| 付- 4.1 解説 |
 |
 LAN
|
| |
LAN(ラン:Local Area Network)とは、複数台のパソコン等を、相互に接続して作られた状態(これをネットワークといいます)を表す言葉です。
[ 有線LAN ]
LAN構築時、複数台のパソコンを接続する方法として、“イーサネット”と呼ばれるLAN接続規格を用いるのが一般的です。イーサネットでのLAN接続には、“LANカード“と呼ばれるパソコン機器と、LANケーブルが必要になります。
このような方式を、後述する“無線LAN”と対比して、この技術解説では“有線LAN”と呼びます。
[ 無線LAN ]
無線LANとは、上記有線LANのLANケーブル部を無線に置き換えたものです。
無線LANでのLAN接続には、各パソコン等に取り付けられる“無線LANカード”と送受信される無線電波の相手側となる“無線LANアクセスポイント(Access Point)”から構成されています。無線LANアクセスポイントは、イーサネットにて利用されるハブ(Hub)の機能も有しています。
|
| |
|
セキュリティ
|
| |
LANや無線LANでは、LAN接続されたパソコンが相互に通信できるように、決められた手順(プロトコル:Protocol)で通信することになっています。これは、決められた手順を守れば第三者のパソコンであっても、相互に通信することができ、これにより、第三者に、他のパソコン中のファイルや周辺機器が利用される可能性のあることを意味しています。
第三者に、パソコンのファイルや周辺機器を利用されたり、通信内容を盗聴されることを防ぐために、LANでは安全保護を行うことが強く推奨されています。この安全保護のことを“セキュリティ(Security)”といいます。
ただし、セキュリティ方式は常に万全ではありません。そのため、多重にセキュリティを施すことが、LAN全体のセキュリティを向上させることになります。
[ 有線LANと無線LANの差異 ]
近年普及をみせる無線LANにおいては、従来以上のセキュリティが要求されています。有線LANでのLAN接続と、無線LANを用いてのLAN接続の違いから、セキュリティの対応内容にどのような違いがあるかを以下に説明します。
従来の有線LAN接続では、第三者は直接LANケーブルに、LANアダプターを介して接続しなければなりませんでした。これはオフィスや家庭内のLANに接続するためには、そのオフィス内や家庭内に侵入しないとLAN接続出来ないことになります。よって、LANでのセキュリティ以外に、オフィスや家庭の戸締りや不審者の立入りを禁止することもLAN接続のセキュリティと考えることができます。
一方、無線LANでは、無線電波の届く範囲であればオフィスや家庭内に侵入しなくても、PCに接続された無線LANカードで無線電波を受信し、LAN接続をおこなうことができます。
無線LANの場合、戸締りや不審者の立入りを禁止してもLAN接続のセキュリティとすることができません。有線LANに比べて、第三者の侵入を許す可能性が高いことになります。有線LAN接続以上にセキュリティの配慮が求められるのは、上記理由によります。
|
| |
|
LANのセキュリティ
|
| |
有線LANおよび無線LANともに、セキュリティ方式は大きく2つ(接続制限・暗号化)に分けられます。それぞれの方式は、独立して動作する場合や、協調して動作する場合があります。
[ 接続制限 ]
LAN接続を行うユーザ/機器がLAN接続を許可されているユーザ/機器であるかを確認し、承認されることでLAN接続をおこなう方式です。これら確認作業を“認証(authentication)”と呼びます。認証にて、認証対象が利用者(ユーザ)である場合は、“ユーザ認証(User Authentication)、機器である場合は”機器認証“と呼び、メールやファイルなどの場合は、”デジタル認証“と呼ばれます。
- ユーザ認証
ユーザ認証では、“ユーザ名”と“パスワード”を用いてログインや保護されたリソースへのアクセス許可を行います。銀行のATMでの暗証番号入力も、一種のユーザ認証であるといえます。また、IDカードや指紋・網膜を利用した方式もあります。
- 機器認証
機器認証では、利用機器固有の値を用いて、その機器が“なりすまし等”のない正しい機器であるかどうかを確認します。
- デジタル認証
デジタル認証(digital authentication)とは、電子メールやオンライン取引などにおいて、そのメッセージが正当な発信者から発信され、途中で改ざんなどが行なわれていないことを確認する方式です。認証作業には 添付された“デジタル署名”を用います。
[ 暗号化(encryption) ]
暗号とは、決められた規則に基づいて変換させたデータのことです。このデータを生成する手順を“暗号化”、暗号化されたデータを元に戻す手順を“復号”と呼びます。
暗号化されたデータは、決められた規則を知らなければ元のデータに戻せないため、規則を知らない第三者は、たとえ暗号化されたデータを入手しても、その中身を判読することができません。
暗号化する規則が公開されている場合などでは、規則を知る全員が内容を判読できます。これを避けるには、暗号化するごとに規則を変化させる必要があります。このときに用いられるのが、“暗号鍵”です。暗号鍵を知らなければ、データの暗号化・復号をすることができません。
暗号鍵を用いた暗号化には、“共有鍵暗号方式”と“公開鍵暗号方式”の2つがあります。
|
■■■ メモ ■■■
LAN接続を行うには、接続するLAN毎に指定されたパラメータを設定する必要があります。有線LAN・無線LANともに、“IPアドレス”等関連の値を知らない場合は、物理的にLAN接続を行っても、LANを利用できません。
しかしながら、不正なLAN接続を試みるユーザは、これらのパラメータをLAN上を流れるデータから簡単に割り出すことができるため、あまりセキュリティには使えないものとなります。
|
|
| |
|
無線LANのセキュリティ
|
| |
無線LANのセキュリティにおいても、前記“接続制限”および“暗号化”が一般的です。
以下の方式が一般的です。
接続制限方式 : SSID、MACアドレスフィルタリング
暗号化方式 : WEP
また、新しいセキュリティ方式として、WPA(Wi-Fi Protected Access)や802.11iと呼ばれるものも登場しています。下記に、それぞれの詳細を説明します。
[ SSID ]
接続先のネットワークを識別するためのIDで、英数文字32文字までの範囲で設定可能です。無線LANアクセスポイントにSSIDを設定しておき、その無線LANアクセスポイントと接続するパソコン等にも同じSSIDを設定する事で、通信が可能になります。このように、SSIDで、接続する無線LANアクセスポイントを指定する事が出来ます。SSIDは、セキュリティ機能の一つに分類される場合もありますが、あくまでも接続先の識別機能ですので、SSIDを設定しただけでセキュリティを設定したつもりになってはいけません。
IEEE802.11の仕様により、無線LANアクセスポイントのSSIDを知らなくても、参照する事は可能です。従って、ネットワークを所有する個人や会社名が推測可能なSSIDにすると、たまたまSSIDを参照した人の興味を引く事になり望ましくありません。また、パソコン等のSSID設定を空白や"ANY"という文字列にする事は避けるべきです。
製品により、SSID以外に,ESSID,ネットワーク名,Network Nameと表記してある場合があります。
[ MACアドレスフィルタリング ]
無線LANカードには、有線LANとおなじく、一つひとつにMACアドレスが設定されています。
MACアドレスとはすべてのネットワークカードに付与される番号で12桁の16進数(48ビット)で表します。前半24ビットがメーカ固有のIDで、後半24ビットが各メーカ内の連番となっています。すべてのネットカードに異なる値が設定されおり、世界中に一つしかないユニークな番号になっています。
この無線LANカードのMACアドレスを無線LANアクセスポイントに登録することによって、許可されたパソコン等以外は無線LANアクセスポイントに接続することが不可能になります。この機能をMACアドレスフィルタリングといいます。無線LANアクセスポイントへの設定方法は機種によって異なりますが、接続可能なMACアドレスを登録する方式や、接続を排除するMACアドレスを登録する方式があります。
[ WEP(Wired Equivalent Privacy) ]
無線LAN規格(IEEE802.11)にて規格化されている“暗号化”方式の一つです。
直訳は、“有線LANと同等のプライバシー機能”となり、無線LANに対するセキュリティの有効な手段とされています。
WEPを設定することで、無線電波が第三者に傍受されても、暗号を解読しないとデータの中身を判読することができなくなり、また無線LANに侵入することもできません。
WEP機能は、パソコン等および無線LANアクセスポイント側の両方に『WEPキー(WEP暗号化鍵)』を設定する必要があります。市販の無線LAN製品は、64ビットおよび128ビット長のWEPキーをサポートしています。各ビット長の内、ユーザが設定できるWEPキー長は、それぞれ「40-bit (5-byte)」、「104-bit (13-byte)」となります。残りの24ビットはIV(Initialization Vector)と言われる自動的にパソコンや無線LANアクセスポイントにより付加されるデータとなります。設定されるWEPキーの長さが長いほど、暗号は強力なものとなります。
[ WPA(Wi-Fi Protected Access)とIEEE 802.11i ]
無線LANの業界団体であるWi-Fi Alliance(*1)では、2002年10月に無線LANのセキュリティ強化のために新しい規格WPAを発表しました。この規格に基づく無線LAN機器がすでに多くのベンダーから発売されています。WPAは従来の無線LANに比較して、以下の点が強化されています。
- IEEE 802.1Xによる認証をサポートします。IEEE 802.1Xは認証のためのサーバを必要としますが、WPAでは認証サーバを必要とするエンタープライズモードと認証サーバを利用しないホームモードがあります。ホームモードでは仮共有キーによるWPA-PSKを利用します。
- TKIP(Temporal Key Integrity Protocol)による強力な暗号化をサポートします。WEPでは24ビットのIV(Initialization Vector)をユーザの設定したWEPキーと単純に組み合わせることで暗号キーを生成していました。TKIPでは新しいキー生成アルゴリズムを用い、ユーザにより設定された仮共有キーであるWPA-PSKもしくはIEEE 802.1Xにより生成されたキーとIVおよびMACアドレスからキーを生成します。IVのビット長も48ビットに拡張され、キーは定期的に更新されます。キーが定期的に更新される事により、無線LANの通信が盗聴され、キーが解読されたとしても、すぐにキーが更新されるので、WEPと比較して高いセキュリティを実現しています。
- 暗号アルゴリズムとしてAES(Advanced Encryption Standard)というアメリカ国務省標準技術局(NIST)が定めた新しい暗号アルゴリズムをオプションとして採用しています。
IEEEでは無線LANのセキュリティ機能の強化のため、IEEE 802.11iと呼ばれる次期標準の策定を進めています。IEEE 802.11iは2004年中に認可されることが見込まれています。IEEE 802.11iでは、WPAの機能をすべて取り込み、さらに高度なセキュリティ方式を盛り込む予定です。また、Wi-Fi AllianceではIEEE 802.11iが認可された後、IEEE 802.11iに完全準拠した規格WPA2をリリースする計画です。
(*1) :Wi-Fi Alliance:無線LANの推進・相互運用性を保証するための業界団体。
Wi-Fi Allianceのテストラボでの認定テストにパスした製品にはWi-Fi CERTIFIEDの認定が与えられます。
[ IEEE802.1X ]
ユーザ認証の方式として、IEEE802.1Xがあります。
IEEE802.1X では通信を開始する前にユーザ名、パスワードや電子証明書を使って認証をおこない、認証されたユーザのみが通信を許可されます。これにより、不正なユーザのアクセスを禁止することが出来ます。また、WEPキーを一定時間ごとに自動的に配布する機能を使えば定期的にWEPキーを更新することも出来ます。これにより、WEPキーが固定ではなくなるため、より強固なセキュリティとすることができます。
IEEE802.1X の実現のためには、無線LANカード、無線LANアクセスポイントがともに、IEEE802.1Xに対応している必要があり、認証サーバも必要となります。このため、家庭の個人が使用するというよりは、オフィス等の大勢の人数での使用時に集中的に管理するのに適した方法といえます。
有線LANの仕様として規格されたものですが、一般に無線LANでの認証の仕様として使用されています。認証動作には、EAP(RFC2284)を使用します。EAPを実現するためには、外部サーバ(RADIUSサーバ)を用いるのが一般的です。
- RADIUS(Remote Authentication Dial-in User Service)
VPNや無線LAN等様々なネットワークサービスでの認証プロトコルに利用されています。
本プロトコルを実行するサーバをRADIUSサーバと呼びます。
また、認証(Authentication)以外に承認(Authorization)、課金(Accounting)も実装されています。
- EAP(Extensible Authentication Protocol)
PPP(Point To Point Protocolダイヤルアップで接続のときに必要なプロトコル)における認証方式を拡張したプロトコルで、無線LANや有線LANの接続制限のために利用されています。RFC2284にて規定されており、IEEE802.1Xで採用されています。EAPには多くの方式があります。
|
|
更に強固なセキュリティ方式
|
| |
セキュリティ方式は常に万全ではないため、多様なセキュリティ方式を多重に実施することが、更なるセキュリティ強化につながります。
以下に、無線LAN関連以外のセキュリティ方式について説明します。一部のセキュリティ方式では、“接続制限方式”と“暗号化方式”を同時に利用しています。
[ VPN (Virtual Private Network) ]
インターネットなどの第三者が存在する公衆回線等を経由しながらも、安全な通信を可能にするセキュリティ技術のこと。企業等においては、専用線の代替インフラとして、普及を見せています。VPNにてLAN通信を行う場合は、パソコン側に専用のVPNアプリケーションと、相手側にVPN機能を備えた専用装置(以下、VPN装置)が必要となります。最近ではLAN機器であるルータやファイアウォールにその機能が含まれています。
VPN機能の実装はVPN装置に依存するため、基本的には同じ(ベンダーの)装置でなければ通信はできません。しかし、インターネット技術の標準化を進めるIETFにより、IPSec(Internet Protocol Security)というパケットの暗号化と認証技術が標準化されているため、IPSecをサポートしたVPN装置であれば、互いに通信が可能とされています。
[ IPsec(IP Security) ]
TCP/IP環境でIPパケットの暗号化と認証を行うセキュリティ技術です。
L2TP(Layer2 Tunneling Protocol)などのデータリンク層でのトンネリングプロトコルと異なり、ネットワーク層で動作します。
|
| |
|
LANに関する用語補足
|
| |
[ インフラストラクチャモード ]
無線LANアクセスポイントを利用して通信を行うモードです。通常、パソコン等をインターネットに接続して使う場合は、このモードに設定します。このモードで、無線LANアクセスポイントとパソコン等で通信を行うには、まず無線LANアクセスポイントにSSIDを設定します。パソコン等は、接続したい無線LANアクセスポイントと同じSSIDに設定すれば接続できます。
WEPやMACアドレスフィルタリング等のセキュリティを設定してください。
[ アドホックモード ]
無線LANアクセスポイントが不要で、直接無線LAN対応のパソコン等同士での通信を行うモードです。無線LANアクセスポイントの無い場所で、無線LAN対応のパソコン等同士でデータを転送したり、共有するのに便利です。このモードを利用する場合、セキュリティに関する設定が出来ない場合があります。
[ ファイル共有 ]
ネットワークに接続されたパソコン等同士で、自分のコンピュータにあるファイルを他人がアクセスできる状態にし、複数人でファイルを共有すること。単一のファイルでなく、ファイルを格納しているフォルダ単位等で共有できるように指定出来ます。
この機能により、自分のコンピュータに保存されているデータを簡単にネットワークに接続された他のパソコン等から参照することができるようになります。ファイルへの書き込み、読み出しなど、他人にどの様な操作を許可するかを設定することが出来ますが、他人から不正にデータを参照・改ざんされる危険性も増すため、十分なセキュリティを施す必要があります。
[ 無線LANスポット ]
喫茶店・ホテルなどの店舗や駅・空港などの公共の場所で無線LANによるインターネット接続サービスを提供するものです。無線LANスポットにはレストランなどの店舗が顧客サービスの為に提供するものや公共エリアや屋外の利用等を前提とした商用サービス等いろいろな形態があります。
|
