では、パブリックキー証明書を使用して、ワイヤレスクライアントと RADIUS サーバーの間に暗号化された TLS セッションを確立することで、これらの両方を認証します。 **PEAP** PEAP は、2 つの段階を持つ認証方法です。最初の段階で、サーバーに対して TLS セッションを確立し、サーバーのディジタル証明書を使用してクライアントがサーバーを認証できるようにします。第 2 段階では、PEAP セッション内でトンネリングされた第 2 の EAP 方法を要求し、RADIUS サーバーに対してクライアントを認証します。これにより、PEAP は、MS-CHAP バージョン 2 (MS-CHAP v2) プロトコルを使用したパスワードや PEAP 内でトンネリングされた EAP-TLS を使用した証明書などのさまざまなクライアント認証方法を使用できるようになります。MS-CHAP v2 のような EAP 方法は、オフラインの辞書攻撃に対して脆弱であるため、PEAP 保護なしで使用できるほど安全ではありません。PEAP のサポートは、業界で広く普及しており、Microsoft Windows XP SP1 および Pocket PC 2003 には PEAP のサポートが搭載されています。 **TTLS** TTLS は 2 つの段階から成るプロトコルで、TLS セッションを使用してトンネルされたクライアント認証を保護する PEAP に類似しています。トンネリング EAP 方式以外に、TTLS は、CHAP や MS-CHAP などの EAP バージョン以外の認証プロトコルも使用できます。マイクロソフトおよび Cisco では TTLS をサポートしていませんが、他のベンダから提供されるプラットフォームに対応した TTLS クライアントが多数あります。 **LEAP** LEAP は、Cisco が独自に開発した EAP 方法で、この EAP 方法ではクライアントの認証にパスワードを使用します。LEAP は広く普及している認証方法ですが、Cisco およびその他の少数のベンダが提供するハードウェアとソフトウェアでしか動作しません。また、LEAP では、オフライン辞書攻撃 (攻撃者はユーザーのパスワードを発見できます) や仲介者攻撃に対する脆弱性などのセキュリティ上の脆弱性がいくつか公開されています。ドメイン環境では、LEAP は WLAN に対して "ユーザー" のみを認証し、"コンピュータ" を認証することはできません。コンピュータを認証できなければ、マシングループポリシーが正確に実行されず、ソフトウェアのインストール設定、移動プロファイル、およびログオンスクリプトはすべて失敗する可能性もあります。また、ユーザーは期限切れのパスワードを変更できなくなります。 WLAN セキュリティソリューションには、他の EAP 方法で 802.1X を使用するものがあります。これらの EAP 方法には、EAP-MD5 のように、WLAN 環境で使用した場合に重大なセキュリティ上の弱点を持つものがあります。このような EAP 方法は使用するべきではありません。その他に、ワンタイムパスワードトークンや、Kerberos などのその他の認証プロトコルの使用をサポートする EAP 方法もあります。今のところ、これらの EAP 方法は WLAN 市場に大きな影響を与えるまでに至っていません。 ##### WLAN データ保護を使用した 802.1X の長所 802.1X ソリューションの主要な長所を、以下にまとめました。 - **高セキュリティ**: クライアント証明書、またはユーザー名とパスワードを使用できる、高セキュリティの認証方式です。 - **強力な暗号化**: ネットワークデータの強力な暗号化が可能です。 - **透過性**: WLAN に対する透過的な認証および接続を提供します。 - **ユーザーおよびコンピュータの認証**: ユーザーとコンピュータを個別に認証できます。コンピュータを個別に認証することによって、ユーザーがログオンしていないときでもコンピュータを管理できます。 - **低コスト**: ネットワークハードウェアの費用を低く抑えることができます。 - **高いパフォーマンス**: 暗号化は WLAN ハードウェアで実行され、クライアントコンピュータの UPU では実行されないため、WLAN の暗号化によって、クライアントコンピュータのパフォーマンスが低下することはありません。また、802.1X ソリューションには注意しなければならない事項がいくつかあります。 - 802.1X は、ほぼ普遍的に認証を行いますが、異なる EAP 方法を使用したときに、相互運用性が保証されない場合があります。 - WPAは、導入されてまだ間もないため、古いハードウェアで使用できない場合があります。 - 次世代の RSN (802.11i) はいまだに承認されておらず、ハードウェアとソフトウェアのアップデートの開発が必要とされています (ネットワークハードウェアには一般にファームウェアのアップデートが必要になります)。ただし、これらは比較的小さな問題で、長所はこれらの問題を補って余りあるものです。後述する代替手段の深刻な短所と比較した場合は特にそうです。 ###### セキュリティの脅威に対する 802.1X ソリューションの障害許容力 WLAN に対する主要なセキュリティ脅威については既に説明しました (表 1 参照)。802.1X および WLAN データ保護を基にしたソリューションに対するこれらのセキュリティ脅威の再評価を以下の表にまとめました。 **表 2: 提案したソリューションに対するセキュリティ脅威の評価**

脅威	軽減
盗聴 (データの漏洩)	暗号キーの動的な割り当てと変更を頻繁に行うこと、またキーが各ユーザーセッションで一意であることから、現在知られている方法でキーを発見してデータにアクセスするのは不可能です。 WPA は、パケットごとに暗号キーを変更することでセキュリティを強力にします。グローバルキー (ブロードキャストトラフィックの保護) は、パケットごとに再発行されます。
転送データの傍受と変更	ワイヤレスクライアントとワイヤレス AP 間のデータの整合性とデータ暗号化を強化することにより、悪意のあるユーザーによる転送中のデータに割り込みおよび改変を不可能にします。クライアントと RADIUS サーバー、およびワイヤレス AP 間の相互認証により、攻撃者はこの三者のいずれかのふりをするのも困難になります。 WPA は、Michael Protocol を使用してデータの整合性を改善します。
なりすまし	ネットワークへの安全な認証により、認証されていない個人がネットワークに接続し、内部から偽のデータを送るのを防ぎます。
サービス拒否攻撃 (DoS)	ネットワークレベルの大量データ送信攻撃やその他の DoS 攻撃は、802.1X を使用した WLAN へのアクセス制御により、防止されます。動的 WEP または WPA のどちらにおいても、低レベルの 802.11 DoS 攻撃に対する防御がありません。これは、802.11i 標準により対処される予定です。ただし、この新しい標準でもネットワークの物理層 (無線レベル) の破壊に対しては対処できません。これらの脆弱性は、現在の 802.11 WLAN の特徴であり、後述する他のオプションすべてに共通します。
フリーローディング (リソースの盗聴)	強力な認証を要求することにより、ネットワークの不正な使用を防ぎます。
偶発的な脅威	安全な認証を要求することにより、WLAN への偶発的な接続を防止します。
不適切な WLAN	このソリューションは直接不適切な AP に対処するわけではありませんが、このようなセキュリティで保護されたワイヤレスソリューションの実装により、非公式の WLAN を立ち上げようとする動機付けがなくなります。ただし、無許可の WLAN の使用を禁止する明確なポリシーを作成し、公開する必要があります。ポリシーの設定には、ネットワークをスキャンしてワイヤレス AP ハードウェアアドレスを取得するソフトウェアツールや、ハンドヘルド WLAN 検出装置を使用できます。

その他のWLAN セキュリティに対するアプローチ

ここまでで、WLAN データ保護を使用した 802.1X 認証について詳しく説明しました。ここでは、前述した WLAN セキュリティ (「WLAN を (本当に) セキュリティで保護する方法」の冒頭に一覧した WLAN セキュリティ) に対するそれ以外の 4 つの代替手段について説明します。

主要な 4 つのアプローチは以下のとおりでした。

WLAN テクノロジを展開しない。
802.11 の静的な WEP セキュリティにあくまで固執する。
VPN を使用して WLAN 上のデータを保護する。
IPsec を使用して WLAN トラフィックを保護する。

次の表に、これらのアプローチと 802.1X ベースのソリューションとの主な相違点をまとめました (ただし、"WLAN を使用しない" というオプションは他のオプションと直接比較できないため、除外しました)。これらのオプションについて、後で詳細に説明します。

表 3: WLAN セキュリティアプローチの比較

機能	802.1X WLAN	静的な WEP	VPN	IPsec
強力な認証 (1)	使用可	使用不可	使用可、ただし、共有キー認証を使用した VPN では使用不可	使用可、ただし、証明書または Kerberos 認証を使用している場合
強力なデータ暗号化	使用可	使用不可	使用可	使用可
WLAN に対する透過的な接続および再接続	使用可	使用可	使用不可	使用可
ユーザー認証	使用可	使用不可	使用可	使用可
コンピュータ認証 (2)	使用可	使用可	使用不可	使用可
保護されたブロードキャストおよびマルチキャストトラフィック	使用可	使用可	使用可	使用不可
必須のネットワークデバイスの追加	RADIUS サーバー	使用不可	VPN サーバー、RADIUS サーバー	使用不可
WLAN 自体へのアクセスのセキュリティによる保護	使用可	使用可	使用不可	使用不可

(1) IPSec トンネルモードを使用する VPN 実装の多くは、XAuth として知られる弱い共有キー認証スキームを採用します。 (2) コンピュータ認証では、コンピュータにログオンしているユーザーがいないときでも、コンピュータは WLAN および企業のネットワークに接続した状態になります。この機能は、次の Windows ドメイン機能が正常に動作するのに必要です。 - 移動ユーザープロファイル - コンピュータグループポリシー設定 (特にスクリプトや展開されたソフトウェアの設定) - ユーザーログオンスクリプトおよびグループポリシーを使用して展開されたソフトウェア ##### 代替手段 1—WLAN テクノロジを展開しないおそらく WLAN セキュリティ脅威に対する最も明快な対処方法は、WLAN をいっさい展開しないでこれらの脅威を回避するというものでしょう。これまでに概説した WLAN の長所を優先させる必要があるかどうかは別にして、この戦略では落とし穴から免れることができません。最初から WLAN を導入しない組織は、META Group が呼ぶ "延期の代償 (Price of Postponement)" に対処する必要があります。これは単なる機会費用の問題では済まされません。META Group の調査は、10 年以上も前に多くの組織で有線 LAN の使用が管理されないまま拡大したという分析結果に基づくものでした。ほとんどのケースで、本社のＩＴ部門が介入し、LAN の展開を統制することを余儀なくされました。概して、それぞれが独立して互換性のない、多岐に渡る部門別 LAN の、リエンジニアリング費用は一般に莫大なものでした。詳細については、『How Do I Limit My Exposure Against the Wireless LAN Security Threat? The New Realities of Protecting Corporate Information』 (2002 年 12 月 18 日 META Group 発行) を参照してください。これは WLAN にも常に起こり得る脅威です。特に、各部署で何が起こっているかが物理的に見えない大規模な企業組織では脅威となります。極端に低価格のコンポーネントで実現可能になったことにより、管理されていない草の根的な WLAN の展開は最悪のシナリオとなる可能性があります。このような状態になると、組織は、前述したすべてのセキュリティの脅威にさらされますが、本社の IT グループはこのことを全く把握できず、また脅威と戦うための対処も不可能になります。つまり、WLAN テクノロジを採用しないという戦略をとる場合、その戦略を受動的にではなく、能動的に活用する必要があります。WLAN テクノロジを採用しないという決断をポリシーとして明確に宣言することで確固たるものとし、ポリシーを全従業員に認識させると共に、それに違反した場合の結果についても認識させる必要があります。また、スキャニング装置やネットワークパケットモニタを使用して、ネットワーク上で未承認のワイヤレスデバイスの使用を検出することも検討する必要があります。 ##### 代替手段 2—802.11 基本セキュリティ (静的な WEP) の使用 802.11 基本セキュリティ (静的な WEP) では、共有キーを使用してネットワークへのアクセスを管理し、同じキーを使用してワイヤレストラフィックを暗号化します。この単純な認証モデルは、多くの場合、WLAN カードハードウェアアドレスに基づいたポートフィルタリングにより代用されます。ただし、このモデルは、上記の 802.11 セキュリティに含まれていません。このアプローチの一番の魅力は、そのシンプルさにあります。このアプローチはセキュリティで保護されていない WLAN のセキュリティレベルをいくらか向上させますが、特に大規模な組織において、管理およびセキュリティ上の欠陥が伴います。 WEP を使用した場合の短所として、以下があります。 - WLAN アダプタを備えたパソコンと、Airsnort や WEPCrack などのハッキングツールを使用すれば、活動状態のネットワーク上で静的な WEP キーが発見されるのは時間の問題です。 - WEP の最も深刻な短所は、ネットワーク暗号化キーを動的に割り当てたり、更新するためのメカニズムがないことです。802.1X および EAP で定期的にキーの更新を強制しなければ、WEP が使用する暗号化アルゴリズムは、前述のキーリカバリ攻撃に対して脆弱です。 - 静的なキーを変更することは可能ですが、AP およびワイヤレスクライアント上でこれを実行するプロセスは通常手動で行う必要があり、また時間もかかります。さらに悪いことに、キーの更新はクライアントと AP 上で同時に実施し、クライアントの接続が切断されないようにする必要があります。実際にはこれはきわめて難しいため、通常、キーは変更されない状態となります。 - 静的なキーは、WLAN のユーザー全員とすべてのワイヤレス AP 間で共有する必要があります。多くの人間およびデバイス間で共有される機密情報について、長期間、秘密が維持される可能性はきわめて低くなると言えます。 WEP による WLAN では、WEP キーを用いた非常に限られたアクセスコントロールしか行えません。WEP キーとネットワークの名前がわかると (ネットワーク名は簡単にわかります)、そのネットワークに接続できてしまいます。そうした短所を改善するには、いくつかのクライアントネットワークアダプタアドレスをあらかじめ決めておき、それらのアドレスからの接続だけを許可するようにワイヤレス AP を構成するという方法があります。この方法は、Media Access Control (MAC) アドレスフィルタリングとして知られています。MAC レイヤは、ネットワークアダプタの低レベルのファームウェアに相当します。ネットワークアダプタアドレスフィルタリングによるアクセスコントロールには、以下のような問題があります。 - 管理性が非常に低い。クライアント数が多くなると、すべてのクライアントのハードウェアアドレスの一覧を管理し、それをすべての AP に配布し、AP 全体で同期するのが、面倒になります。 - 拡張性が低い。アクセスポイントによってはフィルタテーブルのサイズが制限されるため、結果的にサポートできるクライアント数が制限されることになります。 - MAC アドレスとユーザー名を対応させる方法がないため、ユーザー識別情報ではなくコンピュータ識別情報でのみしか認証できない。 - 侵入者が、“許可された” MAC アドレスを用いて接続する可能性がある。正当な MAC アドレスを探し出すことさえできれば、自分のアダプタに焼き付けられている既定アドレスの代わりにその正当なアドレスを使用するのは、侵入者にとって簡単なことです。事前共有キーソリューションは、複数の場所にわたってキーの更新を管理するのが困難なため、ユーザーおよび AP が少数の場合しか実現できません。WEP による暗号化の短所は、小規模な環境であっても、その実用性にきわめて問題があることを示しています。ただし、WPA の事前共有キーモードは、小規模な組織に対しては、インフラストラクチャのオーバーヘッドがきわめて低い、優れたセキュリティレベルを提供します。広範な種類のハードウェアが WPA PSK をサポートしており、WLAN クライアントを手動で構成することが可能です。SOHO 環境では、この構成を選択するよう検討してください。 ##### 代替手段 3—仮想プライベートネットワーク VPN は、ネットワーク暗号化として最も普及されている形式で、多くのユーザーがインターネットを介して送信されるデータの機密性を保護するために、試験され信頼された VPN テクノロジを採用しています。静的な WEP の脆弱性が発見されたとき、VPN は、WLAN 経由で送信されるデータをセキュリティで保護する方法として直ちに提案されました。このアプローチは、Gartner Group などのアナリストによって支持され、当然の成り行きとして VPN ソリューションのベンダによって強力に推進されました。 VPN は、インターネットなどの敵意のあるネットワークを安全に移動するための優れたソリューションです (VPN 実装の質はそれぞれ異なります)。ただし、内部 WLAN をセキュリティで保護するには、必ずしも最高のソリューションとはいえません。この種の利用方法では、VPN は複雑性やコストをいたずらに増大させ、利便性を低下させ、さらには重要な機能を実行不可能にさせる一方で、802.1X ソリューションと比べセキュリティの向上はほとんど見られません。 **注:** これは、パブリックなワイヤレス LAN のホットスポット上のトラフィックをセキュリティで保護するために VPN を使用することとは異なります。敵意のあるリモートネットワークを介して接続している、正規ユーザーのネットワークデータを保護することが VPN の正当な使用方法です。このようなシナリオでは、接続された安全性は、LAN 接続よりも侵入されやすく、また機能性の低いものと、ユーザーは考えます。これは、会社の施設内にいるときには考えもしないでしょう。 WLAN を保護するために VPN を使用する長所には、以下があげられます。 - ほとんどの組織で既に VPN ソリューションが展開されているため、ユーザーや IT スタッフにはこのソリューションに対する知識があります。 - VPN データ保護では、通常、ハードウェアベースの暗号化よりも簡単にアルゴリズムを変更および更新できるソフトウェア暗号化を使用します。 - VPN 保護は WLAN ハードウェアに依存していないため比較的安価なハードウェアを使用できる場合もあります (ただし、802.1X 対応のネットワークハードウェアの価格のプレミアム性はほとんどなくなりました)。ネイティブな WLAN セキュリティに代わる VPN の使用の短所には、以下が挙げられます。 - VPN はユーザーの透過性に欠けています。VPN クライアントでは、通常、ユーザーが VPN サーバーへの接続を手動で開始する必要があります。したがって、VPN サーバーへの接続は、有線 LAN 接続のように透過的ではありません。また、マイクロソフト以外の VPN クライアントでは、標準のネットワークまたはドメインログオンのほか、VPN サーバーへの接続時にログオン資格情報の入力が要求されます。WLAN 信号が弱いため、あるいはユーザーが AP 間を移動中であるために VPN が切断された場合、ユーザーは VPN に再接続する必要があります。 - VPN 接続はユーザーが開始するしかないため、使用されていないログオフ状態のコンピュータを VPN (つまり、企業 LAN にも) に接続することはできません。したがって、ユーザーがログオンしなければ、コンピュータをリモートで管理または監視することができません。スタートアップスクリプトやコンピュータに割り当てられたソフトウェアなど特定のコンピュータのグループポリシーオブジェクト (GPO) 設定を適用させることができません。 - 移動プロファイル、ログオンスクリプト、および GPO を使用してユーザーに展開されたソフトウェアが、予測どおりに動作しない場合があります。Windows のログオンプロンプトから VPN 接続を使用してログオンするようにユーザーが設定しておかなければ、ユーザーがログオンして VPN 接続を開始するまでコンピュータは企業 LAN に接続できません。これを行う前にセキュリティで保護されたネットワークへのアクセスを試みると、失敗します。マイクロソフト以外の VPN クライアントを使用する場合、VPN 接続経由で完全なドメインログオンを行うことができない場合があります。 - スタンバイまたは休止状態から復帰した場合、VPN 接続は自動的に再確立されません。ユーザーが手動で行う必要があります。 - VPN は、VPN トンネル内のデータを保護しますが、WLAN 自身は保護しません。依然として、侵入者は WLAN に接続し、WLAN に接続されているデバイスを探し出し、攻撃を試みることができます。 - VPN サーバーはボトルネックになる可能性があります。企業 LAN へのすべての WLAN クライアントアクセスは、VPN サーバー経由で行なわれます。これまで、VPN デバイスは、比較的速度の遅い大量のリモートクライアントに対してサービスを提供してきました。今後は、ほとんどの VPN ゲートウェイは LAN の最高速度で動作する数十台または数百台のクライアントしか扱うことができなくなります。 - VPN デバイスに対するハードウェアの追加費用や継続的な管理費用は、ネイティブな WLAN ソリューションにかかる費用を大幅に上回る可能性があります。各サイトでは、一般に WLAN AP ばかりか専用の VPN サーバーが必要になります。 - VPN セッションは、クライアントが AP 間を移動するときに切断しやすくなります。ほとんどの場合、アプリケーションはワイヤレス AP を切り替える際の一時的な接続の切断を許容できますが、VPN セッションは切断されてしまい、ユーザーによる手動の再接続が必要になります。 - マイクロソフト以外の VPN ソリューションでは、VPN サーバーとクライアントソフトウェアのライセンス費用、およびソフトウェアの展開費用が問題になる場合もあります。また、マイクロソフト以外のクライアントは主要な Windows 機能を置き換えることがよくあるため、VPN クライアントソフトウェアの互換性上の問題が発生することもあります。 - アナリストやベンダの多くは、VPN のセキュリティは WLAN セキュリティより常に優れていると、暗黙のうちに決め込みます。静的な WEP を使用した場合、これはある程度真実ですが、802.1X EAP ベースのソリューションを使用する場合は、必ずしもそうとはいえません。特に VPN 認証方法では、多くの場合、セキュリティ面でかなり劣る場合があり、最高の環境であっても、セキュリティ面で必ずしも十分に信頼できない可能性があります。たとえば、マイクロソフトがサポートしている WLAN ソリューションは、その VPN ソリューション (EAP-TLS および MS-CHAP v2) とまったく同じ EAP 認証方法を使用します。多くの VPN 実装、特に IPsec トンネルモードをベースにした VPN 実装では、事前共有キー認証 (グループパスワード) を使用します。これは、広く不評を招き、皮肉なことに、これらの脆弱性のいくつかを静的な WEP と共有するといった、セキュリティ上の深刻な脆弱性を示す結果となりました。 - VPNは WLAN 自体をセキュリティで保護するために何もしません。VPN トンネル内のデータはセキュリティで保護されますが、依然として、誰でも WLAN に接続し、WLAN 上の正規のワイヤレスクライアントおよびその他のデバイスに攻撃をしかけることができます。家庭のブロードバンド接続経由で VPN に接続している場合でも、ワイヤレスホットスポットから VPN に接続している場合でも、VPN は、敵意のあるネットワーク上を通過するトラフィックをセキュリティで保護するのに最適です。ただし、VPN は内部ネットワーク上のネットワークトラフィックをセキュリティで保護するように設計されたものではありません。ほとんどの組織において、このような役割を持たされた VPN は、ユーザーにとっては扱いにくく、機能的にも制限され、また保守を担当する IT 部門にとってはコストがかかり、複雑すぎるものになってしまいます。接続やトラフィックの特定の種類に対して高いセキュリティが必要となる例外ケースで、ネイティブな WLAN 保護のほか、VPN トンネルまたは IPsec 転送モードによりこれを提供できます。ただし、この場合、ネットワークリソースの使用には細心の注意が必要になります。 ##### 代替手段 4—IP セキュリティ IPsec では、2 つのネットワーク間で、相互に安全に認証し、それぞれのネットワークパケットを認証または暗号化することができます。IPsec を使用すると、ネットワークをもう一方のネットワーク経由で安全にトンネルしたり、2 つのコンピュータ間で転送中の IP パケットを単純に保護することができます。 IPsec トンネリングは、通常、クライアントアクセスやサイト間 VPN 接続で使用されます。IPsec トンネルモードは、ひとつの VPN 形式で、保護された IPsec パケット内で IP パケット全体をカプセル化することで機能します。ただし、これは、他の VPN ソリューションと同様、通信に対してさらにオーバーヘッドをかけることになります。IPsec トンネリングモードは、同じネットワーク上のシステム間でやりとりする場合、事実上必要ありません。IPsec トンネルモードの長所と短所については、前述の VPN についての説明で既に論じています。また、IPsecは、(トンネリングを使用しないで) IPSec "転送モード" を使用した 2 台のコンピュータ間のエンドツーエンド通信をセキュリティで保護できます。VPN 同様、IPsecは、多くの環境に適用できる優れたソリューションです。ただし、ここで明らかにされるとおり、ハードウェアレイヤに実装されたネイティブな WLAN 保護機能の代わりになるわけではありません。 IPsec 転送モードの保護機能の長所を以下にあげます。 - ユーザーに対して透過的です。VPN とは異なり、特別なログオン手順が必要ありません。 - IPsec の保護機能は、WLAN ハードウェアに依存しません。IPsec 保護機能に必要なのは、オープンな未許可の WLAN のみです。VPN とは異なり、通信の各エンドのコンピュータ間で直接セキュリティをネゴシエートするため、サーバーやデバイスの追加は必要ありません。 - 暗号化アルゴリズムの使用が、WLAN ハードウェアで制限されることがありません。ネイティブな WLAN セキュリティの代わりに IPsec を使用した場合、次のような短所があります。 - IPSec はコンピュータレベルの認証のみを使用します。ユーザーベース認証の仕組みも並行して実装する方法はありません。多くの組織では、これにより問題が発生することはありません。ただし、組織で "承認された" コンピュータへのログオンを管理したとしても、ネットワーク上の IPsec で保護された他のコンピュータに "不正な" ユーザーが接続できるようになります。 **注:** Windows 以外のプラットフォーム用に実装された IPSec には、ユーザーのみの認証を使用するものもあります。ただし、VPN ソリューションと同様、ユーザーがログインしていないときにはコンピュータはネットワークに接続されないため、特定の管理操作を防止し、ユーザー設定機能を無効にします。 - 大規模な組織の場合、IPSec ポリシーの管理が複雑になります。IP トラフィック全般を保護しようとするために、エンドツーエンドの保護が必要となる、より特殊な使い方に支障が出る場合があります。 - 完全なセキュリティを実現するには、すべてのエンドツーエンド通信を暗号化する必要がありますが、一部のデバイスは IPSec に対応していません。このため、これらのデバイスへのトラフィックは、暗号化しないで送信されます。IPsec は、これらのデバイスに対する保護を行ないません。これらのデバイスは、WLAN に接続するユーザー全員にさらされることになります。 - IPsec 保護は MAC レイヤではなく、ネットワークレベルで行なわれるため、ファイヤウォールなどのネットワークデバイスから見て完全に透過的ではありません。IPsec 実装によっては、ネットワークアドレス変換 (NAT) デバイス経由で動作しないものがあります。 - IPsec は、キーの相互認証および交換を行う 2 つのパーティを信頼するため、エンドツーエンドの IPsec はブロードキャストまたはマルチキャストトラフィックを保護できません。 - IPsec パケット内のデータを保護しますが、WLAN 自体は保護しません。依然として、侵入者は WLAN に接続し、WLAN に接続されているデバイスを探し出し、攻撃を試みたり、IPsec によって保護されていないトラフィックをリスンすることができます。 - IPsec ネットワークトラフィックの暗号化および復元を行うと、コンピュータの CPU に負荷がかかります。これにより、使用頻度の高いサーバーに過負荷がかかる可能性があります。IPsec の暗号化処理のオーバーヘッドは特殊なネットワークカード上で行なわせることが可能ですが、通常デフォルトでは適しません。 VPN と同様、IPsec は多くのセキュリティシナリオに適した優れたソリューションですが、ネイティブな WLAN 保護および WLAN セキュリティを処理しません。 [](#mainsection)[ページのトップへ](#mainsection) ### 適切な WLAN オプションを選択するこれまでの説明から、802.1X WLAN ソリューションが使用可能な代替手段のなかで最適なソリューションであることが認識できたはずです。ただし、「WLAN セキュリティについて」で説明したように、802.1X ソリューションの使用を決定したら、ソリューションを構成するために多くのオプションを選択する必要があります。主要な 2 つの選択は以下のとおりです。 - ユーザーおよびコンピュータを認証するために、パスワードまたは証明書のどちらを使用するかを選択します。 - 動的な WEP または WPA WLAN データ保護のどちらを使用するかを選択します。これらの 2 つの選択は、相互に依存するものではありません。前述したように、マイクロソフトでは、パスワード認証を使用する場合と証明書認証を使用する場合の 2 つの WLAN セキュリティソリューションガイドを提供しています。これらのソリューションは動的な WEP または WPA のいずれでも動作します。 #### 適切な WLAN セキュリティソリューションで意思決定を行う次のフローチャートに、2 つの WLAN セキュリティソリューションでの決定をまとめました。 ![](images/Dd362901.PEAP_i02(ja-jp,TechNet.10).gif) **図 2: WLAN セキュリティソリューションのディシジョンツリー** [拡大表示する](https://technet.microsoft.com/ja-jp/dd362901.peap_i02_big(ja-jp,technet.10).gif) このディシジョンツリーの結果は、組織の規模と指定されたセキュリティ要件によって異なります。ほとんどの組織では、どちらのマイクロソフト WLAN ソリューションでも修正せずにそのまま利用できます。たとえば、ほとんどの中小規模の組織では、「PEAP およびパスワードを使用して WLAN をセキュリティで保護する」ソリューションのガイドで説明したシンプルなパスワードベースの認証ソリューションを選択できます。大規模な組織では、デジタル証明書ベースの「ワイヤレス LAN のセキュリティ強化 (Windows Server 2003 証明書サービスソリューション)」を使用する傾向が強くなります。各ソリューションはこれらの読者を念頭に設計されましたが、各ソリューションともにかなりの自由度があります。「PEAP およびパスワードでワイヤレス LAN のセキュリティを保護する」ソリューションは、ユーザー数が数十から数千人の組織で展開できます。「ワイヤレス LAN のセキュリティ強化 (Windows Server 2003 証明書サービスソリューション)」は、ユーザー数が数百から数万人の組織に適しています (ユーザー数が 500 人未満の組織には、通常、証明書機関を展開および維持するのに十分な IT リソースがありません)。どちらのガイドでも共通して、パスワードベースの WLAN ソリューションを展開する大規模組織については直接触れていません。「PEAP およびパスワードでワイヤレス LAN のセキュリティを保護する」ソリューションでの技術詳細は、大規模なビジネスおよび小規模なビジネスで同じように適用できますが、大規模組織に必要な設計、計画、および運用情報については、説明を簡単にするため、省略しました。幸い、両方のソリューションで使用するアーキテクチャとテクニカルコンポーネントとの類似性を利用すると、比較的簡単にソリューションを部分的に組み合わせることができます。「PEAP およびパスワードでワイヤレス LAN のセキュリティを保護する」ソリューションには付録が用意されており、そこで、各ソリューションのどの部分が対応しているかについて説明しています。 #### 動的な WEP と WPA のいずれかを選択する WEP データ保護は、802.1X および EAP によって提供される強力な認証と動的なキー更新を組み合わせると、ほとんどの組織に対して必要十分以上のセキュリティレベルを提供します。ただし、WPA 標準はこれに改良を加え、さらに高いセキュリティレベルを提供します。各ソリューションでの WPA の使用と動的な WEP の使用にはあまり相違がなく、動的な WEP 環境から WPA 環境への移行はきわめて容易に行なえます。動的な WEP から WPA への移行における主な変更点は以下のとおりです。 - 使用するネットワークハードウェア (ワイヤレス AP およびワイヤレスネットワークアダプタ) で現在 WPA をサポートしていない場合は、これらのハードウェアに対応するファームウェアのアップデートを取得し、展開する必要があります。ほとんどの場合、ワイヤレスネットワークアダプタのファームウェアのアップデートは、ネットワークドライバアップデートに付属しています。 - ワイヤレス AP 上で WPA を有効にする必要があります。 - WLAN クライアント構成を変更して、WEP セキュリティに代わって WPA をネゴシエートする必要があります。 - WEP キーを更新するのに使用する IAS (インターネット認証サービス) リモートアクセスポリシー上のセッションタイムアウト値を増やして、IAS サーバー上の負荷を削減する必要があります。 **注:** IAS は、Microsoft RADIUS サーバーを実装したもので、Windows Server 2003 に含まれています。ただし、既定ではインストールされません。 WPA が選択可能であれば、WPA を最初に選択する必要があります。ただし、以下の問題点のいずれかによって WPA の使用が困難にならないかどうかを検証する必要があります。 - 使用するネットワークハードウェアで WPA をサポートしていない場合があります (新しいデバイスを使用している場合、WAP をサポートしていない可能性は低いのですが、WPA 以前のハードウェアが一般的にインストールされている場合があります)。 - GPO によって管理された設定のサポートは、Windows Server 2003 の SP1 にしか提供されていません (2004 年下半期ににサポートを予定しています)。これ以前のバージョンには、このサポートが提供されていません。Windows XP クライアントでは、手動で WPA を設定する必要があります。 - WPA がすべてのクライアントでサポートされていない場合があります。たとえば、Windows 2000 以前および Pocket PC では、WPA のサポートが現在組み込まれていません。 WPA を展開できる立場にないと判断した場合は、環境が整ったときに動的な WEP ソリューションを展開し、WPA への移行を計画するようにしてください。 [](#mainsection)[ページのトップへ](#mainsection) ### 要約本書では、ワイヤレス LAN セキュリティに対する戦略を計画するのに必要な事項について説明しました。最初に、ワイヤレスネットワークのビジネス上の長所を説明し、十分に保護されていない WLAN に対するセキュリティ上の脅威についても説明しました。中盤では、これらの脅威に対抗するために、802.1X、EAP、および強力なデータ保護機能をベースにしたワイヤレス LAN セキュリティの働きについて説明しました。VPN、IPsec、および静的な WEP セキュリティなどの代替手段の相対的なメリットについても説明しました。最後に、WLAN セキュリティオプションを選択する方法、また、マイクロソフトが提供する WLAN セキュリティソリューションのうち、自分の組織に最も適したソリューションを選択する方法についてのガイダンスを提供しました。 [](#mainsection)[ページのトップへ](#mainsection) ### 参照情報ここでは、重要な補足情報およびこのドキュメントに関連するその他のバックグランドへのリファレンスについて説明します。 - 「PEAP およびパスワードでワイヤレス LAN のセキュリティを保護する」に対応したマイクロソフトのソリューションは、次の URL から入手してください。 [https://technet.microsoft.com/library/dd362901.aspx](https://technet.microsoft.com/ja-jp/library/0727cb2f-68ce-4970-bfbc-fdd72fa1f758(v=TechNet.10)) - 「ワイヤレス LAN のセキュリティ強化 (Windows Server 2003 証明書サービスソリューション)」に対応したマイクロソフトのソリューションは、次の URL から入手してください。 [https://technet.microsoft.com/library/cc527046.aspx](https://technet.microsoft.com/ja-jp/library/40ad9fbf-71fc-4ade-af08-905a35ae95e8(v=TechNet.10)) - IEEE 802.11 および関連テクノロジの詳細については、次の URL にある「*Windows Server 2003 Technical Reference*」の「802.11 Wireless Technical Reference」 (英語) を参照してください。