無線LANは、有線LANとは異なり物理的なLANケーブルが不要なので、ユーザーにとって利便性が高い。一方、無線LANを提供する側にとっては、有線LANにはない特有の難しさがある。そこで本特集では、快適な無線LANを失敗せずに構築するための勘所を解説する。

 無線LANはデータのやり取りに電波を使うため、盗聴の危険性がある。そこで、通信を暗号化するWPA2(Wi-Fi Protected Access 2)というセキュリティの仕組みを使うことが必須になっている。以前はWEP(Wired Equivalent Privacy )という仕組みが使われていたが、WEPに致命的な脆弱性が見つかり、攻撃者が容易に暗号を解読できるようになった。このため、WEPよりも安全性が高いWPA2が使われるようになっている。

 WPA2は、個人や家庭での利用を想定したWPA2パーソナルと企業での利用を想定したWPA2エンタープライズに分かれる。

企業ではWPA2エンタープライズの利用を
[画像のクリックで拡大表示]

 WPA2パーソナルでは、PSKという共通の鍵を使って接続する。接続の際のパスワードがPSKに相当する。このパスワードを知っていれば誰でも無線LANに接続できてしまう。企業の無線LANでは使わないほうがよい。

 一方、WPA2エンタープライズでは、認証を利用することで安全性を高めている。サーバーとクライアントの両方に対して認証する。PEAPとEAP-TLSの2種類の認証方式がよく使われている。

 PEAPではまず証明書を使ってサーバーを認証する。偽の認証サーバーに接続していないかをチェックするのだ。次に、認証サーバーがIDとパスワードを使ってクライアントを認証する。Windows のActive Directoryと連携すると、Active Directoryで使っているIDとパスワードをこの認証に利用できる。これにより、ユーザーがWindowsにログオンしていれば、無線LAN接続の際にIDとパスワードの入力が不要になる。

 ただし、PEAPにはスマートフォンやタブレットで無線LANに接続する場合にセキュリティを確保できないという問題がある。こうした端末ではサーバーを認証しなくても無線LANに接続できてしまう。これにより、攻撃者が用意した偽のAPや偽の認証サーバーに接続させられる危険性がある。

 一方、EAP-TLSはサーバー認証とクライアント認証の両方に証明書を利用するため、こうしたセキュリティ上の問題がない。ただし、多くの証明書を用意して管理する必要があるため、運用の負荷が高い。