セキュリティの基本
ネットワーク上のデータ転送におけるセキュリティの基本的な考え方は、次の 3つです。
- データの機密性
- データの整合性
- データの可用性
データの機密性は、正規のユーザのみがネットワーク上で転送されるデータを
見られるようにして、権限のないユーザがデータを見られないようにすること
です。
そして、データの整合性とは、送信元ホストが送信したデータが途中で改ざん
されることなく送信先に転送されるようにすることです。
また、データの可用性とは、いつでも利用したいときにネットワーク上のデー
タ転送ができるようにすることです。
データの機密性に対する脅威はデータの盗聴です。不正なユーザがネットワー
ク上を転送されているデータを途中で盗聴すると、そのデータの中身が知られ
てしまうことになります。有線LANでは、データはLANケーブル上を流れていく
ので、盗聴するためには物理的にケーブルに特殊な機器を備え付けるなどが必
要です。しかし、無線LANでは、データは電波に載せて転送されていきます。
電波は空気中を拡散して伝わっていくので、データの盗聴が非常に容易です。
盗聴を防止するためには、
- ユーザ認証
- データの暗号化
が効果的です。
アクセスポイントでのユーザ認証を行い、正規のユーザのみがアクセスポイン
トにアソシエーションできるようにすることで、盗聴の危険性を減らすことが
できます。ただし、アソシエーションしていなくても、無線LANの電波を傍受
すれば、データの盗聴が可能です。そのため、アクセスポイントのユーザ認証
だけでなくデータの暗号化も行い、電波を傍受されてもデータの中身がわから
ないようにすることも重要です。
データの整合性に対する脅威はデータの改ざんです。送信元から送信したデー
タを途中で改ざんされてしまうと、そのデータを利用するシステムの整合性が
取れなくなるなどのさまざまな問題が発生します。
データを改ざんされないようにするためには、
- データの暗号化
- パケット認証
が有効です。
暗号化すれば、データの中身を勝手に書き換えられる危険性が少なくなります。
パケット認証とは、パケットが改ざんされていないかどうかをチェックする仕
組みです。
可用性に対する脅威は、DoS(Denial of Service)攻撃です。DoS攻撃とは、大
量のデータを送信することでネットワークを利用できないようにする攻撃です。
DoS攻撃に対する対策としてIDS/IPSの導入があります。
無線LANで考えるセキュリティ対策で重要なものはデータの機密性とデータの 整合性です。つまり、ユーザ認証とデータの暗号化が重要です。ユーザ認証と データの暗号化について、無線LANで利用できるセキュリティ機能には、次の ようなものがあります。
【ユーザ認証】
- SSIDの隠蔽
- MACアドレスによるフィルタリング
- WPA
- IEEE802.11i(WPA2)
【データの暗号化】
- スタティックWEP
- WPA
- IEEE802.11i(WPA2)
これらのセキュリティ機能の変遷は次のようになります。
初期の無線LANセキュリティ機能
SSIDの隠蔽
MACアドレスによるフィルタリング
スタティックWEP
↓
WPA-2002年10月
↓
IEEE802.11i(WPA2)-2004年7月
初期の無線LANセキュリティからWPA、IEEE802.11i(WPA2)へとよりセキュリテ ィ機能が強化されています。WPA2はIEEE802.11iの標準に準拠していて、ほぼ 同義です。
