無線LAN認証とセキュリティ
無線LANのセキュリティプロトコル
無線LANは電波で通信するため、有線LANと比べて盗聴や不正アクセスのリスクが高くなります。適切な暗号化と認証の仕組みを導入することが不可欠です。
暗号化プロトコルの変遷
| プロトコル | 暗号方式 | 安全性 | 現在の評価 |
|---|---|---|---|
| WEP | RC4 | ×(数分で解読可能) | 使用禁止 |
| WPA | TKIP | △(脆弱性あり) | 非推奨 |
| WPA2 | AES-CCMP | ○(標準的に安全) | 現行の主流 |
| WPA3 | AES-GCMP/SAE | ◎(最も安全) | 新規導入で推奨 |
⚠️ 注意
WEPやWPA(TKIP)は既に破られた暗号方式です。もしこれらを使用しているAPが社内にある場合、早急にWPA2以上へ移行してください。古い複合機やIoTデバイスがWEPしか対応していない場合は、専用のVLANに隔離して業務ネットワークとは分離するべきです。
WPA3の特徴
WPA3はWPA2の後継として2018年に策定された最新のセキュリティプロトコルです。
- SAE(Simultaneous Authentication of Equals):パスワードが弱くてもオフライン辞書攻撃に対して耐性がある
- 前方秘匿性:過去の通信が後から復号されるリスクを排除
- PMF(Protected Management Frames)必須:管理フレームの偽装攻撃を防止
- 192ビットセキュリティスイート:WPA3-Enterprise向けの高度な暗号化
認証方式:PSK vs Enterprise
| 方式 | WPA2/3-Personal(PSK) | WPA2/3-Enterprise(802.1X) |
|---|---|---|
| 認証方法 | 共通のパスワード(事前共有鍵) | ユーザーごとのID/パスワード |
| 管理の手間 | 少ない | RADIUSサーバーが必要 |
| 退職者対応 | パスワード変更 → 全端末に再設定 | 該当ユーザーのアカウント無効化のみ |
| 適したケース | 小規模(〜20名程度) | 中規模以上(20名〜) |
| ログ | 誰が接続したか特定困難 | ユーザー単位でログ取得可能 |
ひとり情シスの視点:社員が20名を超える場合は、802.1X認証(Enterprise)の導入を検討しましょう。Active DirectoryのNPSサーバーをRADIUSとして利用すれば、追加コストなしで実装できます。退職者が出たときにWi-Fiパスワードを全端末で変更する手間が不要になり、管理負担が大幅に軽減されます。
802.1X認証とRADIUS
802.1X認証は、ネットワークに接続する端末を認証する仕組みで、無線LAN(および有線LAN)のセキュリティを大幅に向上させます。
802.1X認証の構成要素
| 要素 | 役割 | 具体例 |
|---|---|---|
| サプリカント | 認証を要求するクライアント | Windows PC、スマートフォン |
| オーセンティケータ | 認証の仲介を行う機器 | アクセスポイント、L2スイッチ |
| 認証サーバー | 実際に認証を行うサーバー | Windows NPS、FreeRADIUS |
主な認証方式(EAPタイプ)
| EAPタイプ | 認証方法 | 特徴 |
|---|---|---|
| EAP-TLS | クライアント証明書 | 最もセキュア。証明書配布の管理が必要 |
| PEAP(EAP-MSCHAPv2) | ID/パスワード | ADと連携しやすい。中小企業で最も一般的 |
| EAP-TTLS | ID/パスワード | PEAPと同様。非Windows環境で使用 |
📋 具体例
Windows Server NPSでの802.1X設定概要:
1. NPSの役割をインストール
2. RADIUSクライアントにAPのIPと共有シークレットを登録
3. ネットワークポリシーで認証条件を設定(ADグループ、EAPタイプ)
4. APのSSID設定でWPA2-Enterprise、RADIUSサーバーIPを指定
5. GPOまたはIntuneでクライアントの802.1X設定を配布
MACアドレスフィルタリングの限界
MACアドレスフィルタリングは「登録済みのMACアドレスの端末のみ接続を許可する」機能ですが、セキュリティ対策としてはほとんど効果がありません。
- MACアドレスは電波上を暗号化されずに流れるため、容易に傍受できる
- MACアドレスのスプーフィング(偽装)は数秒で可能
- 登録・管理の手間が大きく、運用負担に見合わない
ポイント:MACアドレスフィルタリングは「正当なユーザーの不便さを増すだけで、攻撃者は簡単に突破できる」対策です。セキュリティの軸はWPA2/3による暗号化と802.1X認証に置き、MACアドレスフィルタリングに頼らないでください。
ゲストWi-Fiの設計
来客用のWi-Fiは、社内ネットワークとは完全に分離する必要があります。
- 専用SSID:ゲスト用の別SSIDを用意(例:Company-Guest)
- VLAN分離:ゲストVLANに割り当て、社内ネットワークとL3で完全分離
- ファイアウォールポリシー:インターネットアクセスのみ許可、社内サーバーへはブロック
- 帯域制限:ゲストWi-Fiに帯域上限を設定し、業務通信への影響を防止
- キャプティブポータル:利用規約への同意画面を表示、利用者情報の記録
- パスワード定期変更:ゲスト用パスワードは定期的(週次/月次)に変更
📋 具体例
FortiGateでのゲストWi-Fi設定概要:
1. ゲスト用VLAN(例:VLAN 40)を作成
2. FortiAPのSSID「Company-Guest」をVLAN 40にマッピング
3. ファイアウォールポリシーでVLAN 40 → インターネットのみ許可
4. VLAN 40 → 社内VLAN(10, 20等)はすべて拒否
5. キャプティブポータルで利用規約同意画面を設定
6. ゲスト帯域を上下10Mbpsに制限
✅ 完了済み