無線LANのセキュリティ
「無線LANセキュリティガイドライン(R6.3)」について
総務省の「無線LAN(Wi-Fi)のセキュリティに関するガイドライン」が更新されました。
ここでは、独自コメントを追加しつつ、いくつかポイントを解説します。
✓「なりすまし」により加害者とされてしまうリスク
例えば、辞めた社員が退職後に非常階段から会社の無線LANに接続したり、あるいはゲストが有線LANから無線親機にアクセスして無線パスワードを盗んだりして、社員になりすまして他社のサーバを攻撃したり、ウイルスをばらまくと、、、発信元が自社であると発覚し、責任を負わされかねません。
(対策)
●無線親機のパスワードはデフォルト(取説に書いて公開されている機種もある)から変更する。
●法人の場合は、法人向け無線LAN親機(=利用者を個別に認証できる)+認証サーバ(RADIUSサーバ)でユーザー個別に登録する。
RADIUSサーバは、自分で構築するのは大変ですが、BUFFALOやELECOMの場合は、4万円程度から内蔵RADIUSサーバつきの法人向け機種があります。(一覧表で「RADIUS認証」または「802.1x」対応の機種)
IOデータではNASに入れられる無償の「RADIUSパッケージ」を用意しています。(NASのユーザーとしてcsvで一括登録可能)
✓弱い暗号の使用で、盗聴されるリスク
弱いセキュリティ方式(認証方式&暗号方式)を使っていると、ネットワークに不正侵入されたり盗聴されます。
例えば、WEPという方式は、2008年には破られ、iPhone3GSにクラックツールを入れて、どこでも無料でインターネットが利用できました。(←犯罪ですよ)
現時点においては、WPA2-PSK(AES)またはWPA3を利用しましょう。
※なおWPA2で利用可能なTKIPという暗号方式は、ぜい弱性が見つかっているので推奨されません。