Pocket

※任意団体SPREAD当時に公開されたコラムです。

総務省 情報流通行政局 情報セキュリティ対策室 中谷 純之(なかたに じゅんじ) 氏

►登場人物紹介
ヤストモ:1990年代からタイムスリップしてきた法律系(30代)
コウジ:デジタルネイティブでちょっとやんちゃなバンドマン(20代)
ジュンジ:棒読みファンタジスタ(30代)

sumamura04-thumb-200x133-326
【二つの手引書が必要な理由】

ヤストモ:前回のコラムで予告されていた『企業等が安心して無線LANを導入・運用するために』の内容、早く説明してよ。ずっと、楽しみにしていたんだから!

コウジ:ちょっと待てよ、なんで一般利用者向けの手引書があるのに、企業等の組織向けにも手引書を作ったんだ?!役所は似たような文章をいくつも作るのが好きなんだなぁ。

ヤストモ:だから、そういうのが役所に対する偏見なんだって。。

ジュンジ:この二つの手引書には、それぞれ役割がある。実は、平成16年に策定され、平成19年に改訂された手引書があるんだけど、それは、一般利用とビジネス利用双方に対して、対策を促すものだったんだ。

コウジ:なんだ、じゃあそれを使えばいいんじゃないの?

ジュンジ:たしかに当時は、一般利用とビジネス利用の利用形態には類同性があったし、そもそも、それなりにリテラシーのある人しか無線LANを使っていなかった。ところか昨今、スマートフォンや公衆無線LANが普及してきたから、一般利用においては、対象をスマートフォン利用者にまで拡げる必要があるよね。

ヤストモ:そうなると、全国民が潜在的な利用者、という前提に立つ必要がありそうだね。。

ジュンジ:そのとおり!だから、一般利用に関する手引書は、できる限り易しい言葉を使った簡便なものが喜ばれるよね。その内容は、前回のコラムで紹介したとおりだ。他方、サイバー攻撃の脅威が高まり、機密性の高い情報を取り扱っている組織に対しては、一般利用に比してより入念な対策が必要で、そのため、高度で専門的なものが求められていると考えるのが自然だろう。

コウジ:なるほど。利用者層や利用形態が大きく変化しているから、そもそも改訂が必要なだけじゃなくて、読み手がやらなきゃならない対策のレベルが、一般利用者と組織とで異なるってことだな!

ジュンジ:わかってくれれば、いいんだ。。

【企業等の組織向け手引書の位置づけ】

ヤストモ:でも、組織だって、技術的な素養がある人がたくさん居るとは限らないんじゃない?

ジュンジ:そのとおりだね。この手引書は、一般利用者向けに比べて高度で専門的な内容を含んでいて、読み手の技術的知見を前提としている。そのため、そういう専門家が組織内に居ない場合には、外部の専門業者の協力を求めることが適当だよ。

コウジ:だけど、組織が保有する資産に関する責任までは、アウトソースできないから、外に丸投げするのはダメだゾ。そういう意味で、アウトソースする際の仕様書作成にも、この手引書が使えそうだな!

ヤストモ:じゃあ、組織としては、この手引書を参考にして、無線LANを積極的に導入していけばいいんだね!

ジュンジ:あくまでこの手引書は、無線LANの導入をお考えの組織が、有線LANに近い情報セキュリティレベルで無線LANを活用していただくことを可能とすることを目指しているんだ。導入の検討にあたっては、無線LANの利点と欠点とを比較衡量することが必要で、「無線LANを絶対導入すべき」と推奨しているわけではないんだ。

ヤストモ:へぇ、そうなんだ。

ヤストモ:無線LANって、何も組織の職員だけじゃなくて、来訪者にも使ってもらえるようにすると親切だよね。

ジュンジ:この手引書は、組織の職員のみが利用する形態を対象としているんだ。

ヤストモ:えっっなんで?!

コウジ:来訪者、すなわち第三者に対する無線LANの使用許可については、CIO補佐官という偉い方々が議論をした結果、組織の職員と来訪者とにそれぞれ別のアクセスポイントを設置するユースケースが提示されている。これは、裏を返せば、同じアクセスポイントに職員と来訪者双方をつながせて子機ごとにアクセス制御を変える、という形態を扱っていないということなんだ!

vol4_1-thumb-300x206-328ヤストモ:ちょっと難しくてわかんないなぁ。。

コウジ:同じアクセスポイントに職員と第三者とがぶら下がった場合、「VLANによるネットワーク分割や、パケットフィルタリングによるアクセス制御を利用することで、職員にのみ組織内のサーバへの接続を許可し、第三者へはインターネットの利用しか認めない」ということは技術的に不可能ではないが、そういう運用形態をユースケースには含めていない。

ジュンジ:要は、アクセスポイントを共用することを、ベストプラクティスとは考えていないということなんだ。ここは非常に重要なポイント。総務省の組織向け手引書でも、その考えを踏襲し、職員向けに導入するアクセスポイントは、来訪者には開放しないという前提に立っているんだ。

ヤストモ:あと、無縁LANって、組織自らがアクセスポイントを設置しなくても、外出先で使うこともあるよね。

コウジ:ここについても、組織として無線LANのインフラを整備するわけではないから、基本的には本手引書の対象外なんだ。ただ、出張中に、ホテルの無線LANから社内システムにリモートアクセスすることもあるだろうから、「対象外ではあるが」としながらも、VPN利用をルール化することや、VPN接続時にはテザリング機能をオフにすることが適当だとされているゾ。

ジュンジ:役所の味方みたいな助け船を急に出してくれると、逆に気持ち悪いなぁ。。

 【企業等の組織向け手引書のポイント】

ヤストモ:手引書の対象や位置づけはわかったから、ポイントを教えてよ!前回から楽しみにしていたんだから!!

コウジ:まず、技術的な対策としては、接続に関する「認証」と、無線区間の「暗号化」が重要だ。認証と暗号化と聞いてハテナマークが出ている人は、前回のコラムを読み直せばいい。

ヤストモ:WPAやWPA2を使えばいいんだよね!ちゃんと覚えている!!

コウジ:ノンノンノン。一般利用者の場合、WPA/WPA2を採用しておけば良い、と単純化しているんだけど、組織が使う場合には、もう一段、深い理解が必要だ!

ヤストモ:えっっ、そうなの?!

コウジ:WPAやWPA2というのは、認証方式と暗号化方式とを包含した規格だから、その中のどういう規格を選択するのかが重要なんだゾ!

ジュンジ:コウジの言うとおり。まず、認証については、一般利用者が使う無線LANルータでは、PSKというパスフレーズによる認証方式が採用されている。これに対して、多くの人が同じアクセスポイントを共有し、標的を狙い定めた攻撃の脅威がある組織においては、EAP(イープ)というプロトコルを採用しているIEEE802.1X認証を検討すべきだろう。PSKは、認証サーバが必要ないから簡便に導入することができるから、家庭向きには使い勝手が良いものなんだけど、組織が導入する場合には、情報セキュリティの強度と拡張性が高いEAPの採用をオススメしたい。さらに、EAPにもいろいろ規格があるんだけど、その中でも、相互認証であり、かつなりすましの認証がされにくいものを選択することが重要だ。

vol4_2-thumb-500x156-331ヤストモ:相互認証って?

コウジ:アクセスポイントに接続したい端末を認証するだけでなく、端末側からも、つないでいい正規のアクセスポイントかどうか認証する、ということだ。相互認証により、偽のアクセスポイントに接続することを防ぐことができるんだ!

ヤストモ:なるほど、組織内のサーバにアクセスされるのは防がないとならないけど、逆に、職員の端末が偽のアクセスポイントにつながされちゃったら、マズいもんね。

ヤストモ:認証については、安全な方式で相互認証を行うEAPの規格を選択すればいいんだね!わかったよ。次に、暗号化の方は、WEPはダメだとして、どういう規格がオススメなの?

ジュンジ:AESという暗号プロトコルを採用しているCCMPがオススメだ。

コウジ:手引書には、TKIPでもあんまり問題ないって書いてあったゾ?

ジュンジ:TKIPは、WEPの欠点を改善した暗号化方式ではあるんだけど、暗号プロトコルはWEPと同じRC4採用していて、万全なものとは言えないんだ。実際、通信の改ざんという危険性がある。ただ、まだTKIPにしか対応していないプリンタなどの機器が残存していていること、TKIPが盗聴される危険性は現時点ではないと言って良いことから、機器がTKIPにしか対応していない場合は、当面の間は許容して良いという評価をしているんだ。でも、これから導入をしようという組織は、CCMPを採用するのが適当だね。

 こぼれ話:企業等の組織向けは、一般利用者向けと矛盾している??

SSIDのステルス化は、『一般利用者が安心して無線LANを利用するために』ではレベル2の対策として推奨しておきながら、『企業等が安心して無線LANを導入・運用するために』では推奨していない。その心は、草食動物が群れることにより肉食動物から逃れるという行動様式を、一般利用者には求めるが、現に狙われてしまっている組織がたとえSSIDをステルス化しても、完全に隠すことはできないため、企業等の組織に対しては、意味がある対策として紹介することをあえてしなかった。ここに気づいている方がいらっしゃるとすれば、技術に造形の深い方であるとお見受けするが、第2回のこぼれ話とは異なり、SPREAD事務局へのご連絡は不要である。

PSKの扱いも、両者を読み比べると、違和感を覚える方もいらっしゃるかもしれない。コラム本文にも記載したように、一般利用者向け手引書は、WPA-PSKやWPA2-PSKを前提として手引書が構成されているのに対し、企業等の組織向け手引書では、EAPの採用が適当であるとした上で、PSK認証を選択する場合は、ぜい弱性や管理・運用の煩雑性を認識する必要があるとしている。これは、一般利用においては、認証サーバの設置を要するEAPを推奨することは現実的ではないこと、パスフレーズをランダムで長いものにすることにより危険性を低く抑えられること、親機や子機の数が限られていることなどから、有効な対策とした。

なお、TKIPの扱いについては、書きぶりに気を付けながらも、現存するものは容認する立場を取っている。ここは一つの判断事項であった。これは、「何でもダメダメ手引書」にしてしまうと、かえって手引書を活用していただける機会を逸してしまうと考えたためだ。

参考ウェブサイト:
「無線LANを安心して利用するための手引書
                             (一般利用者向け及び企業等の組織向け」
(総務省、平成24年11月2日及び平成25年1月30日)
(URL:http://www.soumu.go.jp/main_sosiki/joho_tsusin/security.html

「無線LANセキュリティ要件の検討」
(CIO補佐官等連絡会議 情報セキュリティWG
                           無線LANセキュリティ検討SWG、平成23年3月)
(URL:http://www.kantei.go.jp/jp/singi/it2/cio/hosakan/dai65/65lan_kentou.pdf)

参考記事:
「無線LANセキュリティの企業向け手引書、
                         公開 想定脅威の対策を3段階で提示、チェックリストも」
 (セキュリティ産業新聞3面、平成25年2月25日675号)
(URL: http://www.fujisan.co.jp/product/1281687255/b/956401/

(総務省 情報流通行政局 情報セキュリティ対策室 中谷 純之 氏)
※このコラムは2013年3月末時点の所属にて執筆いただいたものです。