パスワードを忘れた? アカウント作成
12376616 story
セキュリティ

企業での無線LAN、セキュリティを重視するも約半数の企業でWEPが現役 45

ストーリー by hylom
過去の遺産 部門より

脆弱だとして使用を控えるよう言われている無線LANのセキュリティ機能「WEP」だが、現在も多くの企業で使われているという(INTERNET Watch)。

ITmedia傘下のキーマンズネットによる調査で明らかになったもの。無線LANを導入している企業の多くはセキュリティを重視しているが、無線LAN導入済み企業におけるセキュリティ対策として、「MACアドレス・フィルタリング+WEP」を利用している企業は34.4%、「WEPのみ」も9.9%存在しているという。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • きちんとしたセキュリティ対策をやっている会社は、

    • 無線LANはWEPで、パスフレーズは「会社名」や「部署名」など簡単なもの
    • ただし、当該無線LANに接続しても、アクセスできるところは自社のVPNサーバのみ。
    • VPNとの通信はTLSで暗号化されており、接続にはUSBメモリ内のクライアント証明書と、各自が手帳などに書き留めてあるID、そして暗記しているパスワードの3つが必要。勿論、それらは従業員ごとに異なる。
    • 更にセキュリティを高めるために、個人情報を含むファイルサーバーに接続できる VPNへの接続に、よく従業員が首からぶら下げているようなワンタイムパスワードトークンが必要な会社もある。

    といったセキュリティ対策を行っているので、無線LANがWEPだったからといって問題ありません。ちなみに、「暗号化無し」ではなく「脆弱なWEP」にする理由は、暗号化無しのアクセスポイントは一部の Android などがデフォルトで勝手に接続するので、それにより近所の人に迷惑がかかる(勝手にLTEからWi-Fiに切り替わってしまう)からです。

    一方、いい加減な会社ほど、

    • 無線LANはAESで暗号化、パスフレーズは一般に安全とされる15文字の英数記号。
    • ただし、当該無線LANに接続しただけで、社内LANのありとあらゆるサーバーと、全てのインターネット上のサーバーにアクセスし放題。
    • 無線LANのAESパスフレーズは定期的に変更(笑)する。

    のような運用で、部署内(小さな会社ならば全従業員)で共有する AESキーがセキュリティの最後の砦みたいになっているような気がします。そして、だれか1人が無線LANのAESキーを流出させたら、パスワードの定期的な変更までの間、部外者が社内LANにアクセスし続けられるわけです。

    • > 無線LANはWEPで、パスフレーズは「会社名」や「部署名」など簡単なもの

      「無問題」なんてことは無いでしょう。(実質 10Base-T クラスの)54Mbps しか使えない WEP を今後も使い続けるなんて普通ではありません。扱うデータ量が増えていますから、いまどき 11n が普通で、11ac だって珍しくない。たぶん大部分の無線 LAN AP では 11n/ac と WEP の組み合わせの指定はできないはずです。

      # Aruba 製品でも 11n 非対応のものはサポート終了まであと一年もない [hitachi-solutions.co.jp]ので、ハードウェア的には 11n 対応製品が普及しているはず。

      Active Directory を使っている企業内ならグループポリシーで証明書と無線 LAN 設定を配布して WPA2 Enterprise (EAP/TLS) で接続するのがいちばん楽かつ安全だと思います。(Windows 7 以降は安定していると思う)

      親コメント
    • by Anonymous Coward on 2015年08月15日 8時36分 (#2864863)

      > 一部の Android などがデフォルトで勝手に接続する

      近頃はWindowsもデフォルトで勝手に接続するらしい

      親コメント
      • by Anonymous Coward

        FaceBookやOutLook.comやSkypeの連絡先に登録している全員に、自宅や職場の無線にアクセス許可を出してしまうアレ、いくらLANにはアクセスできないようになっていると言っても、抜け穴ってないのだろうか?どういう仕組みで制限してるのだろう…キーが表示されることはないと言われても、コンピュータのどこかには存在していないといけないはずだし、メモリをダンプされたら、キーがわかってしまうってことはないのかな?

    • by Anonymous Coward

      きちんとしたセキュリティ対策をやっている会社には多層防御という概念がないのか。たまげたなあ。
      「TLSで暗号化されており(ただし暗号はRC4)」とかいうオチがありそう。あるいは認証がMS-CHAPv2とか。

      • 皮肉で言っているんですよ、きっと。
        ともあれ最初の接続がWEPのみでいけるのなら、上から3つ目の・のところは
        1. TLS証明書の無効化
        2. IDのブルートフォースまたは一覧の取得
        3. パスワードを無線LANと同じにしているやつ、passwordにしているやつ、メールアドレスのパスワードと同じにしているやつ、の3つで当てていく
        これで大概はいけるのではないでしょうか。

        親コメント
        • 無線LANのパスフレーズを複雑にして全従業員に管理させることによる防御効果より、管理すべきパスワードが増えたことによって重要なパスワードまで書き留めてしまうリスクの方が大きいと思います。

          情報システム部門が弄る範囲の場所は「多層防御」を行うべきです。しかしながら、現実的なセキュリティ対策としては、一般の従業員が管理するパスワードはできる限り減らす必要があります。管理する必要のあるパスワードが増えると「絶対に書き留めないこと」を要求しても、ユーザーはデスクトップのテキストファイルなどに書き留めてしまうからです。

          例えば、無線LANの暗号キー、社内VPNへの接続ID・パスワード、VPNに接続してから入力するファイルサーバーへの接続ID・パスワードなどをユーザーに管理させたら、「多層防御」どころか、面倒になって全部の情報を1つのテキストファイルにまとめられて、Evernoteやスマホの自分のメールアドレスに送って保管されてしまい(クライアント証明書ファイルも添付ファイルとして同様に送信される恐れがある)、それがまとめて流出してしまう恐れがあります。

          従って、VPNへの接続を最初で最後の鉄壁として、

          • USBトークンに入っているクライアント証明書
          • 各自が手帳などに書き留めてあるID
          • 各自が暗記しているパスワード(ユーザーが記憶する必要があるパスワードはこれ1つなので絶対に書き留めないように要求する)

          などの多要素認証でVPN接続を守った方が、トータルとして安全でしょう。

          VPNに接続すれば、その従業員が必要な範囲でメールサーバーやファイルサーバーに追加パスワード無しでアクセスできるようにしておきます。そこでも追加のパスワードを要求してしまったら、ユーザーはVPNのパスワードを含めて全部書き留めてしまうのでかえって脆弱になります。(管理できないぐらい認証要素が増えた場合、クライアント証明書やキーファイルなども全部まとめてEvernoteの1つのノートにまとめられてしまいます)

          勿論、VPNに接続しただけで全ての社内システムがクラックされてしまうことのないよう、接続先のVPNを複数用意して、その従業員の業務遂行に必要な範囲のアクセス権しか与えないようにしておきます。また、機密性の高い情報へのアクセスの際には、ワンタイムパスワードでの追加認証を要求する必要があります(普通の追加パスワードだと、まとめて書き留められる恐れがあります)。

          ともあれ最初の接続がWEPのみでいけるのなら、上から3つ目の・のところは
          1. TLS証明書の無効化
          2. IDのブルートフォースまたは一覧の取得
          3. パスワードを無線LANと同じにしているやつ、passwordにしているやつ、メールアドレスのパスワードと同じにしているやつ、の3つで当てていく
          これで大概はいけるのではないでしょうか。

          「TLS証明書の無効化」というのは、どういう意味ですか?

          「IDのブルートフォースまたは一覧の取得」に関しては、ランダムな英数字を管理者が発行して、ユーザーに手帳に書き留めて保管しておくように要求すれば良いだけ。

          「パスワードを無線LANと同じにしているやつ、passwordにしているやつ、メールアドレスのパスワードと同じにしているやつ、の3つで当てていく」に関しては、むしろあなたのいうところの「多層防御」の弱点では? ユーザーが管理する必要があるパスワードがVPNのパスワードだけであるならば、そういった問題は発生しません。たった1つの大切なパスワードなので絶対に書き留めず、かつ安全なものにするよう要求すれば良いのです。そして、仮に手帳のIDと暗記しているパスワードの両方が破られたとしても、USBメモリのクライアント証明書がなければVPNに接続できません。

          親コメント
          • by Anonymous Coward

            会社の無線LANは使うのにパスワードなんて入れないけど
            (IDカードの個人証明書を使う)、WPA2だ。
            WEPにする意味が知りたい。

          • by Anonymous Coward

            AESに対するWEPの優位性が分からないのだが。
            古いゲーム機で使えるというくらいしか知らない。
            それに使える所はPSKじゃなくEAP使えばいいと思うし。

          • by Anonymous Coward

            > (ユーザーが記憶する必要があるパスワードはこれ1つなので絶対に書き留めないように要求する)
            ここがどうにもならん気がする。

            パスワードはセキュリティトークンで
            USBはプロテクトドングルですかね。
            システムではこれ以上難しい気がします。

            ただ、マイナンバー使うシステムならこのくらいやれと言いたいが。

          • by Anonymous Coward

            結局の所、なぜWEPにするのか説明になっていない。
            あなたがやりたいことは、WPA2でも何も不都合がないし、わざわざ攻撃者の興味を引くWEPにする必要は無い。

            • by Anonymous Coward

              ハニーポットでも仕掛けてあるとか?

            • by Anonymous Coward

              「ちゃんとした企業は」と繰り返すくせにEAPすら知らないとか。

              • (#2865089) 「ちゃんとした企業は」と繰り返すくせにEAPすら知らないとか。

                (#2865266) 「EAP」を必死にググる姿が目に見えるw

                まず、「知っていた」「今必死にググった訳ではない」ことの証拠として、私の過去の投稿を挙げます。

                アクセスポイント管理者が WPA2-EAP に対応させれば解決 [srad.jp]

                by Printable is bad. (38668) on 2014年08月27日 20時23分 (#2665057)

                この問題は、アクセスポイント管理者が WPA2-EAP に対応させれば解決です。

                (中略)

                ユーザー側の設定が面倒なのは、接続アプリを提供するといった方法 (既に docomo も au もやってます) で解決するので、もっと WPA2-EAP が普及して欲しいですね。大半のサービスが対応していない現状が残念でなりません。

                私は公衆無線LAN(特に月極で契約すると使える有料のもの)においては、WPA2-EAP に対応するべきだと考えています。共有の AES キーの場合、それを知っている第三者が復号できてしまうからです。公衆無線LANの場合、暗号化無しや全ユーザー共通の鍵の暗号でも VPN を使えば良いとは思いません。理由は、公衆無線LANを使うために VPN を自前で用意できる人は圧倒的少数派だからです。

                しかし、社内システムの無線LANにおいて IEEE802.1X/EAP を使うというのは、(VPNに接続しないと何もできない場合には)、システムが無駄に複雑化して障害発生リスクが高まるだけだと思うのです。

                無線LANって、有線LANに比べて不安定で遅いですから、いつも作業しているデスクで常用するものではなく、会議室などで一時的に利用するものでは? 無線LANの接続で IEEE802.1X/EAP を導入していなければ、法人向けの高級な製品ではなく、量販店で売っている家庭用の無線LANルーターをそのまま利用できて便利です。不安定だったり何故か接続できなかったときには、他のアクセスポイントを、有線LANコンセントに刺せばそのまま使えます。勿論、アクセスポイント単位で暗号化方式が違っても、鍵が違っても、問題が発生しないので、無線LAN接続に IEEE802.1X/EAP を導入する場合に比べて、障害発生に強いです。

                そして、社内VPNに接続するのは、無線LANからだけではなく、有線LANだったり、他の支社経由だったり、インターネット網経由(接続元IPアドレスを限定した方が安全)だったりすることもあるでしょう。そういったときに VPN への接続という段階で認証・暗号化であれば、そのまま利用できます。

                無線LANにつなげる場合だけにだけ IEEE802.1X/EAP を使うというのはシステムが無駄に複雑化して障害発生リスクが高まる一方、セキュリティ向上効果は殆ど望めないと思います。無論、IEEE802.1X/EAP は 有線LANにも使えますし、VPNの認証と連携することも可能ですが、それもシステムが複雑化するので、VPN に接続しない限り何もできないシステムにおいては不要だと思います。

                親コメント
              • by Anonymous Coward

                「EAP」を必死にググる姿が目に見えるw

                という煽りはおいといて、ネット上で見つかる無線LANセキュリティの説明は間違っているものが多いから
                目をかっぽじいてIEEEの規格を読むか、実際に構築してみないと分からないことも多いですからね。

              • by Anonymous Coward

                VPNも認証にADかLDAPと連携したRADIUS使うんだから「無駄に複雑化して障害発生リスクが高まる」なんてこたーない。
                家庭用APは10台も繋いだらアップあっぷなのに、いったいどういう規模を考えてるの?

                従業員が数10人の小規模企業なら仕方ないけど、100人超えてる企業がとるべきセキュリティ対策としては不適。

              • 家庭用APは10台も繋いだらアップあっぷなのに、いったいどういう規模を考えてるの?

                Android スマホですらテザリングで上限の8台繋いでも余裕ですよ。

                比較的最近のバッファローの上位機種なら数十台繋いでもサクサクですが。

                法人向けモデルは古いチップが使われていることがあるので値段が良く選ばないと数十分の1の家庭用に劣る性能だったりします。

                親コメント
            • by Anonymous Coward

              #2864861氏の構成について。

              WPA2にしない理由について考察:
              ・どんなPC、デバイスも接続できるようにしておいて、
               WEBページを立ち上げるとアナウンス用のWEBサイトを表示できるように
               一番簡単なWEPのみのシステムにしているのかも。
               しかしながら、ならば暗号なしのWEPの方がいいような。
               (パスワードありにする理由は書いてあるが)

              ・加えて、VPNしているのにさらにAES暗号化するのは無駄に見えるから、
               VPNオンリーにしたいのかなと読めたのですが。

              • by Anonymous Coward

                VPNオンリーにしたいなら無線LANなんか設置せず、3G/LTE-USB端末のVPN限定契約回線を社員に配ればいいんですよ。
                例:http://www.docomo.biz/html/service/internet/

                そもそも「どんなデバイスでも」というのは無理筋で、まともなVPNだとOS選ぶので、前提が間違ってる。

            • by Anonymous Coward

              よく考えたら、WEPだと、11nとか11acって使えないんじゃなかった?
              遅くて不便な方がセキュリティリスクが低いとか、そういうアレですかね。

              • by Anonymous Coward

                WPA-TKIP/RC4も11n以降の高速化拡張モードで使えません。
                今は暗号化無しかWPA2-CCMP/AESの二択。

          • by Anonymous Coward

            > 情報システム部門が弄る範囲の場所は「多層防御」を行うべきです。しかしながら、現実的なセキュリティ対策としては、
            > 一般の従業員が管理するパスワードはできる限り減らす必要があります。管理する必要のあるパスワードが増えると
            >「絶対に書き留めないこと」を要求しても、ユーザーはデスクトップのテキストファイルなどに書き留めてしまうからです。

            万が一、問題が起こった場合に「情報システム部門はできうる最大のことをした」ので
            「あとはユーザーが悪い」と、ユーザー側に責任を転嫁できるので、
            ユーザーが覚えたり、守るのが事実上不可能な施策が実行されることがあります。
            (世の中は怖いw

            • by Anonymous Coward

              日本年金機構のメール禁止とかか。

    • by Anonymous Coward

      無線LANを同時に使用する社員が100人いたとして、100人同時接続を捌けるVPNって結構お高いのですが。スループットやRTTはお察しレベルだし。
      ケチって家庭用AP置くより、EAPに対応したエンタープライズ向け無線LANを導入する方が性能面でもメリット大きい。

    • by Anonymous Coward

      LANって覗いてるだけで、結構いろいろな情報が流れてきたりしません?マルチキャストで所有者の名前や開いているサービスがわかったり、VPNサーバにしか接続できないようにって、ユーザ間の通信はちゃんと遮断されているのかな?IPv6が通っちゃったりしていませんか?どうでしょう、きちんとしたセキュリティ対策をやっていてWEPを使っている会社がどこか、名前を出してみては?

    • by Anonymous Coward

      まずは、強固なセキュリティで守るほどのものがあるかだな。

  •  なんで無線LANを使うんだ?
    早いし、速いし、安定しているし。

  • by Anonymous Coward on 2015年08月15日 7時04分 (#2864844)

    MACアドレス・フィルタリングをセキュリティ対策と呼んでいる時点でお察しとしか。

    • by Anonymous Coward

      現実的な問題を考えると、誰が教育コストを負担するのか、って話になると思う。セキュリティは人だけど、いないんじゃ外注するしかない。何なの?コンサルとか?

      • by Anonymous Coward

        何この親コメントとなんの関係もない意味不明なポエム。

        • by Anonymous Coward

          だから、だれが「MACアドレスフィルタリングはセキュリティ対策じゃない」って教えてあげるの?

          • by Anonymous Coward

            「そんなもの、人類なら誰しも持って産まれる常識だろ」とでも言いたいんじゃね?

            • by Anonymous Coward

              そんな常識より、34.4%が何を意味するのかを判断する方が重要。

            • by Anonymous Coward
              それならそれで初等教育か家庭での幼児教育に組み込む必要があるよね。

              「うちの子はWPA2って言いながら産まれてきたのよ」って事でもない限り。

              # どっかで実証実験でもやればいいんだろうけど、出来る人が善意でやっても今時は不正アクセスで捕まっちゃうし
              # 普通の人はそんな提案思いつきもしないし。
    • by Anonymous Coward

      来社したお客さんに、社員が下手な親切心でWEPパスワードを教えて接続される、という事態くらいは防げる。
      接続したいんだけど、とか言い出すお客さんに、社内の登録PCしか繋げることが出来ないんですよ、と言い訳することは出来る。

      悪意のある攻撃なんて実際はそう受けないけど、悪意のないセキュリティーリスクなんて、毎日のように起きる。

      充分でないのは分かるが、高木先生のように無意味と断じるのもどうかと思う。

      • by Anonymous Coward

        >接続したいんだけど、とか言い出すお客さんに、社内の登録PCしか繋げることが出来ないんですよ、と言い訳することは出来る。

        分かる。どうしてつなげないんだ!ってお客さんが怒りだすシーンが目に浮かぶ。

        • by Anonymous Coward

          >お客さんが怒りだすシーン

          他社のインフラに対しておきゃくさんが怒るような横柄なシーンは20年くらい会社員やっててもさすがにないんだけど・・・
          みんな短気な会社にいるのね。

      • by Anonymous Coward

        EAP-TLS

typodupeerror

にわかな奴ほど語りたがる -- あるハッカー

読み込み中...