使える! 情シス三段用語辞典60「WPA3」
常に新しい用語が生まれてくる情報システム部門は、全ての用語を正しく理解するのも一苦労。ましてや他人に伝えるとなると更に難しくなります。『情シスNavi.』では数々のIT用語を三段階で説明します。
一段目 ITの知識がある人向けの説明
二段目 ITが苦手な経営者に理解してもらえる説明
三段目 小学生にもわかる説明
取り上げる用語を“知らない”と思った人は、小学生にもわかる説明から読んでみると、理解が深まるかもしれません!?
一段目 ITの知識がある人向け「WPA3」の意味
2018年6月、無線LANの相互接続認定などを行う業界団体「Wi-Fi Alliance」により、公表された無線Lanの新セキュリティ規格である。
現在の標準規格「WPA2」は、2004年の策定から14年にわたりアクセスポイントや端末に実装されてきたが、2017年10月に脆弱性が明らかとなった。WPA3では、この対策といくつかの機能を追加する。
対応する脆弱性は、アクセスポイントと端末間の接続方式「4ウェイハンドシェイク」に起因する「KRACKs(RainStallation AttaCKs)」というもの。通信が正常に行われない場合に再び通信を行う仕様から、中間攻撃者より攻撃を受ける危険性が指摘されていた。
WPA3では、この4ウェイハンドシェイクの際に、“正しいパスワードで解答できる特定の問題”で解答/問題のやり取りを複数回行う「SAE(Simulataneoas Autentication of Eqals)」という手続きを追加する。これにより、アクセスポイントと端末間でのパスワード・キーのやり取りが不要となり、攻撃者の攻撃を困難にする。万が一パスワードを盗聴されたとしても、暗号化トラフィックを解読されない仕組みも実装している。さらに、パスフレーズを機械的に作成し不正ログインを行うオフラインでの「辞書攻撃」への弱さに対し、一定回数のログイン失敗でブロックを行う「ロックアウト機能」や、「短い/簡単なパスワードの保護強化」もあり、安全性をより高めている。
また、WPA3には、家庭/小規模オフィス向け「パーソナル(WPA3-personal)」と大規模オフィス向け「エンタープライズ(WPA3-Enterprise)」2つのモードが存在。パーソナルの仕様は先述の通りでWPA2と同様にパスワード認証となるが、エンタープライズでは、アメリカの国家安全保障局が政府内の通信で使用される192ビットの「CNSA(Commercial National Security Algorithm)」を採用。WPA2で使用されている128ビットの「AES(Adbanced Encryption Standard)」よりも高い暗号強度を実現する。
さらに興味深いのが2つの機能、「Wi-Fi CERTIFIED Enhanced Open」と「Wi-Fi CERTIFIED Easy Connect」の存在だ。
Enhanced Openは、公衆無線LANの利用にかかるもの。公衆無線LANは、これまでセキュリティよりもユーザーの利便性を優先する傾向にあった。そのため、WPA2の暗号化規格を適用していないものが少なくない。これに対しEnhanced Openでは、ユーザーの利便性を維持しながら、暗号化された通信環境を構築。クライアント端末ごとに異なる暗号鍵の生成と、トラフィックを複数の暗号プロコトルにより暗号化する「OWE(Opportunistic Wireless Encryption)」により、安全性を確保する。Enhanced Openの導入は、キャプティブポータルの仕組みを導入済みの公衆無線LANであれば、認証サーバーなどの追加が不要。ユーザー、運用ともに利便性は大きい。
一方のEasy Connectは、IoTの無線LAN接続にかかるもの。QRコードとスマートフォンやタブレットのアプリで、スマートデバイスなど、ディスプレイを持たない端末の接続を簡便にする。具体的には、アクセスポイントのQRコードをスマートフォンなどでスキャンしネットワークに接続。クライアントデバイスのQRコードもスキャンし、デバイスを登録すれば接続が完了する。
これまでのセキュリティと新機能について、Wi-Fi Allianceは、「WPA3-Enterprise の192ビット暗号化以外の大半は、ソフトウェアベースで実装可能」とし、今後、既存製品でもWPA3対応するものが出てくる可能性があるとしている。
二段目 ITが苦手な経営者向け
入社1年目の情シスの吉田さんが、Webで無線LANのセキュリティの勉強中—
ようやく、うちの会社もタブレットを導入か。人数が多いから用意に手間がかかるのはしょうがないとして、問題は接続環境だな。もしかしたら、無断で公衆無線LANを使う人も出てくるかもしれないし。でも、無線LANのセキュリティって、あんまり知識がないから調べておこう。
無線LANで安全に通信するために、WEP、 WPA、WPA2っていう暗号化の規格があるのは知ってる。たしか、WEPは暗号解読の手法が確立していて危ないんだよな。それで、WPAが登場したけどそれも危険になって・・・、現在の標準はWPA2だった気がする。なら、WPA2は安全ってことだよね。
(Webを見て)あれ、この記事「2017年にWPA2で脆弱性を発見」だって? どういうことなんだろう!?
「暗号通信を行うデバイスとアクセスポイント間で、脆弱性が明らかに。『KRACKs』が、WPA2の認証方式4ウェイハンドシェイクの暗号化を侵害−−」
なるほど。内容をまとめると、KRACKs っていう方法で、WPA2の暗号化の仕組みを攻撃すると、暗号を解読できて、通信内容の盗聴もできるってことか。じゃあ、WPA2も安全じゃないじゃん。でも、「KRACKs対応済のバージョンにデバイスをアップデートすれば攻撃を防げる」とも書いてある。なら、常に最新バージョンのアップデートが必須ってことだね。これなら、MDMなどを使えば管理はなんとかなりそうだ。
でも、脆弱性があるって、デバイスを管理する情シスとしてはいつも気がかりってことだよな。WPA2よりも安全な規格って、ないのだろうか・・・。
(ふたたびWeb検索)ん、「WPA3正式発表」だって? なんだ、ちゃんと新しい規格があるじゃない。
「従来の認証方式に新しい手続きを加えて、ネットワーク上でパスワードなどを扱わないようにして脆弱性に対応」。また、「万が一盗聴されても暗号を解読できない仕組み」、だって。これなら、KRACKsを心配する必要はなさそうだ。さらに、公衆無線LANでもデバイスのセキュリティ設定に依存せず、暗号化された安全な通信環境をつくってくれる機能もあるって、これからのデバイス活用にぴったりの規格なんだな。安心、安心。
でも、WPA3が標準になるまでにはまだ時間がかかる。それに遠い未来にはまた脆弱性が見つかるかもしれないし、結局、デバイスOSの最新アップデートはもちろん、SSLで通信を行うとか、無線LANのセキュリティ対策の基本は変わらないってことだな。よし、マニュアルの準備をしておこう。
三段目 小学生向け
よしおくんは、ちょっと変わった趣味がある。それは、自分のたいせつなものを「お気に入りの箱」にしまっておくこと。
箱のなかは、ミニカーやロボットとか、パパやママからもらった外国のコインやお手紙とか宝物でいっぱいだ。そんな箱を、よしおくんは友だちと遊ぶときももっていた。でも、中身はみんなには内緒。だから、決めておいた数字を入れたときだけ開く鍵をつけているんだ。
“それ、なにが入っているの? 見せて、見せて”。
みんなから言われるけど、よしおくんは、いつも「内緒だよ」って言う。でもある日、少し乱暴なBくんが「すぐ返すから貸してよ」って、たいせつな箱を取り上げちゃった。
困ったよしおくん。でも、安心。だって、鍵がついているんだもん。Bくんは箱をゆすってみたり、すき間から中身をのぞこうとしている。それでも箱は開かないし、中身もわからない。でも、Bくんは番号を入れる鍵がついているのを見て、なぜだかよしおくんにこう言った。
「そういえば、よしおくんの誕生日もうすぐだったよね。いつだっけ?」。誕生日はまだまだなのに、へんな質問だなぁと思ったけど、「12月26日だよ」って答えた。
Bくんは、ためしによしおくんの誕生日を鍵に入れてみた。すると、さあたいへん。箱はパカりと開き、ミニカーやロボットがなかから飛び出して、みんなに宝物がぜんぶわかっちゃった!
よしおくんは泣きながら、今日あったことをパパに話した。すると、パパは「よしよし、たいへんな目にあったんだね」って、頭をなでてくれた。そうして、「じゃあこれをあげよう」って言って、あたらしい鍵に付け替えてくれた。「WPA3(だぶりゅー・ぴー・えー・すりー)」っていうんだって。
「数字を入れるのはこれまでと同じだけど、最初によしおが合言葉を言わないと数字を入れることができない鍵なんだ。」
やった、これでボクの宝物は、みんなにはわからないぞ。パパ、ありがとう!
よしおくんが大はしゃぎしていると、パパはなぜだか少し困ったような顔をした。
「こういう鍵があると安全だよね。でも、よしおも気をつけなければいけないよ。内緒のことは、みんな知りたいと思うものさ。だから、“宝物が入ってるんだ”って、たくさんの友だちに箱を見せるのはやめたほうがよいと思うな。」
そっか、宝物のことをあんまりしゃべらないほうが安心なんだ。みんなが、見せてっていう気持ちもなんだかわかるもの。パパにもらった鍵があっても、今度からは気をつけよう。
【執筆:編集Gp 坂本 嶺】