メニュー

無線ネットワーク:IoTセキュリティの基礎知識4

IoTセキュリティの基礎知識

更新日:2017年7月5日(初回投稿)
著者:アルテア・セキュリティ・コンサルティング 代表 二木 真明

前回は、IoTの基本的なネットワーク接続のセキュリティについて述べました。機器をネットワークに接続する場合、それが移動型や配線困難な場所に設置する機器なら、無線で接続します。今回はこのような無線ネットワークについて説明します。

今すぐ、技術資料をダウンロードする!(ログイン)

1. 無線LAN

無線のネットワーク接続で最も扱いやすいのが、無線LAN(Wi-Fi)です。現在、一般的に使用されている無線LANは、2.4GHzまたは5GHz帯の電波によるスペクトラム拡散方式になります。これは、IEEE 802.11シリーズの国際規格に準拠したものです。

無線LANは、使用する周波数帯と占有帯域や通信速度によって、通信規格が異なります(表1)。例えば、5GHzの周波数帯を使用するものがIEEE 802.11a、2.4GHzの周波数帯ならIEEE 802.11bやIEEE 802.11g、2.4GHzや5GHzで複数チャンネルを占有して高速通信を行うならIEEE 802.11nというように細分化されています。このほかにも、より高速で通信できるIEEE 802.11acなどの規格があり、それぞれ通信速度や特性が異なるため用途に応じて使い分けます。通信速度は規格ごとに異なり、数Mbpsから数Gbpsまでの高い速度で利用できます。

表1:無線LANの主な通信規格と使用周波数帯、通信速度
通信規格周波数帯通信速度
IEEE 802.11b2.4GHz11Mbpsまたは22Mbps
IEEE 802.11g2.4GHz54Mbps
IEEE 802.11a5GHz54Mbps
IEEE 802.11n2.4/5GHz65~650Mbps
IEEE 802.11ac5GHz292.5Mbps~6.93Gbps(規格上の最大値)

到達範囲も機器の電力によって異なり、見通し距離で最大100m程度の範囲をカバーできます。無線LANのセキュリティで問題となるのは、こうした基本的な通信規格ではなく、その上で使用される認証や暗号化の方式です。

無線LANのネットワーク接続には、インフラストラクチャモードとアドホックモードの2種類があります(図1)。前者はアクセスポイント(AP)と呼ばれる基地局に複数の機器を接続してネットワークを構成する方式で、一般的に利用されています。後者は一時的に機器同士を直接接続する場合に使われます。スペクトラム拡散方式を使用する無線LANでは、同じ周波数帯の電波を複数の機器やネットワークで共用できます。このような場合は、ネットワークを識別するためにSSID(ESSID)と呼ばれる識別名が利用されます。

図1:無線LANの各種モード

図1:無線LANの各種モード

2. 無線LANのセキュリティ

無線LANは電波を使用するため、情報を保護しなければ誰でも受信できてしまいます。このため通信の暗号化と、ネットワークへの接続時の認証による接続制限が必要なのです。

家庭用の無線LANなどで現在主流になっている暗号化技術は、WPA(WiFi Protected Access)と、その改良版であるWPA2です。この2つは、パスワードなどによる接続認証と、米国政府の標準暗号方式であるAES(Advanced Encryption Standard)方式など、高度な暗号方式をサポートしています。以前は、WEP(Wired Equivalent Privacy)という簡易的な暗号化技術が使用されていました。しかし、解読や不正接続が容易にできるという欠陥が明らかになったため、現在では使用すべきでないとされています。また、WEPの暗号鍵を定期的に更新して解読リスクを下げるTKIP(Temporal Key Integrity Protocol)という方式もあります。しかし、これもベースはWEPであり、ぜい弱性があるため利用は推奨されていません。

WPA方式では通常TKIPが使用されますが、製品によってはAESを使用できるので、その場合はAESを選択する方が安全です(WPA2ではAESが標準設定)。接続のための認証は、APで定められたパスワード(別名パスフレーズ)を機器側に設定して接続するPSK(Pre-Shared Key)方式と、より厳密な認証が可能なEAP(Enhanced Authentication Protocol)方式のいずれかを使用します。PSK方式は取り扱いが単純で、同一APに接続する機器は全て同じパスワードを使います。そのため、パスワードを知っていれば誰でも接続できてしまう弱点もあります。また、パスワードを変更する場合、同一APに接続する全機器のパスワードを一斉に変更しなければなりません。さらに、一般の認証と同様にパスワードを破るための攻撃ツールなども多く存在するため、複雑で推測しづらいパスワードを設定することが必須です。

通常APには、接続可能な機器をMACアドレスなどで制限する機能があります。しかし一方で、通信をモニタリングすることで、接続可能なMACアドレスを取得して偽装使用することも容易に行えます。また、ネットワークの発見を防ぐ方法として、SSID(ESSID)を非公開にするステルスモードというものがあります。しかし、これもPCなどの機器で検索した場合にネットワーク名が表示されないというだけで、行われている通信のモニタリングによってネットワークが検出できてしまいます。つまり、MACアドレスなどでの制限機能とステルスモードはいずれも、補助的な保護手段なのです。

認証方式にはこのほかに、EAP(IEEE 802.1X)方式があります。EAP方式を使用すると、接続機器や使用者に対して個別に発行したIDとパスワードもしくは電子証明書を使用して、認証できます。特に、電子証明書による認証は(暗号鍵が保護されている前提で)非常に強力です。ただし、EAP方式は一般消費者向けのAP製品の大半には搭載されておらず、ビジネス向けのIEEE 802.1XもしくはIEEE 802.11i(WPA2とIEEE 802.1Xを合わせた無線LANのセキュリティ規格)対応のAP製品でなければ使用できません。

続きは、保管用PDFに掲載中。ぜひ、下記よりダウンロードして、ご覧ください。

3. Bluetoothによる接続

保管用PDFに掲載中。ぜひ、下記よりダウンロードして、ご覧ください。

4. Bluetoothのセキュリティ

保管用PDFに掲載中。ぜひ、下記よりダウンロードして、ご覧ください。

5. 無線接続固有の問題

保管用PDFに掲載中。ぜひ、下記よりダウンロードして、ご覧ください。

  • 基礎知識を社内で利用したい方

ピックアップ記事

tags