Contents
はじめに
近年、ネットワークの無線化が急速に進み、多くの企業で無線LAN(Wi-Fi)は欠かせない業務基盤のひとつとして利用されています。Wi-Fiは非常に便利である一方、パスワードを入力して無線LANに接続する一般的な方法(パスワード認証)では、パスワードの漏洩や従業員の私物(個人スマートフォン・個人タブレット等)などの不正接続などが起こりやすく、Wi-Fiの普及に伴ってネットワーク関連のセキュリティリスクも年々増大しています。
こうした背景を受け、日本自動車工業会(自工会)などの業界団体や総務省・経済産業省などの公的機関は、企業のネットワークなどに関するセキュリティガイドラインを策定し、より強固なセキュリティに基づいた安全な運営・運用を推奨しています。
今回ご案内させていただく「+NExT-CAir」は、こうしたセキュリティリスクを最小限に抑えるとともに、運用における負担軽減も実現できる無線ネットワークソリューションになります。本記事では、パスワード認証によって発生するセキュリティリスクの具体的な内容やソリューションのメリット、導入に関する内容をご紹介しております。是非、最後までお読みいただければと思います。
SSID・暗号化キーによる認証(パスワード認証)のセキュリティリスク
現在多くの企業では、社内無線ネットワークの接続認証にSSID・暗号化キー(パスワード)を使用されています。この認証方法では、
◆従業員の私物端末による不正接続(シャドーIT)
◆紛失・盗難されたパソコンによる不正接続
◆退職者による不正接続
などのリスクが考えられます。
◆従業員の私物端末による不正接続(シャドーIT)
上記のうち、最も起こりやすい例として挙げられるこの不正接続には、非常に大きなセキュリティリスクがあります。例えば、知らず知らずのうちにマルウェアに感染してしまったスマートフォンなどを社内ネットワークに接続してしまった場合、マルウェアの感染は社内ネットワーク内で無差別に拡大します。マルウェアの中には情報漏洩やデータ破壊を引き起こすものもあり、感染の状況によっては取引先等にも大きな影響を及ぼすことが十分に考えられます。
不正接続における脅威はマルウェアだけではありません。従業員の私物端末によってデータが不正に取得され、情報漏洩に繋がることもあります。会社支給のパソコンに監視ソフトをインストールして情報漏洩対策をしていたとしても、私物端末が直接ネットワークに接続されてしまえば情報漏洩は簡単に起こりえます。
◆紛失・盗難されたパソコンによる不正接続
公共交通機関での移動やお昼休憩、業務終了後の飲み会などで、普段会社で使用しているパソコンが紛失してしまった場合、そのパソコンはほとんどがパスワード入力無しで社内ネットワークに接続できてしまいます。そのため「紛失してしまった」という事実だけでも、大きな不正接続のリスクを生むことになります。
これが悪意を持った第三者による盗難の場合、さらにそのリスクは大きくなります。無線アクセスポイントの電波が届く範囲は一般的に50~100mと言われており、構造によっては会社の敷地外から社内のネットワークに侵入することができます。最悪のケースとして、社内ネットワークに侵入した第三者による業務データの流出・破壊が行われることも想定されます。
◆退職者による不正接続
外部からの社内ネットワーク侵入のリスクは、紛失・盗難されたパソコンによるものだけではありません。退職者がSSID・パスワードの情報をそのまま保持していた場合、紛失・盗難時と同様に不正接続の危険性があります。退職者の場合、第三者よりも社内環境に詳しく、意図的なデータの改ざんや消去を容易に行うことができるため、そういった意味では紛失・盗難時の不正接続よりもさらに危険性が高くなることも考えられます。
+NExT-CAirにおける証明書認証
+NExT-CAirは、お客様環境専用に発行した電子証明書で認証を行い、社内ネットワークへの無線接続を証明書認証(IEEE 802.1X認証)によって制御することができる無線ネットワークソリューションになります。
パスワード認証の場合、パスワードさえ知っていれば誰でも・どの機器でも社内ネットワークに接続することができます。一方、証明書認証では、社内ネットワークへの接続を電子証明書がインストールされた機器のみに制限することが可能で、不正接続のリスクを大幅に減らすことができます。
+NExT-CAirで使用する電子証明書は、社内のWindows Server環境に新しく構築される証明書サーバーから発行されます。この証明書は複製や偽造が非常に困難なものとなっており、パスワードによる認証と比べ、非常に強固なセキュリティとなっています。
万が一、証明書がインストールされた端末が紛失・盗難に遭ってしまってもご安心ください。構築した証明書サーバーの管理画面から、所在不明になってしまった端末の証明書を失効させて社内ネットワークへの接続を制限することができます。+NExT-CAirでは、不測の事態にも柔軟に対応することができ、このような不正接続のセキュリティリスクを最小限に抑えることが可能です。
不正接続に対する強みだけでなく、普段からの運用においてもメリットがあります。パスワード認証の無線環境でパソコンに無線接続設定を実施する際、一台一台すべてにパスワードを入力する必要があります。本ソリューションではWindows Serverの機能を使用し、無線接続設定を各端末に自動配布することが可能です。
無線接続設定を実施する台数が多ければ多いほど、設定の負担を軽減することができます。
+NExT-CAirを導入することのさらなるメリット
オプションでのログ保管にも対応しており、どのデバイスが、いつ、どのような認証で、接続・切断したかの各種ログを保管しておくことができます。
本記事の冒頭でも記載させていただいたように、本ソリューションによる証明書認証やログ保管は、自工会や経済産業省・総務省などのセキュリティガイドラインに対応したものとなっており、その一部をご紹介いたします。
◆自工会におけるセキュリティガイドライン
JAMA・JAPIA 自工会/部工会・サイバーセキュリティガイドライン 2.2版
(自動車産業 セキュリティチェックシート V2.2) 一部抜粋
15 社内接続ルール
目的:社内ネットワークの利用を適切に管理することにより、情報漏洩やマルウェア感染などの被害を最小化する
要求事項:社内ネットワークへの接続時には、情報システム・情報機器の不正利用を抑制する対策を行っていること
「他社事例」項目内に「社内ネットワーク接続時に正当な証明書がインストールされているPCのみ接続を許可している」と記載されています。 この項目は自工会のガイドライン内でも最高レベル(Lv3)であり、「現時点(2022年4月)で自動車業界が到達点として目指すべき項目」として定義されています。非常に高水準な項目になっていますが、 +NExT-CAirはこの条件を満たしています。
◆経済産業省におけるセキュリティガイドライン
工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン ver1.0
該当ページ:46ページ 表3-25 システム構成面のセキュリティ対策の目的概要
および
「工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン」付録E チェックリスト 26行目
「確認項目」項目内に「工場内に無線LANを導入している場合、ネットワークへの接続が許可された機器の台帳を作成し、無許可の機器を拒否する仕組みがある。」と記載がありますが、+NExT-CAirはこの条件も満たしています。
「+NExT-CAirにおける証明書認証」でも記載してある通り、社内ネットワークへの接続は証明書によって管理されており、許可されていない機器(証明書がインストールされていない、もしくは失効している機器)は無線接続が拒否される仕組みになっています。
証明書がインストールされている端末はすべて証明書サーバーによって管理され、端末が一覧として表示されます。ファイルや用紙などで管理したい場合は、その一覧をそのまま転記等することで台帳としてご利用いただけます。
◆総務省におけるセキュリティガイドライン
地方公共団体における情報セキュリティポリシーに関するガイドライン(令和6年10月版)
該当ページ:202ページ (13)無線LAN及びネットワークの盗聴対策
4行目に「認証サーバを利用したWPA2/WPA3エンタープライズによる認証(IEEE802.1X認証)を採用する等、セキュリティ対策を実施しなければならない。」と記載があります。
+NExT-CAirは導入にあたって認証サーバーを構築し、IEEE802.1X認証に対応した無線アクセスポイントを使用することが前提になっているため、この条件を満たしています。
+NExT-CAirを導入するためには?
+NExT-CAirはWindows Serverの標準機能によって実装することができるため、お客様が現在ご利用のWindows Serverに追加で構築することができます。基本的にはサーバーなどのハードウェアを追加でご購入する必要がないため、その分導入までにかかる期間も短縮することができます。
環境構築に使用するアクセスポイントは証明書認証(IEEE 802.1X認証)に対応している必要がありますが、企業で利用されている無線アクセスポイントは証明書認証に対応していることが多いです。対応している場合、設定調整を行うことでそのまま使用することができるため、追加でのアクセスポイントご購入は不要となります。
「既存のハードウェアリソースで無線証明書認証の環境を構築できる」ということも、+NExT-CAirの大きな強みです。
まとめ
+NExT-CAirを導入して頂くことにより、セキュリティ性や運用面での利便性を大きく向上させ、安心・安全な無線環境を実現することができます。 昨今の情勢からも今後、各業界団体や公的機関のガイドラインに則ったセキュリティ性がより重視されるようになっていくことが予想されます。そうした各ガイドラインに対しても非常に高い水準で対応できるソリューションになりますので、是非、導入をご検討いただければと思います。ご興味がありましたら、お気軽にお問い合わせください。
製品紹介リンク:https://www.iosi.co.jp/product-solution/security/plus-next-cair/