無線LANの規格とセキュリティー ~ 802.11b・a・g・n・ac ~
無線を利用してLANを構成し、ネットワークを共有したりインターネットの利用を共有したりする「無線LAN」が急速に普及してきました。
無線を利用することで、ケーブルが乱雑する煩わしさから解放され、見た目がすっきりする上、何より無線の届く範囲内での移動が可能となります。
各デバイスの無線接続については、Bluetoothとは で解説しましたが、本項では、無線LANの規格とセキュリティーについて解説したいと思います。
さて、まず無線による接続はどうするのかというと、大きく分けて2つの接続方法がありますが、基本的な接続方法は、親機に子機を接続して、親機を介して子機同士が通信するという形態が一般的です。
つまり無線LANを構築する場合、親機となる機器に子機となるパソコンが接続するという形になります。このように、その無線LANのグループがアクセスする親機のことを、
アクセスポイント
と言います。無線アクセスポイントは、ルータが兼ねる場合が一般的で、無線LAN機能を有したルータをアクセスポイントとして無線LANを構築します。(ルータについては、データ伝送 を参照してください)
つまり、例えば家庭内とした場合、ルータがインターネット接続のゲートウェイとなり、さらに家庭内を無線でネットワークしたLANにIPアドレスを与え、通信を仲介する親機ともなるわけです。
したがって、ルータ(それぞれの機能を有しているルータ)が一台あれば、インターネットとの接続、ファイアフォールやパケットフィルタリングによるセキュリティ機能、無線LANのアクセスポイント、DHCPやNAT機能による各端末へのIPアドレスの割り当て、ハブとしての機能など様々な役割を担ってくれるのです。(DHCPについては、IPアドレスとは(1) を参照してください)
対して子機の側は、
無線LANアダプタ(LANカード)
と呼ばれる拡張カードを子機に接続して、アクセスポイントと通信します。無線LANアダプタは、PCカードタイプのものやUSBタイプのもの、すでにアダプタを搭載しているパソコンもあります。
このように、アクセスポイントを介して接続する形態を「インフラストラクチャモード」、そして、アクセスポイントを介さずに機器同士で直性通信し合う形態を「アドホックモード」と言います。アドホックモードで代表的なのは、携帯用ゲーム機同士の通信などです。
では、実際にLANを構築するとして、無線接続形態が決まったら次に「通信規格」を決めなければなりません。前項で解説した有線接続のイーサネット規格のように、無線LANにも規格がいくつかあり、それに従って通信を行います。
無線LANの規格は、インターフェースとは で解説のとおり、IEEEの802.11(アイトリプルイー ハチマルニテンイチイチ)によって定められています。「802」というのは、IEEEという電子技術者協会の802委員会(1980年2月に活動開始から由来)が定めたという意味で、「11」はワーキンググループ11の意味で、無線LANにかかる項目を指します。
※有線LANは、IEEE802.3委員会、BluetoothなどのPANは、IEEE802.15委員会で規格が策定されています。
IEEE802.11b
もっとも初期に普及した無線LANの規格で、Bluetoothと同じ免許不要の2.4GHz帯の電波を使用する規格です。通信距離、安定性にも優れており、多くの機器が対応している無線LANの代表的な規格になります。
ただし通信速度は、最大11Mbps(実質速度は5Mbps程度)と若干遅く、光ファイバーなどの大容量回線を利用してインターネットを利用している場合には、ルータまでは100Mbps程度の速度があっても、ルータから子機端末までは11Mbpsとなり、力不足となります。
また、2.4GHz帯は他の機器も使っており、Bluetooth機器と混信する というデメリットがあります。混信を避けるために、3チャンネル程度の間隔を空けて利用します。
IEEE802.11a
11bのデメリットである、他の機器との混信を解消するため、アメリカ連邦通信委員会が5GHz帯の一部を免許不要な無線アクセス用に開放したことを受け、5GHz帯を使用し、最大54Mbps(実質速度は20Mbps程度)の通信速度を実現した規格です。
ただし、5GHz帯の利用制限として、屋外での使用が認められていない、11b機器と通信できない というデメリットがあります。
IEEE802.11g
11b、11a双方のデメリットを解消するため、11bの帯域(2.4GHz)に11aの技術を適用することで、最大54Mbpsの高速通信速度を実現した規格です。
11gは11bの上位規格であり、11b機器と11g機器の通信が可能となります。11b機器との通信は11Mbpsで行われます。ただし、11a機器と通信することはできません。(現在では同時接続が可能なルータが販売されています)
デメリットとしては、2.4GHz帯の混信問題は完全に解消されない、11b機器を混在させると実効速度が落ちるといったデメリットがあります。
IEEE802.11n
2009年に正式に製品化された次世代規格で、複数のアンテナでの送受信、複数のチャンネルの結合などを行う技術を用いて、高速大容量化を実現した規格です。この技術を、
MIMO(マイモ)
と言います。MIMOは「Multiple Input Multiple Output」の略で、複数のアンテナで同時に異なるデータを送信し、受信時に合成する技術です。したがって、理論上はアンテナが増えるほど広帯域を使用できることになり、11nでは、MIMOによって最大600Mbps(実質速度100Mbps以上)の超高速な伝送速度を実現します。
ただし、600Mbpsというのは、アンテナ4本という最も高速な組み合わせによる理論上の速度であり、法律上の制限などで、最高速度が450Mbpsもしくは300Mbpsの製品が販売されています。
さらに、11nは11aをベースに、複数のアンテナを使うため、2.4GHz/5GHzの2つの周波数帯域を同時に使用することでき、それによって、11b、11a、11gとの相互接続が可能となります。
また、複数のアンテナから複数の経路を通って電波が届くことで、安定したデータ伝送が可能になるという効果もあります。
| 項目 | IEEE802.11b | IEEE802.11a | IEEE802.11g | IEEE802.11n |
|---|---|---|---|---|
| 周波数帯域 | 2.4GHz | 5GHz | 2.4GHz | 2.4GHz/5GHz |
| 通信速度 | 最大11Mbps | 最大54Mbps | 最大54Mbps | 最大600Mbps |
| メリット | ほとんどの製品が対応している | 混信がない | 11bと互換性がある | 速度が速い 他規格と互換性がある |
| デメリット | 速度が遅い 混信がある |
屋外では使用不可 11bと互換性がない |
混信が解消されたわけではない 11bを混在させると速度が落ちる |
現在のところ特になし |
さらに現在では、帯域幅の拡大やMIMO技術の拡張によって、さらなる次世代規格で、
IEEE802.11ac
の普及が進んでいます。11acは、2013年の電波法の改正で使えるようになった帯域を利用して、一気に大容量化した規格で、5GHzの周波数帯域の4チャンネル分を束ねて高速大容量化を実現したものです。
論理値では、11nの約11倍の「6.9Gbps」のギガビット通信を可能にする超大容量規格です。11acのアクセスポイント(無線ルータ)を使えば、あらゆるネットワーク機器を快適につなぐことができます。
このように、現在ますます無線化と大容量の流れが進んでいますが、無線LANの普及を進めるために、WECAという業界団体が無線LAN製品に与えるブランドを創設しました。そのブランド名を、
Wi-Fi(ワイファイ)
と言います。Wi-Fiは「Wireless Fidelity」の略で、Wi-Fiブランドは、他社製品との互換性が検証された無線LAN製品に与えられます。認定製品は、Wi-Fiのロゴを使用することができます。
では次に、セキュリティ対策について解説していきましょう。
無線によってデータをやり取りするということは、電波に乗ってデータがそのまま空中を飛んでいるということです。そのため、有線とは異なる特有のセキュリティ対策が必要になってきます。
無線LANによる危険性は、電子メールのセキュリティ編 で解説した、盗聴・改ざん・なりすまし・否認やマルウェア、踏み台などの有線の接続と同様の危険性があり、さらに無線特有の危険性があります。そのため、無線LANでは機器に適切なセキュリティ設定を行わないままで使用すると、重大な被害を受けかねません。
無線LAN特有の危険性には、
電波の傍受とネットワークへの不正接続
が挙げられます。電波の傍受は、無線で空中を飛び交うデータを盗聴されるということで、無防備なデータは簡単に盗聴されてしまいます。
不正接続は、電波の届く範囲内であれば、セキュリティ対策をしていないネットワークの場合、誰でもそのアクセスポイントに接続することができ、なりすましによるインターネットの利用、ひいてはそのネットワーク内に進入できてしまうことになります。
ネットワークに侵入出来てしまうということは、電子メールを盗聴・改ざんされるのとはわけが違い、パソコン内に保存している情報をすべて見られてしまうということになりかねません。
こうした脅威に対抗するためには、様々な対策を講じる必要があります。基本的なセキュリティ対策の概要としては、
ネットワークに接続する機器を制限する
通信を暗号化する
という2本柱になります。ネットワークに接続する機器を限定することで、外部の第三者による不正接続を防止することができ、通信を暗号化することでデータを盗聴されても、内容を解読される恐れがなくなります。
まず、ネットワークに接続する機器を限定するための方法は、
MACアドレスフィルタリング
MACアドレスとは、プロトコルとは で解説のとおり、LANアダプタなどのイーサネットカード(NIC)に与えられる固有の番号です。
無線LANのアクセスポイントに、利用するパソコンのMACアドレスを登録して、登録されていないMACアドレスはアクセスポイントを利用できないようにフィルタリングすることを、MACアドレスフィルタリングと言います。
MACアドレスフィルタリングにより、第三者が電波を不正利用するのを防ぐことができます。
ESSIDの変更・ステルス化
ESSID(イーエスエスアイディー)とは「Extended Service Set IDentifier」の略で、無線LANにおけるLANをグループ分けするための識別名を指します。(SSIDとも呼ばれます)
同じESSIDが設定されているアクセスポイントとパソコン間でのみ通信を行うことができるため、逆に言えば、ESSIDを知っていればその無線LANを利用することができます。
そのため、極力推察されにくい名称に変更しておくことも重要な対策です。多くの製品では、初期設定がメーカー特有のものだったりして推測されやすい名称が設定してあるためです。
また、第三者からのESSID検索に応答しないために、ESSIDの通信信号をステルス化(隠ぺい)することも有効な対策になります。
アクセスポイントは、定期的にESSIDを通知する信号(ビーコン信号という)を発信しており、このビーコン信号を停止することで、ネットワークの存在を検知されにくくすることができます。
ANY接続の拒否
ANY接続とは、アクセスポイントのESSIDを空欄に設定した場合に、クライアントから電波が届く範囲にあるアクセスポイントの中で最も電波状態が良いアクセスポイントに接続する方法のことです。
この方法を使うと、アクセスポイントのESSIDがわからなくても接続がすることができるので、フリースポット(ホテルや飲食店、駅などで無線LANのアクセスポイントを開放して、無料でインターネットにアクセスできるエリアサービス)を提供している場所などで利用されています。
しかし、 ANY接続を許可していると、当然ネットワークに不正接続される危険性が高まります。ANY接続は必ず拒否するように設定しましょう。
これらが、不正接続を防止する基本的な対策になります。この他にも、アクセスポイントの接続にパスワードを設定したり、IDを変更したりすることも有効な対策になります。
次に、通信を暗号化するための方法は、以下の3つの規格があります。
WEP(ウェップ)
WEPは「Wired Equivalent Privacy」の略で、主に11bの通信を暗号化するために使われている技術です。
暗号化には64ビットもしくは128ビット(どちらかの指定が可能)のWEPキーと呼ばれる暗号鍵が使われますが、鍵の値の一部が固定されているため、コンピュータの処理速度の向上に伴い、解読が可能となっています。
したがって、古いルータなど、WEPしか対応していない製品は買い換えた方が無難です。
WPA(ダブリュ ピー エー)
WPAは「Wi-Fi Protected Access」の略で、Wi-Fiが策定した規格になります。企業向けと一般向けの2種類の規格がありますが、本項では個人用の一般向けについて解説します。
WPAは、WEPの脆弱性を補強した上位規格で、暗号化には、
TKIP(ティーキップ)
と呼ばれる暗号化プロトコルを採用しています。TKIPは「Temporal Key Integrity Protocol」の略で、WEPとは異なり、暗号鍵は一定の間隔で更新され、端末(通信パケット)ごとに異なる暗号鍵が使われます。つまり、その無線LAN内のパソコンごとに異なる暗号鍵が使われるということです。
また、WEPの強化版であるため、WEPとの互換性も確保されており、旧機種でもファームフェア(詳しくは、プログラムとソフトウェアのまとめ を参照してください)のバージョンアップのみでWEPに対応できる製品もあります。
ただし、WPAにおいてもTKIPの鍵を数秒から数十秒で算出する方法が、神戸大学と広島大学の教授らによって開発されており、脆弱性が懸念されています。
WPA2(ダブリュ ピー エー ツー)
WPA2は、WPAのバージョンアップ版で、より強固な暗号化方式です。基本的にはそれほどWPAと変わりませんが、暗号方式はTKIPに代わり、
AES(エーイーエス)
と呼ばれる現在主流の共通鍵暗号化方式を採用しています。(AESについては、電子メールのセキュリティ(1) を参照してください)
AESもTKIPと同様に、通信中でも暗号鍵を変更し続けることで鍵が解読されることを防ぐ方式ですが、暗号化処理の方法がTKIPがソフトウェアで行うのに対し、AESはハードウェアで行うため、より高度な処理が可能となっています。
そのため、アクセスポイントとアダプタ両方のハードウェアに機能として組み込まれている必要がありますが、改ざん検知の機能も備えた、現在において最もセキュリティの高い規格となています。
| 規格 | WEP | TKIP | AES |
|---|---|---|---|
| WPA | ○ | ◎ | △ |
| WPA2 | ○ | △ | ◎ |
上表は、無線LANの暗号化方式と暗号化の規格の対応状況を表しています。WPAでもAESに対応している機種があります。(△の部分の対応はメーカーや機種によって異なります)
今後は、WEPは当然ですが、TKIPも脆弱性が発見されていますので、WPA2規格によるAES暗号化通信が主流になると思われます。安全な通信を行うために、WPA2に対応した製品を購入する、買い換えるといったことが必要だと思います。
さて、無線LANにはこのようにいくつかの規格があり、無線独特のセキュリティ対策が必要になります。ただ、こうした一つひとつの対策は、ある程度の知識が必要で初心者では難しい上に、かなり煩雑な作業になります。
そこで、ルータ等のデバイスの大手メーカーのBUFFALO(バッファロー)は、親機と子機のボタンを押すだけで、ワンタッチで無線接続とセキュリティ設定が完了してしまう機能システムを開発しました。このワンタッチ機能のことを、
AOSS(エーオーエスエス)
と言います。AOSSは「AirStation One-Touch Secure System」の略で、親機と子機の双方で同時にAOSSボタンを押せば、無線LANのあらゆる設定を自動的に行うことができます。
AOSSシステムは、プレステ3やニンテンドーDS、Wiiなどのゲーム機にも組み込まれています。
あ
Wi-Fiダイレクト、
更新履歴
- 2009年11月10日
- ページを公開。
- 2009年11月10日
- ページをXHTML1.0とCSS2.1で、Web標準化。レイアウト変更。
- 2014年5月24日
- 内容修正。
- 2018年2月5日
- ページをSSL化によりHTTPSに対応。
参考文献・ウェブサイト
当ページの作成にあたり、以下の文献およびウェブサイトを参考にさせていただきました。
- 無線LAN|基礎知識
- http://www.allied-telesis.co.jp/products/list/wireless/knowl.html
- セキュリティ通信|知って安心のセキュリティ情報:無線LANの安全な使い方
- http://www.so-net.ne.jp/security/pc/w_lan.html
- 安心して無線LANを利用するために|総務省
- http://www.soumu.go.jp/main_sosiki/joho_tsusin/lan/
- 「11ac」とは | 次世代高速Wi-Fi規格「11ac」でできること | BUFFALO バッファロー
- http://buffalo.jp/products/catalog/network/11ac/concept.html
- 管理人のつぶやき
- Twitterのフォローお願いします!