企業の社内ネットワークを有線LANから無線LANにすると、どれだけリスクが高まりますか?
無線LANを導入する場合、リスクを最小限に抑えるにはどうしたらいいでしょうか?
A
あくまでも「ある条件の下」においての話ですが、これまで有線ケーブルでのみ構築していた社内LANに無線接続を加えた場合には、確実にネットワークの安全性が低下します。
「ある条件」とは
無線LANにアクセスするには、当然ですが、アクセスポイント(AP)を設置する必要があります。APの設定には、SSIDの設定や暗号化用のパスフレーズの設定、暗号化方式の設定、その他セキュリティを高めるために数多くの設定を行います。
「『ある条件の下』において確実にネットワークの安全性が低下」するというのは、これらのセキュリティ設定がなされていない、もしくは、これらの設定が甘い状態のことを指します。
具体的な例を幾つか挙げておきましょう。
1)暗号化用のパスフレーズが設定されていない(フリースポット状態)
2)推測可能なパスフレーズが設定されている(「123456」や[111111]など)
3)数字を順番に試行する総当たり攻撃によってすぐに破られてしまうものが設定
されている(「111112」や「111113」「111114」など)
4)暗号化方式に「WEP」が採用されている
こうした状態では、APにアクセス可能な距離にいる人であれば、社外の人であっても容易に社内ネットワークにアクセスできる可能性が高まります。よく「社内で勝手に無線LANを設置しないでください」という禁止命令が出されている会社がありますが、その理由は、こうした甘い設定で使用されては、ネットワークの安全性を保つことが難しくなってしまうからです。
一般的に、組織規模に応じて社内LANの規模は大きくなる傾向にあります。また、より統制された社内インフラが必要となってきます。そのため、手軽さ故に脆弱にもなりかねない無線LANについては、最初から利用禁止するのも一理あります。
とはいえ、無線接続を可能にすると多くのメリットもあります。例えば、ケーブルがなくなると机上がすっきりし、座席変更も楽に行えます。また、ケーブルのない会議室その他のスペースでも仕事ができるようになります。「できれば無線を使いたい」という声は決して少なくはないはずです。自宅では無線LANを導入して使用しているのに、どうして会社では利用禁止なのかと不審に思っている方も少なくないはずです。
家庭と会社の違い、リスクの違い
なぜ会社で無線化が実現していないのか、それは、会社で無線LANを導入した場合のリスクを考えてみるとよく分かります。
社内のネットワーク上には、社員一人ひとりが使用するPCだけでなく、たくさんの端末が存在しています。例えば、普段使用しているファイルサーバーや、勤怠管理システム、ワークフローシステムやスケジューラー、入退室管理システムなどを自社内で運用している場合、これらの重要なシステムがネットワーク上に多数存在しており、企業秘密の情報や個人情報など膨大なデータがあります。情報システム部門のインフラ管理者の方々はこれらの情報資産を守るために、社内ネットワーク運用の安全性に日夜気をつかっています。
有線LANだけで社内LANが構成されている場合、端末側にLANソケットがあることとLANケーブルで物理的につなぐということが、ネットワークに入る必須条件となります。すると、接続できる機器が限られ、しかも見た目ですぐに分かるため、管理が非常に容易です。
ところがここに「ある条件の下」にある無線LANのAPが登場したらどうなるでしょうか。
スマートフォンやタブレット、周辺機器や家電製品など、現在ではさまざまな機器が無線LANに対応しています。無線LANを導入する際に、例えば「SSIDは分からないようにしているから暗号化はしなくても大丈夫」と油断していると、オフィス内での利用者を想定して設置したAPの電波をオフィスの外から拾われてしまい、悪意あるユーザーに使用されてしまう可能性も出てきてしまいます。
単にAPを不正利用されてインターネットを使い放題にされるだけでなく、社内ネットワークに不正にアクセスされ、機密情報へのアクセスを許してしまい、情報漏えい事故の原因になってしまう可能性さえ出てきてしまいます。
しかし、だからといって「企業で無線LANを使うのは危ない」「無線は盗聴の可能性がある」「そんな危ないものは使用禁止にする」などと、杓子定規にルールで縛ってしまうのも考えものです。せっかく便利に使える技術なのですから、無線の特性や利用リスクを正しく理解し、正しく利用したいものです。
結論を述べれば、無線LANは、リスクも把握した上で正しく使用すれば、会社にとっても非常にメリットが高いものです。オフィスのレイアウトの自由度を高め、打ち合わせや働く場所の制約を取り払い、私たちにより良い労働環境を提供してくれるはずです。
リスクを最小限に抑えるには
では、リスクを最小限に抑えるにはどうしたらよいでしょうか。
まず、家庭でも企業でも最低限実施すべき設定があります。それは暗号化です。APの設定には必ず暗号化方式の選択、パスフレーズの設定の項目があります。この暗号化方式の選択はAPの機種によっても異なることがありますが、市販されている機種でもオフィスユースの機種でも暗号化方式に関しては「WPA2」(または「AES」)と書かれたものを選択しましょう。決して「WEP」を選択してはなりません。
「WPA2」には、事前に設定したパスフレーズを知っている利用者だけが接続可能となるモードを「WPA2-PSK」(または「WPA2パーソナル」)と、IEEE802.1xという規格を用いて認証を行う「WPA2エンタープライズ」の2種類があります。
ひとまずWPA2-PSKで暗号化および認証を行う方式でも安全な利用は可能ですが、企業や大きな組織の場合、よりセキュリティを強化する必要があるので、WPA2エンタープライズモードで社内に存在する認証サーバー(RADIUSサーバー)との連携を取り、社内のディレクトリサービス(例えばMicrosoft社のActiveDirectoryなど)を用いて認証を行うのが望ましいでしょう。
WPA2エンタープライズを選択すると、社内にアカウントを持つ利用者のみに利用を制限することが可能となり、よりセキュリティが強化されます。また、接続可能なハードウェアも制限をかけることが可能になるため、個人用PCやスマートフォン、タブレットが無線LANにアクセスすることを拒否することも可能です。
最後に普及期にある新しい技術は、ついついリスクのみが強調されます。また、よく分からない技術は利用しないといった対策が取られがちです。無線LANの技術も当初は確かにリスクもあったため、同様の考えが広まりました。しかし、問題解決に向けてたくさんの技術者が取り組み、より安全に利用できるように改善されてきました。そのため今では、利用する側の理解としっかりとした設定さえ行われれば、有線LANと同程度の安全性が確保されているのが現状です。便利な技術を正しく理解・運用することで、組織の業務効率向上やアイデア創出の機会となり、より良いビジネスにつながっていくことを期待してやみません。