一般家庭、ビジネス向けの無線LAN に求められるセキュリティは、"クライアントとアクセスポイント間の盗聴" と "アクセスポイントへの不正侵入" 防止機能です。
無線LAN のセキュリティ は規格化されており、既にセキュリティとしては意味を成さない規格や脆弱性を持つ規格も 2006年 中現在も発売されています。
ここでは、無線LAN 製品を購入する上で抑えておきたいセキュリティに関する規格について説明します。これらの機能を有する無線LAN 製品を購入する必要があります。
無線LAN アクセスポイントへのアクセス制限は、こちらで説明しているように複数の対策があり、併用する必要があります。中でも重要なのがネットワーク認証です。
現在発売されている無線LAN アクセスポイントに実装されるネットワーク認証方式に PSK 認証方式があります。これは共通鍵により無線通信の暗号化とネットワーク接続のための認証を同時に行う方式であり、暗号化アルゴリズムに関しては、WEP と AES の二種類が存在します。
この鍵は長いほど解読に時間を要します。128bit / 256bit などの数字で表されており、数字が大きいほど強度が高くなります。
既に解読された WEP はいくら強度を上げた所で時間を掛ければ解読できるため、ブロードバンド、常時接続、パソコンの高性能化が当り前になった一般家庭では、セキュリティ上、全く意味を成さないものになっています。
暗号が解読されるとそれは通信を盗聴されるだけでなく、ネットワークへの不正侵入を許してしまうという点が問題になります。
例え MACアドレスによる接続制限を併用していても、暗号化された通信が解読されれば、接続可能なMAC アドレスも分かってしまい意味がありません。MACアドレスが偽装された場合、不正進入を許す事になります。
これを防ぐには、暗号が解読されない事が絶対条件となりますが、社内のネットワークに乗り入れる場合、暗号化アルゴリズムに欠陥が発見されると不正進入を許すことになるため不安もあります。
この場合、更にネットワーク接続の際に認証を求める事で不正進入に対してセキュリティを高める方法もあります。
参照 => IEEE802.1X / EAP認証 ~ 進入させないための対策
個人、SOHOレベルでは、後述する WPA2-PSK 対応製品であれば十分なセキュリティは確保できると思います。
公衆無線LAN アクセスポイントでは、一般に接続認めるためWEP鍵が公開されています。このようなケースでは、無線は暗号化されるものの容易に暗号を解読する事が出来ます。セキュリティ対策については以下を参照して下さい。
参照 => 公衆無線LANサービスのタイプ と セキュリティ対策について
無線傍受による盗聴、情報流出を防ぐには 【アクセスポイント】 とパソコンに取り付けられた 【無線LAN アダプタ】 との間(無線)を暗号化する必要があります。
IEEE802.11 で最初に実装された暗号化方式です。WEP に使用される RC4 暗号化アルゴリズムには脆弱性があり、暗号化されたパケットからカギを解読する事が出来てしまいます。(解読ツールも広くでまわっています)
また、PSK認証時に使用する鍵が固定であり、一度解析されると鍵を作り直すまで暗号化の意味がなくなるばかりか、不正進入を許す事になります。仮に、定期的に共有鍵を更新するにも、数分おきに更新する必要があり、クライアント側にも変更を求めるため現実的ではありません。
128bit/156bit と強度を上げた製品も存在しますが、鍵が固定である以上、時間をかければ解読が可能です。WEP にしか対応していない古い無線LAN の使用、混在は避けるべきです。
未だに一般家庭ではWEPで十分だいう呆れたメーカーも存在します。また、これらの理由から WPA-TKIP に対応させるファームウェアを出さないメーカーも多く、購入してから僅かな期間で製品の買い替えを余儀なくされるケースもあります。しかし、WEP しか利用出来ないアクセスポイントを何時までも使用するのは非常に危険です。
■ダイナミックWEP について
ISPなど通信事業者が提供する有料の公衆無線LANサービスでは、ダイナミック WEP という方式が採用されています。共通の鍵を使用せず、ユーザー毎に異なる鍵を使用し、更に通信中に自動的に異なる鍵を相互に交換し定期的に変化させる事で盗聴による解読を困難にしています。逆に、無料で提供される公衆無線LANサービスの多くは、固定キーの WEP が使用されているアクセスポイントが殆どです。
WPA とは、Wi-Fi Alliance が策定した無線LAN 暗号規格の総称で実質 WEP の後継となります。固定鍵を通信中に自動的に派生させ、通信中に自動的に鍵の更新を行う TKIP 暗号化プロトコルを採用する事で解読を難しくしています。
WEPと同じくRC4アルゴリズムを使用しているため、復元のためのハードウェアを必要としないので、ファームウェアの更新で WPA (TKIP) へアップグレードできるメリットがあります。しかし、鍵情報の一部が漏れてしまうRC4の脆弱性もそのまま引き継ぐため下記、WPA2 (IEEE802.11i)が普及するまでの暫定的な位置付けにあります。
WPA には、RADIUSサーバなど認証サーバーを使用したネットワーク認証が可能な WPA-EAP、アクセスポイントとクライアント側で共通の 8~63文字の鍵を使用する WPA-PSK があり、主に、前者は業務用、後者は家庭向けの製品が対応しています。上記の図は、WPA-PSK になります。
上記、WPA の後継となる規格で、 TKIP に加え強力な AES 暗号化アルゴリズムをサポートしています。
AES が使用可能な点を除いては、WPA と共通しており、AES に対応した方式を総称して WPA2 と呼ばれています。AES では、従来の WEP で使用される RC4 暗号化と異なるため、従来の機器では暗号を生成・復元する事が出来ません。そのため、AES に対応した無線LANアクセスポイントを新たに購入する必要があります。
AES 対応の製品は、現地点では、もっとも安心して使用できます。このサイトでおすすめとして紹介している製品は全て対応しています。