PR
情報セキュリティマネジメント

オフィスにWiFi無線LANを導入するためのセキュリティ対策

ますます声高に叫ばれるようになってきた働き方改革の一環として、ペーパーレス会議や在宅勤務、サテライトオフィス勤務などを試行しはじめた組織も少なくないでしょう。

同時にノートパソコンやモバイル端末をWiFi無線LANネットワークで運用することが必然となり、オフィスでWiFi無線LANネットワークを運用する際に必要なセキュリティ対策や機器について、頭を悩ます情報セキュリティ担当者さんもいらっしゃるはずです。

この記事はWIFI無線LANネットワークをオフィスに導入する時に、情報セキュリティ対策の他、どんな事を検討する必要があるのか調べている情報セキュリティ担当者さんへ向けて書いています。ここでは私が実際にオフィスにWiFi無線LANネットワーク環境を構築して有線LANと同等のセキュリティ対策を行う上で必要になった内容を、情報セキュリティ担当者の皆様にご紹介いたします。

一般家庭とオフィスのWi-Fi無線LANは別物

組織や企業がWiFi無線LANネットワークで扱う情報の中に重要な情報が含まれる可能性がある場合、個人が家庭でWiFiを利用するのと同じレベルのセキュリティ対策ではリスクが高すぎます。

家庭で1台のWiFiルーターを使ってパソコンやスマホを接続している環境そのままをオフィスで利用しようとしても、業務上の制約が多すぎたり、セキュリティ上のリスクが高すぎたりして、そのままでは全く使い物になりません。

しかし、しっかりしたセキュリティ対策を行い、運用保守にコストをかければ、有線接続によるリスクと同等のセキュリティレベルは実現可能です。

また家庭よりもエリアの広いオフィスでWiFi無線LANネットワークを構築するためには、必要となる機器も増えます。

WiFi無線LANネットワークにおける情報セキュリティ対策

Wifi無線LANネットワークの利用シーンは基本的にはweb会議やペーパーレス会議、一般的な資料作成や資料閲覧を在宅やサテライトオフィス、訪問先から行うなど挙げられますが、その中で機密性が高く重要とされる情報を絶対に扱わないとは言い切れないため、WiFI無線LANネットワークでもこれまでの有線LANネットワークで扱える情報は同じく扱えるよう、次に示すような情報セキュリティ対策が必要となります。

「WIFI無線LANネットワークでは機密性の高い重要な情報は一切扱えない」という運用は現実的ではなく、しかし厳重に管理された大量の重要情報をやり取りするには不適切なネットワークでもあり、どのような情報ならWIFI無線LANネットワークで扱えるのか、ガイドラインなどをあらかじめ用意する必要があるでしょう。

無線LANはWPA2のAESアルゴリズムを利用する

現時点において、無線LANのWPA/WPA2 CCMP(AES)以外は脆弱性があるため、検討する余地はありません。

WPA/WPA2は暗号化プロトコル・アルゴリズムによって次のような表記をすることもあります。

  • TKIP(RC4)を利用している場合 … WPA/WPA2-TKIP
  • CCMP(AES)を利用している場合 … WPA/WPA2-AES

無線LANに接続する端末を認証する機能は必須です

WIFI無線LANネットワークに接続させる端末の認証方法はコストと運用の手間に応じて検討します。

Pre Shared Keyでも十分実用的ですが、よりセキュリティを求める場合は802.11認証を用います。

無線LANを業務で利用するなら、802.11認証をはじめから検討するほうが無難でしょう。

WPA/WPA2の認証方式により次の表記をすることもあります。

  • Pre Shared Key認証  … WPA2 パーソナルモード 、WPA2-PSK
  • 802.1x認証(EAP認証) … WPA2 エンタープライズモード 、WPA2-EAP

無線LANの最も認証強度が高いのは利用者毎にクライアント証明書を発行する方法ですが、自社で認証局(CAサーバ)を構築する必要がある等、コストと運用の手間が増える。

無線LANはアクセスポイントの電波の届く範囲を限定することも検討

機器に電波強度の変更機能があるかどうか、あるいは窓ガラスや薄い壁に電波遮断シートを利用するかどうか等、必要とするセキュリティレベルに応じた検討も必要となります。

その他セキュリティ対策上検討の必要があること

  • アドホックモード(端末同士が直接通信する機能)はセキュリティ上問題があるため、ポリシー等で禁止する。
  • 他の無線LAN無線LANのアクセスポイントとの接続を制限する等の検討を行う。
  • 無線LANの脆弱性情報の収集と脆弱性発見時に対処できるようソフトウェア保守契約を締結することを検討する。
  • 無線LANのコントローラやアクセスポイントの管理者パスワードは厳重に管理する。
  • 無線LANのコントローラやアクセスポイントへのアクセスログや認証ログを残すようにする。場合によってはログサーバ等へ保管することも検討する。
  • 無線LANはPre Shared Keyやユーザ認証のID/パスワードは適切に管理する。
  • 必要に応じて、不正なアクセスポイントが増えていないか、電波状況の監視ができる機能を検討する。
  • 組織の規定(特にセキュリティ関連)には準拠しなければならないものがあるはずなので、導入前に確認しておく。
  • 無線LAN化されたことにより、端末の移動や持ち出しも増えるため、社内規定やルール等の整理が必要かどうか確認する。

オフィスにWIFI無線LANネットワークを構築する際に必要な機能や制御機器

利用する通信規格

  • 現在の主流はIEEE 802.11nです。2.4GHz帯は対応している機器も多いためよく利用されています。基本的にはこの通信規格を利用することを考えましょう。
  • IEEE 802.11acは対応する機器が少ないが、早い通信速度が必要な場合は検討します。業務で利用するのであれば、すでに保有している機器に合わせて選ぶこともある。
  • 画像や動画、音声を扱う場合は大容量の通信が発生します。干渉が少なく、通信速度の比較的早い5GHz帯のものを選ぶことも検討しましょう。
  • 他社の電波が飛んできている場合も自社が電波を出す場合も、他社の電波に干渉しないようにする必要があります。チャンネル数の多い5GHz帯のほうが影響が少ない。野外や広い場所での利用の場合は2.4GHz帯の規格を利用することが多い。
  • IEEE 802.11nは、下位規格の機器があるとすべての機器が、下位規格での通信となり通信速度は遅くなる。

オフィスの無線LANに必要な機能

オフィス内で1台のアクセスポイント(WiFiルーター)の電波が届く範囲だけで作業するという運用は困難であり、複数のアクセスポイントを設置してオフィス内の無線LANエリアをカバーする必要があります。

多人数で複数のアクセスポイントを利用するためにはコントローラーによる制御が必須となります。

ローミング機能

ユーザーの利便性を確保するため、無線LANネットワークの複数のアクセスポイントを自動で乗り換えることが出来るローミング機能は必須です。

空間ストリームやMIMO機能

通信速度の高速化のために一つのデータを複数に分けて、一度に複数のアンテナでデータを伝送する空間ストリームやMIMOに対応している製品を検討する。

802.11nの場合、優先して接続する帯域を設定できる機能も検討する。

ビームフォーミング技術や電波の自動調整機能

電波干渉の自動検知・自動調整機能は安定性向上と運用負荷軽減が期待できるため、機能付きの機器を検討する。

コントローラ側であれば動的なチャンネル割当機能、アクセスポイント側であれば電波を届きやすくする技術であるビームフォーミング技術や電波の自動調整機能が主に該当します。

コントローラ

コントローラについては、クラウドのものやコントローラレスのものがある。

コントローラレスのものは費用が比較的安価であるが、統合管理できない等、機能も制限されるため注意する。

無線LAN機器の性能

  • コントローラはすべてのアクセスポイントを管理出来る十分な性能のものを選ぶ。
  • アクセスポイント~コントローラ間のトンネリングを利用するとコントローラに負荷がかかるため、スループットに十分な余裕があるものを選ぶ

無線LAN導入までに確認しておく必要がある事項

  • アクセスポイントは天井や壁に設置することが多いため、LAN配線の工事が必要となる可能性が高い。天井や壁に穴をあけたりできるか、関連部署に確認をとる。
  • アクセスポイントの電源確保にはコンセントからの給電かPoE機能による給電方法があるが、設置位置の制約からPoEが多い。接続する機器(スイッチ等)にPoE機能があるか確認が必要。PoE機能がない場合は、PoEアダプタの購入を検討する。PoEとは、パワー オーバー イーサネット(Power over Ethernet)の略でLANケーブルを使用してネットワークの構築と電力の供給が同時に出来る技術です。この技術を用いてコンセントの確保が難しい天井や屋外などでもアクセスポイントの設置が可能となります。
  • 不正なアクセスポイントが追加された場合や、他社からの電波干渉があった場合に備え、wifiネットワーク導入直後に電波状況を把握出来るようにしておく。
  • IEEE802.1xの認証において、既存の認証サーバ(ADやRadius等)がある場合、連携することも検討する。
  • ソフトウェア、Windowsアップデート等を一斉配信すると通信に影響する可能性がある。配信を分散させたり、帯域制御をかけたりすることを検討する。

緊急時やトラブル発生時のサポート体制も必要

たとえば、有線LAN接続されているパソコンがランサムウェアに感染した場合、すぐにLANケーブルを抜いて、他のパソコンに被害を拡大せないようにすることを理解している人は多いですが、無線LANで接続されているパソコンがランサムウェアに感染したときに、どうやってネットワークから切り離すか、とっさに分かるユーザーは多くありません。

また、ネットワークに接続出来ない時に、WIFI機器のトラブルなのか、既存ネットワークの不具合か、あるいは端末に原因があるのか判断し、すぐに対処出来るユーザーも多くなく、情報システム管理部門の担当者でも十分なスキルを持っているとは限りません。

そんな状況を想定した運用面のサポート体制をどうするのか、かかるランニングコストの検討も必要になります。

さらには定期的な電波状況の調査、不適切な端末が接続されていないかログを調査することも必要で、オフィスでWIFI無線LANを利用するということは、家庭のWIFIにスマホをつなぐのとは、全く次元が異なるということを理解しておく必要があるのです。

本当にWIFI無線LANがオフィスに必要なのかペーパーレス会議が必要なのか

数十人が働く執務フロアと会議室くらいを賄えるアクセスポイントを設置すれば、WIFI無線LANネットワーク機器だけでも500万円以上の見積もり金額になります。

さらに既存ネットワークに接続するなら別途作業料金が必要になり、電気工事も別料金なので、軽く1000万円は必要、さらには保守管理のランニングコストも必要になります。

はたして働き方改革の対外的な具現化のためにそこまで費用をかける必要があるのか?

多くの従業員にメリットがあるのか?

ペーパーレス会議は本当に事務効率が向上するのか?

このような疑問は多くあるのですが、私は情報セキュリティ担当者であり、働き方改革担当者ではないので意見する立場になく、導入すると決められたソリューションのセキュリティ対策しか考える必要もないのですが、ここに述べた多くの検討を必要とし、有線LAN以上にリスクコントロールが必要となる無線LANは、出来る事なら業務には使ってほしくないのが本音ですし、情報セキュリティ担当者にとっては、出来るならICTを活用しない働き方改革に取り組んでもらいたいです。

sada

1万台以上の事務用端末がある組織の情報管理部門で情報セキュリティマネジメントを担当しています。私の実体験を交えながら情報セキュリティ対策を解説しています。

sadaをフォローする
シェアする