JAPAN SYSTEMS Driving for NEXT NEW with Comfort and Convenience

パスワードでは危ない!?タブレットPCも、証明書認証の時代です!

パスワードでは危ない!?
タブレットPCも、証明書認証の時代です!

いまや無線LANはビジネスインフラとしての市民権を得ており、本体にLANケーブルが接続できないPCが発売され、タブレット端末も当たり前のようにビジネスの場で利用されるに至りました。ある民間リサーチ会社が行った調査では、無線LAN導入の検討理由には働き方改革の項目が並び、会議運営の効率化、オフィスレイアウトの柔軟性に次いで、タブレット端末やスマートフォンの活用をあげるところが続きます。

実際のところ業務において施設内を移動しながら「PCを持ったまま自由に移動できる」「どんな姿勢でも利用できる」タブレットの登場は画期的で、このメリットを生かし導入している企業や団体も増えているのではないでしょうか。

倉庫 トラックターミナル 学校 自治体 病院 エンターテイメント

一方で無線LAN導入を検討する企業の中で6割を超える企業がセキュリティ対策を重要視するとの結果も出ています。実際、2017年のKRACKsに代表される無線LANのセキュリティ問題は記憶に新しく、テレビのニュースでも取り上げられ、無線LANの社会的な広がりとその関心の高さを示すものとなりました。しかし、まだまだセキュリティ対策よりも導入コストが優先される傾向は強いようです。

そのネットワーク、安全ですか?

無線LAN導入における課題

無線LAN導入に潜むセキュリティ対策へのリスク

パスワードは破られる

無線LANのセキュリティ対策は、「暗号化」と「認証」の2つがあります。「暗号化」は通信の電波を読み取られない仕組み、現在はWPA2という方式が標準となっています。「認証」は、無線LANの利用者が正しい人かどうかを判別する仕組みですが、 いくら通信が「暗号化」されていても、この「認証」で利用者本人と誤認されてしまうと「暗号化」の意味がまったくなくなってしまいます。

現在、無線LANの認証方式は「PSK方式(Pre-Shared Key)」と呼ばれるパスワード方式が一般的です。量販店で無線LAN機器を購入してくると、ほとんどの製品において、PSK方式が工場出荷時の設定になっています。 PSK方式は手軽に導入でき、一定の効果を期待できることから、導入している企業・団体も多いことと思います。

量販店で無線機器を購入すると機器本体に、このPSKで用いる10桁ほどのパスワードがシールで貼り付けられています。パスワードがシールで貼られている時点で、セキュリティ的に問題を感じますが、PSK方式で比較的安全に利用するためには、一般的に以下の5つの運用が必要です。

1
20桁以上で英大・小文字、数字、記号が含まれる複雑なパスワードに変更する
2
容易に推測できるような文字列をパスワードにしない
3
パスワードを他者の目に触れるところにおかない
4
1日ごとなど頻繁にパスワードを変更する
5
一定期間に使用したパスワードは再使用しない

この運用を実際に行うことは負荷が非常に大きく、中には購入した時のまま一度もパスワード更新を行ったことのない企業も少なくありません。しかしこれらの対策を怠ると、セキュリティリスクは内在したままになります。

総務省はガイドライン「企業等が安心して 無線LANを導入・運用するために(※1)」の中で、PSK方式はセキュリティ面の懸念があり、以下のように指摘しています。

・事前に共通のパスワードを利用者に知らせるため外部に漏えいする危険性がある

・総当たり攻撃(Brute Force Attack)等により、パスワードを窃取される危険性がある

※総務省「企業等が安心して 無線LANを導入・運用するために」から要約

つまり、パスワード漏えいによる不正利用の可能性を指摘しているのです。

パスワード漏えいのリスク

では「パスワードが漏えい」とは、どのようなリスクになるのでしょう。 悪意のある第三者によって無線LANの通信内容が盗聴されたり、不正接続によって内部ネットワークに侵入を許してしまったりすることで、重要データの窃取や改ざんの恐れが生じます。さらには会社の従業員になりすまし社会的な加害行為を行われてしまうと、企業・団体にとっては計り知れない損害を負わされることになります。

悪意の第三者(なりすまし侵入/盗聴・改ざん/パスワードアタック)情報漏えい→ 被害企業 Webサーバ(踏み台)社内システム(不正侵入)→ 反社会的行為(Web/SNS攻撃・不正金融操作・情報漏えい)

実際のところインターネットを検索すると『無線LANのパスワードをハッキングするアプリ』などと題したサイトをいくつも見つけることができます。これらを使えば、いわゆる悪意を持ったハッカーでなくとも、10桁程度のパスワードであれば半日ほどで読み解かれてしまうでしょう。実例として、2016年に佐賀県では、パスワード解析ソフトで無線LANのパスワードが盗まれ、学校の内部情報が搾取されるといった事件が発生しています。パスワードは「漏えいするもの」と考えて行動することが重要です。

解決ポイント1

証明書方式の認証で、セキュリティ強度は格段に向上します

無線LANはその利便性のため、情報システム部の管理外、つまり部門で導入する企業も多くあります。 ほとんどの場合そのような無線LANはPSK方式で稼働していますが、調べると電波が会社の外にも漏れているのです。 PSK認証の大きな脆弱性のひとつが利用者間でパスワードを共有するところにあり、一度パスワードが外部に漏れると社外からでも容易に接続できるようになってしまいます。 残念なことに電波は目に見えないためリスクに気付きにくく、対処が必要であってもなかなか認識することができません。

現在、PSK認証のパスワード漏えいリスクに備えるには、パスワードを使わないパスワードレス運用にすることが、セキュリティ脅威を解決する方法の方法です。そのひとつが「証明書認証方式(※1)」とされています。 証明書認証方式では、パスワードの代わりに電子証明書をPCにインストールし、この証明書の正当性を検証することによって無線LANへの接続を許可します。 パスワードレス運用であるため「パスワード漏えい」のリスクはありません。 また電子証明書は基本的に偽造ができず、配布する相手も管理者が選べることから、第三者に侵入されるリスクは格段に低くなります。

※1)証明書認証方式

総務省が推奨しているセキュリティレベルの高い認証方式で、管理者側で設定したクライアント端末ごとに電子証明書が発行・認証されることでネットワーク環境に繋がる仕組みです。

パスワードレスなので、パスワードの不正入手ができない。(パスワードが盗まれたり、不正に使用されることはありません。)証明書方式だから、なりすましできない。(アカウントを偽造したり、「なりすまし」ができません。)

(表) 無線LANのセキュリティ設定と強度

セキュリティ設定 WPA2-パーソナル WPA2-エンタープライズ
PSK認証
(パスワード方式)
PEAP
(サーバ証明書方式)
EAP-TLS
(証明書認証方式)
セキュリティ強度 ×
端末の認証 ID/パスワード ID/パスワード 電子証明書(パスワードレス)
サーバの認証 × 電子証明書 電子証明書
脆弱性 パスワード漏えいに弱い いくつかの脆弱性が公表済み

※電子証明書の相互認証を行うEAP-TLSが最もセキュリティ強度が高い。

しかし、この認証方式は、これまでタブレットPCへの導入は難しいとされていました。
電子証明書認証の方式採用の前提として、認証局(CA)を設置しなければならないからです。 PC環境であればActive Directoryを採用している団体が多く、これを利用した認証局環境を用意することができましたが、タブレット、スマートフォンに利用するためには、費用的にも、技術的にも大きな負担となっていたからです。

現在使用中の無線LAN環境がPSK認証方式で、かつ、久しくパスワード変更をした記憶の無い場合は、相当なセキュリティリスクに晒されている状態といえます。 証明書認証方式の採用を検討する価値は十分にあります。
証明書認証方式は高セキュリティを必要とする一部の企業が検討することではなく、現在では普通の企業が普通に検討して良い課題なのです。

解決ポイント2

証明書認証方式採用のハードルは下がります。

電子証明書による認証方式は、総務省もガイドライン「企業等が安心して無線LANを導入・運用するために」の中で、最もセキュリティ強度の強い規格であると紹介しています。その反面、認証サーバの設置が必要であるため、実装の難易度、導入コストのハードルはPSK方式と比べて格段に上がってしまいます。

しかし、無線LAN利用者がWindows PCだけの場合、Active Directoryを使って無線LANの認証サーバを実現する方法もあります。 Active Directoryを採用している企業では、無線LANの証明書認証方式への移行ハードルは下げることができます。この場合は認証サーバを別途購入する必要がないため導入コストを下げることができます。

業務にタブレット端末が浸透し、Active Directoryの恩恵を直接受けられない場合があります。 多くの場合、タブレット端末はその利便性なしでは業務が回らなくなるほどの重要な役割を担っていますので、端末を代替するのは現実的ではないでしょう。また、タブレット用SSIDのセキュリティ強度に目を瞑るところもあるようですが、端末の種類によってセキュリティ強度が異なってくる設置の仕方は得策とは言えません。 そのような場合、アプライアンスを導入するという方法も検討すべきです。いくつかのメーカーから廉価なものが発売されています。 弊社での導入事例では、HP Clear Passをおすすめすることが多いです。 HP Clear Passは仮想サーバとして設置できるため、既存のサーバ管理の一環として導入でき、運用負荷を低減することが容易だからです。

システムのセキュリティ対策を考える際、セキュリティ強度にバラつきがあると、リスクは発生しやすくなります。特に無線LANは補助的なネットワーク・インフラとして後回しにされがちですが、自社要件にあった適切な認証方式の採用がセキュリティ対策の第一歩として必要になっています。

認証基準(ClearPass) オリジナルルール-正規利用者(開発部門専用のネットワークに接続/会社貸与のPCだけ接続/特定のモバイル端末での利用) 不正利用者(証明書を持たないと接続できません。))

ジャパンシステムの証明書認証方式無線LANの導入事例

一般社団法人日本自動車連盟(JAF) 様

Active Directory によるPC 認証に加え、iOS/Android でも証明書利用のアクセスを
“部門間のコミュニケーションを活発にするために、本部の職場環境を見直してフリーアドレスにしました。その際に、最もセキュアな無線LAN 環境を導入。便利になったと利用者からも好評です”
続きを読む

サンリツ 様

HP Aruba証明書認証方式のセキュアな無線LAN環境構築を短期間で実現
"ジャパンシステムさんの対応には大変満足しています。最終提案から導入まで約2カ月と、あっという間に導入できたのも知識豊富な担当者のおかげだと思っています"
続きを読む

ジャパンシステム(自社事例)

働き方改革・オフィス改革の一環で、社員同士が顔を合わせてコミュニケーションできる場所、社外の新しい発想を取り組む空間が新たに誕生した
“ここは、言わば規制特区を意味する「SandBox(砂場)」です。組織や所属を超えて自由にアイデアをぶつけ合い発想を形にする、という狙いがあります。このようなオープンでフリーな空間ですから、無線LAN以外の選択肢はありませんでしたね”
続きを読む