企業での無線LAN、セキュリティを重視するも約半数の企業でWEPが現役 45
ストーリー by hylom
過去の遺産 部門より
過去の遺産 部門より
脆弱だとして使用を控えるよう言われている無線LANのセキュリティ機能「WEP」だが、現在も多くの企業で使われているという(INTERNET Watch)。
ITmedia傘下のキーマンズネットによる調査で明らかになったもの。無線LANを導入している企業の多くはセキュリティを重視しているが、無線LAN導入済み企業におけるセキュリティ対策として、「MACアドレス・フィルタリング+WEP」を利用している企業は34.4%、「WEPのみ」も9.9%存在しているという。
WEP でも VPN でセキュリティを確保すれば無問題 (スコア:5, 参考になる)
きちんとしたセキュリティ対策をやっている会社は、
といったセキュリティ対策を行っているので、無線LANがWEPだったからといって問題ありません。ちなみに、「暗号化無し」ではなく「脆弱なWEP」にする理由は、暗号化無しのアクセスポイントは一部の Android などがデフォルトで勝手に接続するので、それにより近所の人に迷惑がかかる(勝手にLTEからWi-Fiに切り替わってしまう)からです。
一方、いい加減な会社ほど、
のような運用で、部署内(小さな会社ならば全従業員)で共有する AESキーがセキュリティの最後の砦みたいになっているような気がします。そして、だれか1人が無線LANのAESキーを流出させたら、パスワードの定期的な変更までの間、部外者が社内LANにアクセスし続けられるわけです。
Re:WEP でも VPN でセキュリティを確保すれば無問題 (スコア:2)
> 無線LANはWEPで、パスフレーズは「会社名」や「部署名」など簡単なもの
「無問題」なんてことは無いでしょう。(実質 10Base-T クラスの)54Mbps しか使えない WEP を今後も使い続けるなんて普通ではありません。扱うデータ量が増えていますから、いまどき 11n が普通で、11ac だって珍しくない。たぶん大部分の無線 LAN AP では 11n/ac と WEP の組み合わせの指定はできないはずです。
# Aruba 製品でも 11n 非対応のものはサポート終了まであと一年もない [hitachi-solutions.co.jp]ので、ハードウェア的には 11n 対応製品が普及しているはず。
Active Directory を使っている企業内ならグループポリシーで証明書と無線 LAN 設定を配布して WPA2 Enterprise (EAP/TLS) で接続するのがいちばん楽かつ安全だと思います。(Windows 7 以降は安定していると思う)
Wi-Fiセンサー (スコア:1)
> 一部の Android などがデフォルトで勝手に接続する
近頃はWindowsもデフォルトで勝手に接続するらしい
Re: (スコア:0)
FaceBookやOutLook.comやSkypeの連絡先に登録している全員に、自宅や職場の無線にアクセス許可を出してしまうアレ、いくらLANにはアクセスできないようになっていると言っても、抜け穴ってないのだろうか?どういう仕組みで制限してるのだろう…キーが表示されることはないと言われても、コンピュータのどこかには存在していないといけないはずだし、メモリをダンプされたら、キーがわかってしまうってことはないのかな?
Re: (スコア:0)
きちんとしたセキュリティ対策をやっている会社には多層防御という概念がないのか。たまげたなあ。
「TLSで暗号化されており(ただし暗号はRC4)」とかいうオチがありそう。あるいは認証がMS-CHAPv2とか。
Re:WEP でも VPN でセキュリティを確保すれば無問題 (スコア:1)
皮肉で言っているんですよ、きっと。
ともあれ最初の接続がWEPのみでいけるのなら、上から3つ目の・のところは
1. TLS証明書の無効化
2. IDのブルートフォースまたは一覧の取得
3. パスワードを無線LANと同じにしているやつ、passwordにしているやつ、メールアドレスのパスワードと同じにしているやつ、の3つで当てていく
これで大概はいけるのではないでしょうか。
ユーザーが管理できるパスワードの数には限りがある (スコア:5, すばらしい洞察)
無線LANのパスフレーズを複雑にして全従業員に管理させることによる防御効果より、管理すべきパスワードが増えたことによって重要なパスワードまで書き留めてしまうリスクの方が大きいと思います。
情報システム部門が弄る範囲の場所は「多層防御」を行うべきです。しかしながら、現実的なセキュリティ対策としては、一般の従業員が管理するパスワードはできる限り減らす必要があります。管理する必要のあるパスワードが増えると「絶対に書き留めないこと」を要求しても、ユーザーはデスクトップのテキストファイルなどに書き留めてしまうからです。
例えば、無線LANの暗号キー、社内VPNへの接続ID・パスワード、VPNに接続してから入力するファイルサーバーへの接続ID・パスワードなどをユーザーに管理させたら、「多層防御」どころか、面倒になって全部の情報を1つのテキストファイルにまとめられて、Evernoteやスマホの自分のメールアドレスに送って保管されてしまい(クライアント証明書ファイルも添付ファイルとして同様に送信される恐れがある)、それがまとめて流出してしまう恐れがあります。
従って、VPNへの接続を最初で最後の鉄壁として、
などの多要素認証でVPN接続を守った方が、トータルとして安全でしょう。
VPNに接続すれば、その従業員が必要な範囲でメールサーバーやファイルサーバーに追加パスワード無しでアクセスできるようにしておきます。そこでも追加のパスワードを要求してしまったら、ユーザーはVPNのパスワードを含めて全部書き留めてしまうのでかえって脆弱になります。(管理できないぐらい認証要素が増えた場合、クライアント証明書やキーファイルなども全部まとめてEvernoteの1つのノートにまとめられてしまいます)
勿論、VPNに接続しただけで全ての社内システムがクラックされてしまうことのないよう、接続先のVPNを複数用意して、その従業員の業務遂行に必要な範囲のアクセス権しか与えないようにしておきます。また、機密性の高い情報へのアクセスの際には、ワンタイムパスワードでの追加認証を要求する必要があります(普通の追加パスワードだと、まとめて書き留められる恐れがあります)。
「TLS証明書の無効化」というのは、どういう意味ですか?
「IDのブルートフォースまたは一覧の取得」に関しては、ランダムな英数字を管理者が発行して、ユーザーに手帳に書き留めて保管しておくように要求すれば良いだけ。
「パスワードを無線LANと同じにしているやつ、passwordにしているやつ、メールアドレスのパスワードと同じにしているやつ、の3つで当てていく」に関しては、むしろあなたのいうところの「多層防御」の弱点では? ユーザーが管理する必要があるパスワードがVPNのパスワードだけであるならば、そういった問題は発生しません。たった1つの大切なパスワードなので絶対に書き留めず、かつ安全なものにするよう要求すれば良いのです。そして、仮に手帳のIDと暗記しているパスワードの両方が破られたとしても、USBメモリのクライアント証明書がなければVPNに接続できません。
Re: (スコア:0)
会社の無線LANは使うのにパスワードなんて入れないけど
(IDカードの個人証明書を使う)、WPA2だ。
WEPにする意味が知りたい。
Re: (スコア:0)
AESに対するWEPの優位性が分からないのだが。
古いゲーム機で使えるというくらいしか知らない。
それに使える所はPSKじゃなくEAP使えばいいと思うし。
Re:ユーザーが管理できるパスワードの数には限りがある (スコア:2)
10年くらい前だとクライアントの接続可能台数が違うとか有りますね。
例えばWEPなら256台だけどWPA/AESだと48台とか。 [buffalo.jp]
溢れるとそもそも繋がらないとなるので(本来はAP増設して負荷分散すべき所を)WEPで繋げて、後はVPNやIPSecという上位レイヤにお任せというネットワーク設計の可能性が。
あと、Windows XPが無印だとWPAに接続するのにメーカーの別途サプリカント(場合により有料)が必要で、OS標準機能を使うにはWPAはSP1+KB815485のパッチ [microsoft.com]か、登場当時導入が見送られていたSP2。
WPA2に接続するにはSP2にKB893357パッチ [microsoft.com]かSP3で可能になったという事を既に忘れている人も多いと思います。
これにより、昔の2k/XP時代に導入してそのままアップグレードする際に設定変更の告知や手順が面倒でそのままというケースでずるずるとWEPな所も有りそうです。
Re: (スコア:0)
> アップグレードする際に設定変更の告知や手順が面倒でそのままというケースでずるずると
セキュリティ…w
Re:ユーザーが管理できるパスワードの数には限りがある (スコア:1)
まあ、EAPだよなぁと思ったし、その意味でWEPがどうこうが違和感
# まったく関係ないとは言わんけど。
なんなんだろうね。これ
M-FalconSky (暑いか寒い)
Re: (スコア:0)
"AESなら安全"とは言えないという皮肉から派生したツリーなので、細かいところにツッコむのは野暮でしょ
Re: (スコア:0)
> (ユーザーが記憶する必要があるパスワードはこれ1つなので絶対に書き留めないように要求する)
ここがどうにもならん気がする。
パスワードはセキュリティトークンで
USBはプロテクトドングルですかね。
システムではこれ以上難しい気がします。
ただ、マイナンバー使うシステムならこのくらいやれと言いたいが。
Re: (スコア:0)
結局の所、なぜWEPにするのか説明になっていない。
あなたがやりたいことは、WPA2でも何も不都合がないし、わざわざ攻撃者の興味を引くWEPにする必要は無い。
Re: (スコア:0)
ハニーポットでも仕掛けてあるとか?
Re: (スコア:0)
「ちゃんとした企業は」と繰り返すくせにEAPすら知らないとか。
IEEE802.1X/EAP ぐらい知ってますが、VPN を使うなら不要では? (スコア:3)
まず、「知っていた」「今必死にググった訳ではない」ことの証拠として、私の過去の投稿を挙げます。
アクセスポイント管理者が WPA2-EAP に対応させれば解決 [srad.jp]
私は公衆無線LAN(特に月極で契約すると使える有料のもの)においては、WPA2-EAP に対応するべきだと考えています。共有の AES キーの場合、それを知っている第三者が復号できてしまうからです。公衆無線LANの場合、暗号化無しや全ユーザー共通の鍵の暗号でも VPN を使えば良いとは思いません。理由は、公衆無線LANを使うために VPN を自前で用意できる人は圧倒的少数派だからです。
しかし、社内システムの無線LANにおいて IEEE802.1X/EAP を使うというのは、(VPNに接続しないと何もできない場合には)、システムが無駄に複雑化して障害発生リスクが高まるだけだと思うのです。
無線LANって、有線LANに比べて不安定で遅いですから、いつも作業しているデスクで常用するものではなく、会議室などで一時的に利用するものでは? 無線LANの接続で IEEE802.1X/EAP を導入していなければ、法人向けの高級な製品ではなく、量販店で売っている家庭用の無線LANルーターをそのまま利用できて便利です。不安定だったり何故か接続できなかったときには、他のアクセスポイントを、有線LANコンセントに刺せばそのまま使えます。勿論、アクセスポイント単位で暗号化方式が違っても、鍵が違っても、問題が発生しないので、無線LAN接続に IEEE802.1X/EAP を導入する場合に比べて、障害発生に強いです。
そして、社内VPNに接続するのは、無線LANからだけではなく、有線LANだったり、他の支社経由だったり、インターネット網経由(接続元IPアドレスを限定した方が安全)だったりすることもあるでしょう。そういったときに VPN への接続という段階で認証・暗号化であれば、そのまま利用できます。
無線LANにつなげる場合だけにだけ IEEE802.1X/EAP を使うというのはシステムが無駄に複雑化して障害発生リスクが高まる一方、セキュリティ向上効果は殆ど望めないと思います。無論、IEEE802.1X/EAP は 有線LANにも使えますし、VPNの認証と連携することも可能ですが、それもシステムが複雑化するので、VPN に接続しない限り何もできないシステムにおいては不要だと思います。
Re: (スコア:0)
「EAP」を必死にググる姿が目に見えるw
という煽りはおいといて、ネット上で見つかる無線LANセキュリティの説明は間違っているものが多いから
目をかっぽじいてIEEEの規格を読むか、実際に構築してみないと分からないことも多いですからね。
Re: (スコア:0)
VPNも認証にADかLDAPと連携したRADIUS使うんだから「無駄に複雑化して障害発生リスクが高まる」なんてこたーない。
家庭用APは10台も繋いだらアップあっぷなのに、いったいどういう規模を考えてるの?
従業員が数10人の小規模企業なら仕方ないけど、100人超えてる企業がとるべきセキュリティ対策としては不適。
Re:IEEE802.1X/EAP ぐらい知ってますが、VPN を使うなら不要では? (スコア:1)
家庭用APは10台も繋いだらアップあっぷなのに、いったいどういう規模を考えてるの?
Android スマホですらテザリングで上限の8台繋いでも余裕ですよ。
比較的最近のバッファローの上位機種なら数十台繋いでもサクサクですが。
法人向けモデルは古いチップが使われていることがあるので値段が良く選ばないと数十分の1の家庭用に劣る性能だったりします。
Re: (スコア:0)
#2864861氏の構成について。
WPA2にしない理由について考察:
・どんなPC、デバイスも接続できるようにしておいて、
WEBページを立ち上げるとアナウンス用のWEBサイトを表示できるように
一番簡単なWEPのみのシステムにしているのかも。
しかしながら、ならば暗号なしのWEPの方がいいような。
(パスワードありにする理由は書いてあるが)
・加えて、VPNしているのにさらにAES暗号化するのは無駄に見えるから、
VPNオンリーにしたいのかなと読めたのですが。
Re: (スコア:0)
VPNオンリーにしたいなら無線LANなんか設置せず、3G/LTE-USB端末のVPN限定契約回線を社員に配ればいいんですよ。
例:http://www.docomo.biz/html/service/internet/
そもそも「どんなデバイスでも」というのは無理筋で、まともなVPNだとOS選ぶので、前提が間違ってる。
Re: (スコア:0)
よく考えたら、WEPだと、11nとか11acって使えないんじゃなかった?
遅くて不便な方がセキュリティリスクが低いとか、そういうアレですかね。
Re: (スコア:0)
WPA-TKIP/RC4も11n以降の高速化拡張モードで使えません。
今は暗号化無しかWPA2-CCMP/AESの二択。
Re: (スコア:0)
> 情報システム部門が弄る範囲の場所は「多層防御」を行うべきです。しかしながら、現実的なセキュリティ対策としては、
> 一般の従業員が管理するパスワードはできる限り減らす必要があります。管理する必要のあるパスワードが増えると
>「絶対に書き留めないこと」を要求しても、ユーザーはデスクトップのテキストファイルなどに書き留めてしまうからです。
万が一、問題が起こった場合に「情報システム部門はできうる最大のことをした」ので
「あとはユーザーが悪い」と、ユーザー側に責任を転嫁できるので、
ユーザーが覚えたり、守るのが事実上不可能な施策が実行されることがあります。
(世の中は怖いw
Re: (スコア:0)
日本年金機構のメール禁止とかか。
Re: (スコア:0)
無線LANを同時に使用する社員が100人いたとして、100人同時接続を捌けるVPNって結構お高いのですが。スループットやRTTはお察しレベルだし。
ケチって家庭用AP置くより、EAPに対応したエンタープライズ向け無線LANを導入する方が性能面でもメリット大きい。
Re: (スコア:0)
LANって覗いてるだけで、結構いろいろな情報が流れてきたりしません?マルチキャストで所有者の名前や開いているサービスがわかったり、VPNサーバにしか接続できないようにって、ユーザ間の通信はちゃんと遮断されているのかな?IPv6が通っちゃったりしていませんか?どうでしょう、きちんとしたセキュリティ対策をやっていてWEPを使っている会社がどこか、名前を出してみては?
Re: (スコア:0)
まずは、強固なセキュリティで守るほどのものがあるかだな。
Re: (スコア:0)
Printable is bad.氏にはIPv6の長さに文句をつける前に、自身のコメントを短く纏める努力をしていただきたい。
セキュリティーを重視するならば有線LANを使えよ (スコア:2)
なんで無線LANを使うんだ?
早いし、速いし、安定しているし。
セキュリティ対策 (スコア:1)
MACアドレス・フィルタリングをセキュリティ対策と呼んでいる時点でお察しとしか。
Re: (スコア:0)
現実的な問題を考えると、誰が教育コストを負担するのか、って話になると思う。セキュリティは人だけど、いないんじゃ外注するしかない。何なの?コンサルとか?
Re: (スコア:0)
何この親コメントとなんの関係もない意味不明なポエム。
Re: (スコア:0)
だから、だれが「MACアドレスフィルタリングはセキュリティ対策じゃない」って教えてあげるの?
Re: (スコア:0)
「そんなもの、人類なら誰しも持って産まれる常識だろ」とでも言いたいんじゃね?
Re: (スコア:0)
そんな常識より、34.4%が何を意味するのかを判断する方が重要。
Re: (スコア:0)
「うちの子はWPA2って言いながら産まれてきたのよ」って事でもない限り。
# どっかで実証実験でもやればいいんだろうけど、出来る人が善意でやっても今時は不正アクセスで捕まっちゃうし
# 普通の人はそんな提案思いつきもしないし。
Re: (スコア:0)
来社したお客さんに、社員が下手な親切心でWEPパスワードを教えて接続される、という事態くらいは防げる。
接続したいんだけど、とか言い出すお客さんに、社内の登録PCしか繋げることが出来ないんですよ、と言い訳することは出来る。
悪意のある攻撃なんて実際はそう受けないけど、悪意のないセキュリティーリスクなんて、毎日のように起きる。
充分でないのは分かるが、高木先生のように無意味と断じるのもどうかと思う。
Re: (スコア:0)
>接続したいんだけど、とか言い出すお客さんに、社内の登録PCしか繋げることが出来ないんですよ、と言い訳することは出来る。
分かる。どうしてつなげないんだ!ってお客さんが怒りだすシーンが目に浮かぶ。
Re: (スコア:0)
>お客さんが怒りだすシーン
他社のインフラに対しておきゃくさんが怒るような横柄なシーンは20年くらい会社員やっててもさすがにないんだけど・・・
みんな短気な会社にいるのね。
Re: (スコア:0)
EAP-TLS