無線LAN(Wi-Fi)のセキュリティ対策
無線LAN(Wi-Fi)は、電波などを用いて無線通信を行うことからセキュリティ対策が欠かせません。こちらでは、無線LAN(Wi-Fi)を使用するうえで覚えておくべき、セキュリティ対策の種類について説明します。
Wi-Fiのセキュリティ対策とは
電波を利用した無線通信技術のWi-Fiは、自由度が高い反面、LANケーブルで機器を接続する有線LANに比べてセキュリティリスクが高まります。そこで導入の際にはセキュリティ対策も不可欠です。その代表的な方法が通信データの暗号化やMACアドレスによる端末認証です。その他、一般的なオフィスや飲食店では、社員用とは別で、来客用にゲストWi-Fiを設定するといった方法がありますが、今回は工場や生産ラインなどでの利用を想定しているので割愛します。
通信データの暗号化+認証を行う『WPA』
Wi-Fiには、通信に関する規格の他、セキュリティに関する規格があります。それが『WPA(Wi-Fi Protected Access)』です。
初期の無線LAN(Wi-Fi)では、『WEP(Wired Equivalent Privacy)』と呼ばれる暗号化方式が用いられていましたが、脆弱性が発見されたことから2002年頃に『WPA』の仕様が発表されました。WEPは暗号化方式、WPAは暗号化+認証方式によるセキュリティ規格となります。
WPAは、標準の暗号化方式に『TKIP』を採用したセキュリティ規格で、WEPの強化版となります。ただ、根本的な暗号化方式としてWEPを踏襲しているため、セキュリティ強度が低くなっています。その欠点を補うため、セキュリティ強度の高い規格『WPA2』が登場し、現在では『WPA3』が最新となります。
以下は、Wi-Fiセキュリティ規格の一覧です。『WPA』『WPA2』『WPA3』では、それぞれ個人向けモードとして『Personal』と法人向けモード『Enterprise』の2種類が用意されています。Wi-Fiセキュリティに関しては、個人・法人問わず、『WPA2』以上が推奨されています。
Wi-Fiセキュリティ規格
| セキュリティ規格 | モード | 暗号化方式 | 認証方式 | |||||
|---|---|---|---|---|---|---|---|---|
| セキュリティ規格 | WEP | モード | - | 暗号化方式 | RC4 | 認証方式 | オープンシステム認証・共通鍵認証 | |
| セキュリティ規格 | WPA | WPA | モード | WPA-Personal | 暗号化方式 | TKIP | 認証方式 | PSK |
| セキュリティ規格 | WPA | モード | WPA-Enterprise | 暗号化方式 | - | 認証方式 | 認証サーバー | |
| セキュリティ規格 | WPA2 | WPA2 | モード | WPA2-Personal | 暗号化方式 | AES | 認証方式 | PSK |
| セキュリティ規格 | WPA2 | モード | WPA2-Enterprise | 暗号化方式 | - | 認証方式 | 認証サーバー | |
| セキュリティ規格 | WPA3 | WPA3 | モード | WPA3-Personal | 暗号化方式 | - | 認証方式 | SAE |
| セキュリティ規格 | WPA3 | モード | WPA3-Enterprise | 暗号化方式 | - | 認証方式 | 認証サーバー |
【Wi-Fiセキュリティで用いられている暗号化方式】
RC4(Rivest Cipher 4)
暗号キーをもとに疑似乱数を用いたキーストリームを作成し、平文とともにXOR演算を行うことで暗号化および復号を行う暗号化技術。多数の脆弱性が発見され、現在では使用が推奨されていません。
TKIP(Temporal Key Integrity Protocol)
通信を繰り返し行うとき、暗号キーを毎回変更できるようにした方式。暗号キーが見破られても短時間で変化するため、高い安全性が確保されています。
AES(Advanced Encryption Standard)
無線LAN上のデータを一定の長さで分割し、置換・並び替えを繰り返す暗号化アルゴリズム。現時点で第三者による解読不可とされている強固な暗号化方式です。
【Wi-Fiセキュリティで用いられている認証方式】
PSK(Pre-Shared Key)
事前共有鍵方式とも呼ばれる、通信で使われる暗号キーを事前に共有する認証方式。複数デバイスで事前に暗号キーが共有でき、セキュリティ強度とスムーズなアクセスを実現しています。
SAE(Simultaneous Authentication of Equals)
WPA2で使用されていた認証方式PSKの脆弱性を解消した、WPA3に実装されたSAEハンドシェイクと呼ばれる最新の認証方式です。
認証サーバー方式
暗号キーの認証を専用サーバーで行う方式です。主に企業向けのWi-Fiセキュリティで用いられ、PSKよりも高いセキュリティ強度になります。
MACアドレスによる端末認証
Wi-Fiのセキュリティ対策として、MACアドレスによる端末認証という手法もあります。MACアドレスとは、デバイスごとに割り振られた住所のような識別番号です。このMACアドレスを用いて接続機器を識別し、接続の可否を判断する方法がMACアドレスによる端末認証です。ただし、MACアドレスは、敵意を持った攻撃者に対してセキュリティレベルが低いため、あくまでWPA2以上のセキュリティ対策が前提となります。
キーエンスの産業用ワイヤレスシステム『WS-1000シリーズ』は、WPA3に対応した上でMACアドレスを利用した接続制限が可能です。設定した端末のみ設定変更・モニタリング可能といったように、管理者と現場担当者で切り分けることで安全な運用に役立ちます。MACアドレスによる制限は、あくまでフィルタリングが主な用途として考えるべきでしょう。
