コラム

2024.11.20

無線LANの押さえておくべき初歩的なポイントその２：無線LANのセキュリティ

前回のコラムでは、Wi-Fiのスループットを下げる要因やアクセスポイントの設置場所について解説しました。
今回のコラムでは、無線LANのセキュリティ（ステルスSSID、WPA3）について解説するので、無線LANシステム導入時やシステム更改時の情報としてご活用ください。

ポイントその１：スループットについて（前回コラム）
ポイントその２：無線LANのセキュリティについて（今回コラム）

>> ネットワークのセキュリティを見直したい方は、当社へお問い合わせください >>

ポイントその２：無線LANのセキュリティについて

1.ステルスSSID

ステルスSSIDとは、APが発信するSSID (無線を区別するためのID) の通知を停止し、端末が接続できなくなるように隠すことを指します。SSIDを知らない他の端末に接続される可能性が低くなるため、一見するとセキュリティ強化に繋がりそうですが、ステルスSSIDを使用してはいけません。

なぜかというと、セキュリティの意味がない上にラジオ空間的にも迷惑行為となるからです。

通常のSSIDであれば、AP側が「自分はこのSSIDを使えるようになっています」と端末に通知しますが、ステルスSSIDはAPがそれを行わないため、端末側が「このSSIDに接続したいです」というProbe (SSIDが入ったフレーム) を出すことになり、SSIDの情報が漏れ出てしまいます。どのSSIDに接続したいか周りに通知している状態となるため、悪意のある攻撃者から偽SSIDを持ったハニーポットを用意されてしまう危険性があります。このように、かえってプライバシーが危険にさらされる可能性があります。

また、端末側から「このSSIDに接続したいです」というProbeが大量に送られることで、無線空間が占有されるため、スループットを下げる要因になります。

無線LANの押さえておくべき初歩的なポイント　ステルスSSID

2.WPA3

WPA3（Wi-Fi Protected Access 3）は、Wi-Fiネットワークのセキュリティを強化するために設計された最新のセキュリティ規格です。2018年にWi-Fiアライアンスによって発表され、以下のような特徴があります。

特徴1：強化された暗号化
WPA3は、より強力な暗号化手法を採用しており、通信内容の盗聴や改ざんを防ぎます。

特徴2：SAEハンドシェイク
Simultaneous Authentication of Equals（SAE）という新しい認証方式を使用しており、KRACKs（Key Reinstallation Attacks）などの脆弱性に対する対策が施されています。

特徴3：辞書攻撃対策
誤ったパスワード入力が一定回数続くとログインをブロックする機能が追加され、辞書攻撃や総当たり攻撃（ブルートフォースアタック）から保護します。

特徴4：Easy Connect
ディスプレイを持たないIoT機器などを簡単にネットワークに接続できる機能です。
QRコードをスキャンするだけで接続が可能です。

また、従来のセキュリティ規格であるWPA、WPA2と比較すると、以下のようになります。

	WPA	WPA2 =IEEE 802.11i	WPA3
認証方式 (Personal)	PSK	PSK	SAE
認証方式 (Enterprise)	EAP(802.1x)	EAP(802.1x)	EAP(802.1x)
暗号化	TKIP(必須) AES-CCMP(任意)	TKIP(任意) AES-CCMP(必須)	AES-CCMP(必須) AES-GCMP(任意)
暗号化鍵長	128 bit	128 bit	128 bit 256 bit
管理フレーム暗号化(PMF*) IEEE 802.11w	任意	任意	実装必須