企業用の無線LANに有効なセキュリティー対策とは?
作成日:2020/12/11
更新日:2021/06/02
企業用の無線LANに有効なセキュリティー対策とは?
前回のコラムでは、家庭用の無線LANルーターでテレワーク時に行う設定の話でしたが、企業向けの無線LANの場合、どのようなセキュリティー対策があるのでしょうか?
簡単ですがまとめてみました。
社内でフリーアドレス化がすすみ、ノートPCで社内の無線LANをご利用されている方も多いかと思います。
また従来のノートPCはもちろん、会社支給のスマートフォンやタブレットだけではなく、そのほかのBYOD機器も、無線LAN接続を認めている会社もあるのではないでしょうか?
会社の中では、常にいろいろなデータや情報がネットワークを通じて飛び交っています。
なかには、顧客情報や売り上げ情報など、非常に重要なデータや情報も含まれているはずです。
そのため、企業で利用する無線LANは高いセキュリティーを持つものでなければなりません。
潜在するリスクとして、悪意の持つ第三者が会社の近くから無線LAN経由で情報を盗聴するようなこともゼロではないからです。
また、社内の無線LANへ悪意の持つ第三者の不正侵入を防ぐセキュリティー対策も必要となります。
そのため企業向けの無線LANは通信の暗号化だけではなく、各種連係機能により、端末の認証、アクセス制御、検疫などのセキュリティー機能を備えている機器が多くあります。
その認証情報を活用することで有線LANよりも高いセキュリティーを整備することができます。
企業向けの無線LANのセキュリティーは具体的にどのようになっているか、まとめてみました。
企業向けの無線LAN、その具体的なセキュリティー機能とは?
無線LANの端末認証方式の一般的な例として以下があります。
| 種類 | 認証方法 | 概要と特長 | セキュリティーレベル |
|---|---|---|---|
| MAC認証 | MACアドレス | 機器のMACアドレスを利用した認証方式。 MACアドレスは簡単に偽造が可能なためリスクがある |
中 |
| Web認証 | ユーザー名とパスワード | ユーザーがブラウザーを利用してユーザー名とパスワードを使用して認証。 認証サーバーを使用してのアクセス |
中 |
| 802.1x認証 (EAP-PEAP) |
サーバー証明書 ユーザー名とパスワード |
ユーザーIDとサーバー証明書を利用したハイブリッド方式。 認証サーバーを使用してのアクセス |
高 |
| 802.1x認証 (EAP-TLS) |
サーバー証明書 クライアント証明書 |
クライアントに証明書のインストールが必要なため、一番高いセキュリティー認証サーバーを使用してのアクセス | 高 |
企業向け無線LANでは、よくコンシューマー向け無線LAN機器でセキュリティー設定として利用しているMACアドレス認証だけでは不十分となります。
理由としてはMACアドレス自体が無線LANの暗号化対象になっていないため、パケットキャプチャーで悪意の持つ第三者に情報を知られてしまうリスクがあるためです。
また、MACアドレスは容易に偽装することができ、不正侵入に利用される可能性もあります。
そのため、多くの企業では端末の認証方式として802.1x認証を使用した対策を行っています。
この802.1x認証は、どのユーザーが、どの端末を使用し、アクセスするのか、を無線LAN使用開始時に認証サーバーが必ず認証する機能で、高いセキュリティーを確保できます。
802.1x認証のおおまかな流れは、下記になります。
- 接続許可を要求
- 認証サーバーへ問い合わせ
- 認証成功の通知 ユーザーごとに異なる暗号キーの発行
- 社内ネットワークへの接続
こちらに証明書を組み合わせした形でセキュアな無線LAN接続を行います。
また、認証サーバーを利用することで端末の紛失や盗難があったとしても、認証サーバーの設定だけで該当端末の無線LANアクセスを不可にすることができるのもメリットとなります。
例えば、日本ヒューレット・パッカード合同会社(以下、「HPE」という)のClearPass統合認証基盤を使用した場合、ユーザー/デバイスのさまざまな判定要素(コンテキスト)で認証し、ネットワークのアクセスを適切に制御することができます。
出典:日本ヒューレット・パッカード株式会社 HPE Aruba ネットワーク製品カタログ
まとめ
企業用の無線LANには、通信の暗号化だけではなく、セキュリティーとしてのネットワークの認証基盤があります。
それにより、部外者による不正アクセスや、社員による無線LANへ不適切な接続する行為、例えば、会社に許可されていない私物のスマートフォンなどを社内LANへ勝手に接続することを防止でき、セキュアな無線LAN環境を実現できます。
また、企業用無線LAN、例えばHPE Aruba製の無線LAN製品には、下記のようなセキュリティー以外の機能もあるのでぜひご参照ください。
次回は、企業向け無線LANの導入、設置のながれについてご紹介します。
HPE Aruba の無線LAN製品
| 特徴 | 概要 |
|---|---|
| 高いパフォーマンス! |
コンシューマー用は1台のアクセスポイント(以下、「AP」という)で同時に接続できる端末は数台が一般的。 HPE ArubaのAPなら同時に数十台でも接続可能!もちろん高いスループットも維持できます。 |
| 管理コントローラーがなくても運用可能! |
Aruba Instant APなら管理コントローラーがなくても数台のAPでPC接続管理が可能。 さらに、管理コントローラーを利用したい場合には、既存ネットワークに簡単に導入できます。 |
| AP同士でシームレスにローミング! | 万が一、管理コントローラーが障害で停止しても、AP同士でシームレスにローミングができます。 |
| 充実したAP管理機能! | AP自体の運用状態や設定の管理はもちろん、接続ユーザーへ提供しているネットワークサービスがどうなっているかも一括で表示、確認ができます。 |
| 離れた拠点だって構築は簡単! | 情報システム担当がいない拠点でも Zero-Touch Provisioning で迅速に、かつ簡単に設定、編集が可能です。 |
無線LAN アクセスポイントの監視、運用保守代行サービス (マネージドサービス)
無線LANマネージドサービスのご紹介
HPE Aruba 製品のご紹介
お問い合わせ
お気軽にお問い合わせください
横河レンタ・リースのレンタルアップ中古PCを法人向け、個人向けに販売するサイト。
毎日約1000台返却される法人向けレンタルPCを当社独自の品質基準でリフレッシュし、
中古PC・中古パソコンを特価で提供しています。
