ネットワーク
今回は、無線LANを導入する際によくある議論について、無線LANを提供する側の視点と利用する側の視点でお話したいと思います。
まずはSSIDを簡単に説明すると、PCやスマートフォン、タブレットで無線LANに接続する際の識別子です。
よく外で無料の公衆無線LANを利用する方はご存知だと思いますが、「Wi-Fi使えるとこないかな?」と探す事、ありますよね。そうすると、いくつか近くに使えそうなものがあったりします。
例えば、使えそうなWi-Fi「Free-wifi_123」という名前を見つけた時、利用したい方は接続を試みると思います。
この名前(文字列)がSSIDとお考え下さい。
多くのアクセスポイントは、SSIDが端末上でむやみに発見されないように隠す機能をもっています。一部エキスパートな意見としては、セキュリティの観点では無意味という意見もあります。本当に無意味なものなのでしょうか。例えば、セキュリティ以外の観点ではどうなのか考えてみましょう。
こんな状況であれば隠した方が良いと考えます。
・業務用のSSIDに企業名や店舗名が含まれている
導入の意図がゲスト向けで、自由に使ってもらいたいものであれば話は別ですが、業務用に利用している場合は注意が必要です。なぜならば、SSID名をもとに興味本位でアクセスされる可能性があるからです。
セキュリティで保護しており、不正アクセスは防止できたとしても、アクセスポイントはその不正アクセスを拒否する動作を行います。
つまりは余計な仕事を増やす事でパフォーマンスへの影響を与えかねません。
特に、オフィスビル内で他社テナントと隣接している場合や、商業施設からの距離が近く、企業と無関係な方々が近辺を通る場合は考慮した方が良いと考えます。
あくまで業務用途の場合ですがアクセスポイントの仕様や動作の都合で、SSIDを隠さない、または隠すことができない場合には、企業名や店舗名と関連する文字列をSSIDに使わない方が賢明です。
一方で、隠したSSIDに接続する事でこんなリスクも発生すると言われています。
まず、隠されたSSIDに対して接続を試行するためには、端末に対して事前設定が必要です。
Windows PCであれば、「ネットワークと共有センター」から「ワイヤレスネットワークの管理」を選択し、画面上の「追加」をクリックして、「ネットワークプロファイルを手動で作成します」という項目を選択すると、設定画面が出てきます。
一例として、以下のような設定が必要です。
・SSID名
・セキュリティ方式
・パスワード※
・ユーザーID/パスワード※
・証明書情報※
※選択するセキュリティ方式に依存
既にお気づきの方もいらっしゃるかと思いますが、特定のSSIDを設定したPCと、そうでないPCだと、Wi-Fi設定画面上で表示されるSSID数が異なり、手動登録したSSIDが見えるようになります。スマートフォンやタブレットでも同様です。
もしPC、スマートフォン、タブレットが悪意ある人に持ち出された場合、事前設定されたSSIDによって端末の所有者がどのような企業と関係しているかが分かったり、そのSSIDを使って自動接続されたりというリスクがある、という考え方です。
上記の様な理由で、SSIDを隠すことによりリスクが発生するという警告メッセージが表示される端末も稀にあります。どうして?と疑問を持つ方も多々いらっしゃるかと思いますが、上記の様な理由があると言われています。但し、インターネット上でも本件の議論は絶えず、結論は出ていないように見受けられます。
これまではSSIDを隠す場合の話をしてきましたが、公衆無線LANの場合は利用を促進する目的で、SSIDは公開される形が一般的です。
コラム第4回 でも紹介しましたが、パスフレーズ等でのセキュリティ保護は行っておらず、接続後にメールアドレスや利用規約の同意を行う仕組みが多いです。無線を飛び交うパケットも暗号化されていないため、メールアドレスなどの個人情報を扱う画面は、Webサイト側でデータを暗号化する仕組みが施されています。
このように、ある程度ご自身の情報を開示し、利用規約に記載されている免責事項に合意した上で利用することになります。情報の盗難は自身で気をつけてくださいね、という趣旨の利用規約ですね。それだけネット犯罪に関してのセキュリティ防護策と、利便性はトレードオフの関係にあるという事です。便利に使うには自身で情報を守る意識と行動が必要という事です。
無線区間が暗号化されていないという事は、特に注意が必要です。参考として、私が海外の飲食店でWi-Fiを利用しようとした際、店舗内でSSIDを検索した所、いかにもゲスト向けのSSID名であるにも関わらず、パスワード設定が施されていました。日本の公衆Wi-Fiとは一味違う方式ですね。フロアスタッフに声をかけ、その場でスマートフォン上のパスワード画面を見せたところ、スタッフの方がパスフレーズを入力してくれました。この方式だと無線区間は暗号化されていますので、傍受に関しての対策は施されている事になりますが、問い合わせが多いと大変そうですね。
上記は一例ですが、店舗やホテル内などで利用者に対してセキュリティを保護したWi-Fiを提供する運用方式も各社検討されています。今後良い仕組みがあれば、いち利用者の観点でレビューしたいと思います。
CTCシステムマネジメントコラム
ctcシステムマネジメントコラムでは、ITシステム運用の最新動向に関する特集・コラムがご覧いただけます。
