人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

クライアントから重要なデータを預かっている小規模オフィスで、無線LANを入れられないか?という話が出てきました。昔、セキュリティ上問題があるという話を聞いていたのですが、現在は技術が進んで大丈夫になっているのでしょうか?

●質問者: bababa
●カテゴリ:コンピュータ インターネット
○ 状態 :終了
└ 回答数 : 6/6件

▽最新の回答へ

1 ● migrantblacky
●17ポイント

これは参考になりますか?

サイバー犯罪に遭わないために(連載)第16回LANジャック(鳥取県警察)

現在市販されている無線LANの機器は、情報を傍受されないよう暗号化を行う機能とともに、あらかじめ設定されたコンピュータ以外のコンピュータが接続することができないようにする機能が備えられています。ですので、これらの機能をきちんと設定した上で有効にすれば、とりあえず、こういった侵入の脅威からは守られます。したがって、これらの機能をきちんと設定した上で、有効にすることは絶対に必要です。無線LANを使う者の義務であるといっても過言ではありません。もちろん、前回お話したとおり、絶対破られない暗号など存在しませんし、設定情報を盗まれれば、上で述べた機能も侵入者の前には無力です。しかし、そこまでして特定の無線LANに侵入しようとする侵入者などそうそうはいない、というのも、また統計的事実です。遺憾なことに管理が甘い無線LANは世の中にいくらでもありますので、侵入者は、簡単に侵入できないと分かった時点で、簡単に侵入することができる別の無線LANに侵入対象を切り換えていきます。もちろん、LANに重大な機密情報が保管されていたり、LAN自体が特殊なものであったり(例えば、そのLANを経由して、重要なシステムを運転操作することができるなど)といった特別な事情があれば、そこまでして侵入しようとする者も出てくるでしょう。ですから、あとは、当該LANで扱う情報等の重要性との比較衡量になります。機密情報を扱ったり、重要システムを操作するようなLANであれば、多少の不便には目をつぶり、有線のLANを利用することが賢明です。


2 ● じゅぴたー
●17ポイント

「クライアントから預かっている重要なデータ」が有線LAN上でやり取りされており、あらたに無線LANを導入した場合にセキュリティ上のリスクが発生しないか、というご質問だという解釈で回答します。

有線LANと無線LANのセキュリティ・リスクの違いは、盗聴に関するものです。

詳しくは「企業無線LANセキュリティの注意」(IPA)に整理されていますが、

  1. SSIDのステルス化
  2. 暗号化通信方式をWPAまたはWPA2に設定
  3. MACアドレス認証の実施

を行えば、セキュリティリスクはかなり低減されます。


数年前に比べると暗号化方式が高度になっていますが、それを破る技術も進歩しているので、単純な比較はできません。

それより前に検討することは、本当に無線LANが必要なのか、ということでしょう。


3 ● JULY
●17ポイント

既に暗号化に関して、回答が出ていますが、単に電波を受信してその暗号を解く、という形での盗聴に関しては、今のところ WPA2-AES で問題ないだろう、という感じです。


無線LANのセキュリティに係わる脆弱性の報告に関する解説 (概要)


で、もう一つ、別の観点から問題点を指摘しておきます。


電波を傍から傍受するリスクに関しては、適切な暗号化手段を使うことで防げますが、「部外者がつなげてしまう」という問題は、暗号化とは別の問題として考えた良いです。


一般的にはつなぐための共通の「鍵」を設定しますが、皆が同じ「鍵」を使うということは、その「鍵」が漏れる可能性も高いことになります。例えば、「無線 LAN につなぐには、この鍵だから」と言って、個々でクライアントの設定を行うような場合、誰かが退職したら鍵を変更しないと「鍵を知っている部外者が存在する」という状態になります。


これに対抗するために、じゅぴたー さんが挙げらている MAC アドレスによる認証が必要になります。ただ、退職前に自分が使っている無線 LAN の MAC アドレスを確認しておいて、MAC アドレスが変更出来るタイプの無線 LAN アダプタを用意されると、「鍵」を変更せずに放置した場合には繋がれてしまうことになります。


# なかなか、そこまでやる人は少ないとは思いますが...


ただ、共通の「鍵」を変更するとなると、利用している PC 全てで設定変更が必要になります。台数が多くなると、ちょっと現実的でなくなることもありえます。


で、「鍵」を皆で共有せず、個々に別々の鍵を用意できるタイプもあります。


IEEE 802.1X - Wikipedia


802.1X 認証という仕組を使うと、退職者した人がいたら、その人の鍵だけを無効にすればよいことになり、共通の鍵を変更する場合のような手間はなくなります。


実際、802.1X に対応した製品も企業向けとして売られていますが、一般家庭向けのものに比べて割高にはなります。


管理者機能搭載アクセスポイント(法人様向け) | BUFFALO バッファロー

IEEE802.1X認証対応クライアント(法人様向け) | BUFFALO バッファロー


台数が少なければ、家庭向けのもので、誰か辞めたら「鍵」を変更するか、無線 LAN のクライアントの設定を個々に設定させないで、管理部門が設定するような運用をすれば、それほど恐れることは無いと思いますが、逆に言うと「運用」が重要です。


もし、台数が多ければ、前述の 802.1X 認証の仕組を検討した方が良いと思います。もっとも、802.1X を導入しても、適切な管理をしないとダメなことには違いないですので、「運用」もしっかりと。


4 ● koutarou
●17ポイント

>無線LAN。セキュリティ。今は大丈夫?


確かに、2009年頃は無線LANの「セキュリティ問題」というのがありました。

「情報セキュリティ白書2009」でも、10大脅威(利用者への脅威:第2位、脆弱な無線LAN暗号方式における脅威)に挙げられています。


現在の無線LANは、以前に比べて技術・啓発も進み、セキュリティは向上しています。


では、大丈夫なのか?

これについては、無線LANを利用してデータのやり取りを行なう双方(データ管理者とクライアント)のセキュリティ対策次第ということになると思います。


重要なデータを預かっているデータ管理者が高度なセキュリティ対策を行なったとしても、利用者であるクライアントがセキュリティ対策のレベルを同期させなければ不備が生じかねません。ちなみに、「情報セキュリティ白書2011」10大脅威の第1位は、”「人」が起こしてしまう情報漏えい”です。

情報セキュリティ白書2011

情報セキュリティ白書2011


無線LANを入れられないか?

導入時にはセキュリティレベルの同期をはかるためにも、クライアントのセキュリティ対策はどうか。話し合いの場を設けてはどうでしょうか。また最近では、ウェブサイト経由、クラウド、SNS、携帯、スマートフォン等のセキュリティ問題が多様化してきていますね。


5 ● 5SSwiking
●16ポイント

現在の無線LAN暗号化技術は,既に回答がでているとおり「破るのが困難」です。機器制御による漏洩も紹介されていますので暗号部分に絞ります。

無線LANの暗号を完全に破れないかと言いますと「可能性がある」という答えになります。暗号を解析し破るには,「平文」(普通の文章)を大量に入手する必要があります。そのネットワークで,私的チャット・メッセ・メール等にも使ったりすると暗号キーの予測がついてしまいます。以下の本は,一般の人向けに書かれていますので参考資料としてみてください。

暗号解読〈上〉 (新潮文庫)

暗号解読〈上〉 (新潮文庫)

暗号解読 下巻 (新潮文庫 シ 37-3)

暗号解読 下巻 (新潮文庫 シ 37-3)


1-5件表示/6件
4.前の5件|次5件6.
関連質問

●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ