No309　無線LANの話

このメルマガではセキュリティ関連の話を中心としつつ、様々な話題を提供しています。

ですが、改めて確認してみますと、無線LANについては今まで解説をしていないことに気付きました。

今回は、無線LANの技術や安全性についてお話をしたいと思います。


1. 無線LANとは？

もともとLAN（Local Area Network。ローカルエリアネットワークの略。組織内などの限られた範囲でだけ利用できるネットワークのこと）接続の方式としては有線しかありませんでした。

無線LANが登場したのは1997年のようですが、実際に見かけるようになったのは2000年以降の話です。

有線LANが1970年代に登場していたことを考えると随分と遅い登場です。

無線LANはその名の通り、電波を使って無線で通信を行う方式です。

余談：
　電波の発信には厳しい制約があることをご存知でしょうか？
　例えば、テレビ信号が使う周波数帯（いわゆるVHF帯やUHF帯）の信号は勝手に発信することが許されません。というか、ほとんどの周波数帯は一般家庭では発信してはいけないことになっています。
　ですが、電子レンジのように電磁波が出てしまう機器もあります。そのため、一部の周波数帯に限って（強くない電波を）発信してもいいことになっています。
　無線LANが使う2.4GHz帯と5GHz帯はいずれも発信しても良い周波数帯なのです。
　なお、2.4GHz帯は電子レンジでも使っています。そのため、レンジ使用中は無線LANから見ると大量のノイズが発生している状態となりますので、通信が遅くなったり切れたりすることがあります。

有線LANでは、信号がケーブルの中を流れますから、盗聴はほぼ不可能です。
ですが、無線LANは電波を使います。電波というのは誰でも傍聴ができます。

言ってみれば、有線LANは糸電話で、無線LANは拡声器みたいなものです。
拡声器ででっかい声でやり取りしてるようなもんですから、傍聴だってし放題です。

無線LANでは、盗聴をどのやって防ぐかが大きな課題でした。


2. 盗聴防止の方法

無線LANでは当初から通信内容を暗号化する仕組みが組み込まれていました。

初期にはWEPという暗号化方式が採用されたのですが、この方式はお世辞にも強力な暗号方式とは言えないものでした。

これには業界側の事情が多分に含まれています。

当時、無線LANを実現させるためのハードウェアは高価でした。
業界としては無線LANを早期普及させ、大量生産することで無線LAN用のLSIの低廉化を進めたいわけです。

ところが、強力な暗号化方式を採用するとなると、さらに複雑な回路が必要となり製品価格があがります。
製品価格が高過ぎると、製品が売れない→普及しない→安くならない、という悪循環に陥ります。

そもそも、無線LANの電波強度は強くない上そばに来ないと盗聴できないんだから、そこまで本格的な暗号方式にしなくてもいいんじゃね？という発想になったようです。

ところが、これが情報セキュリティ対策が重視され始めたタイミングだったため、盛大に叩かれてしまいます。

逆に言えば、それだけ無線LANというものに皆が期待をしていたわけです。

業界側は大急ぎでWPAという新規格を作ります。
この新規格はWEPに比べれば、はるかにデキの良い安全な方式でした。
無線LANの安全性は、このWPAとその後継であるWPA2やWPA3によって守られることとなったのです。


3. SSIDは見えても大丈夫なのか？

無線LANでは自宅や組織を示すSSID(Service Set ID）と呼ばれる呼称を公開できます。

こんなの公開していいのか？と不安になりますが、これは自宅の門扉に表札を掲げる程度のものと考えて問題ありません。

実際にその無線ネットワークを利用するにはパスフレーズ（パスワード）が必要ですので、SSIDが公開されていても利用できるわけではありません。

家庭での無線LANなら、パスフレーズの保護で十分でしょうが、組織での利用となると、少々心もとないのも事実です。

というのは、家族は（そう頻繁に）変わりませんが、組織メンバは退職などによる入れ替えがあるからです。

退職した人が退職後も会社のネットワークにログインできてしまうのはよろしくありません。だからといって、誰かが退職する都度パスフレーズを変更するというのも規模が大きいと現実的ではありません。

そのため、WPA2以降では、パスフレーズに加えて、社員番号＋パスワードといった第二の情報を必要とする仕組み（WPA2エンタープライズ）が用意されています。

とはいえ、家庭用の無線LANルータではWPA2エンタープライズの機構はまず搭載されていませんので、実際に利用するとなると法人用モデルなどが必要となります。
また、社員番号＋パスワードでの認証を行う仕組みも別途準備が必要になります。

とはいえ、本メルマガは「がんばりすぎないセキュリティ」です。
皆さんの組織にとって現実的な落としどころを探っていただければＯＫかと思います。メンバが数名程度であれば、退職の都度、パスフレーズを変更することも十分に現実的な対応だと思います。（新パスフレーズは無線LANの親機に貼り付けておきましょう）


4. 無線LANならではのアドホックモード

先日、とあるお客様で無線LANの話をしていて筆者が「？」となりました。

そのお客様のところでは、各パソコンを無線LANで社内ネットワークに接続し、同時に共用プリンタも無線LAN接続されていました。

プリンタは無線LAN機器（アクセスポイント）のすぐそばに置ていありましたので「プリンタは有線で接続した方が、無線特有のトラブルは減りますよ」とお話したところ、「いやいや、そんなことしたら（パソコンから）プリンタが使えなくなるじゃないですか」とのこと。

この発言自体は先方の誤解だったのですが、後で考えるとこのお客様の発言が正しいケースも存在することに思い当たりました。

通常はパソコンとアクセスポイント、プリンタが次のような関係で繋がっています。

　パソコン
　　↑↓
　無線LAN機器（アクセスポイント）
　　↑↓
　プリンタ

つまり、パソコンもプリンタもアクセスポイントと繋っている形です。
パソコンから印刷をしようとすると、以下の順にデータが流れます。

　パソコン　→　アクセスポイント　→　プリンタ

これはごく一般的な接続形態で「インフラストラクチャーモード」と呼ばれる接続形態です。

これに対して、アドホックモードというものがあります。

アドホック（ad hoc）というのはラテン語で、「臨時の」や「その場だけの」という意味だそうで、機器同士が「その場だけ」接続をすることを言います。

アドホックモードでプリンタとつなぐと、プリンタと１台のパソコン間だけで通信が行える状態となります。この形態ではアクセスポイントは経由せず、パソコンとプリンタが直接無線接続した状態となります。

このアドホックモードというのは、携帯ゲーム機（ゲームボーイDSなど）での「すれ違い通信」でも利用されており、意外に古くからある方式です。

一見便利そうなアドホックモードですが、通常のネットワーク接続ができないなどの制約も多く、本当に「一時利用」に使われている程度です。


5. まとめ

無線LANという仕組みはおおむね2000年頃から利用されています。

当初は新しもの好きが使う「怪しげなモノ」だったのですが、現在ではむしろ有線LANよりも利用される「あたり前の技術」となっています。
筆者の家庭でもネットワーク機器やデスクトップパソコン以外は有線接続を利用する機会がめっきり減っています。

無線LANは電波で通信を行うわけですから、盗聴のリスクが付いて回ります。
そのため、当初からWEPやWPAといった暗号化方式が規格化され、安全な通信が行える環境が整えられてきました。

一般家庭や小規模な組織ではSSIDとパスフレーズで無線LANを保護していますが、大きな組織では、それに加えて社員ID＋パスワードんどで二重チェックとしているところも多いことでしょう。

また、無線LANではアドホックモードという「一時的接続」が行えるモードもあります。

例えば、出張者が事前登録なしに共用プリンタが利用できるというメリットがある反面、アドホックネットワーク接続時は通常のインターネット利用ができないといった制約もあります。

今回は無線LANの仕組みについて解説をしました。

次回もお楽しみに。

（本稿は 2023年5月に作成しました）

"