無線 LAN は急速な普及をみせています。外出先(学会会場やホテル)や家庭内でお使いになる方も多いでしょう。「ケーブルがいらない」という一大メリットもあり積極的に導入したいのですが、便利さは以下のリスクの裏返しです。
- 簡単に傍受されてしまう
特に暗号化がないものは致命的。「WEP 方式」という暗号があるが、数時間程度で解読可能で、これも「暗号化されていない」と考えるべき。 - きちんと設定しないと、誰でも接続できてしまう。
「特定の人・特定の PC のみ接続受付」という機能がありますが、当初は未設定です。きちんと設定せずに使うと敷地外の第三者でも接続できてしまいます。 - 「誰」が「どこ」で接続しているのか捕まえにくい。
PCの接続制限はできますが、「人」の認証を経た接続制限はそのままではできません。また、無線のため置き場所の自由度が広がるため、「どこ」が絞りにくい。何かトラブルが出たときの対応が大変になります。
利用の場合、自己防衛のため、自己責任として以下の注意は必ず守ってください。これは、外出先や家庭内での利用でも同じですので、知っておいたほうがよいです。
[ユーザー側]
- 可能な限り有線を使う。
- 無線を使うなら、「WEP より強い」暗号を使わなければならない。
- 平文 (ftp/POP/smtp/telnet など)でパスワードや重要情報を流してはいけない。暗号の弱い無線LANを使わざるを得ない場合は、特に厳守ください。
[管理者側]
<物理的なアクセス制限>
- 無線電波の届く先を限定する。
- 窓際、特に敷地外に面した側に置かず、電波を極力外へ出さない。
- 電波強度は、可能な限り小さく設定する。
- 特別な入退管理を行う部屋でのみ接続できるLANは、無線化しない。
<論理的な通信路の保護>
- 「SSID」(ネットワーク名)を流出させない。
- 推測されやすい名前をつけない。
- SSID を知らない PC には SSID が表示されないよう設定する。
(機器によって異なりますが、SSID を設定する画面には「非公開」などの欄が必ずあります。)
- 「強い暗号」=「WPA」「WPA-PSK」を使用する。古くて対応できない場合は買い換えてください。
<PC/人のアクセス制限>
- 「MAC アドレスフィルタリング」(アクセス限定機能)を使い、登録した PC のみの接続を許可する。
- 誰がどこで使う PC なのか、記録を保持し PLAIN センターと共有する。
なお民間企業で最近無線 LAN を大規模に導入する事例が出てきています。この場合、上記に加えて「人のアクセス制限」を強化する措置をとります。
- ユーザー認証なしで接続できるネットワークエリアは制限される。
- ユーザー認証を経て、外部やよりセキュリティ要求の高い領域に接続できる。
これに似た方法を、現在 JAXA 内有志で 2005 年度内を目処に基本設計を進めている「次世代ネットワーク」に含めています。これによって、現在個別に運用している無線 LAN の停止・集約を行います。
民生の最新技術を適用しつつ、より便利でより安全なネットワーク構成を実現したいと思います。