こんな光景を見たことがある方も多いでしょう。新しい職場に入ったときや、営業訪問でオフィスを訪れたときに、共有の無線LANパスワードがあらゆるホワイトボードに書かれているのを目にすることがあります。どこにでも書かれているわけではなくても、おそらく簡単に推測できます。会社名の末尾に123を付けてみたり、Eを3に置き換えてみたりしてください。
推測しにくい無線LANパスワードを使っている企業であっても、誰かが退職した際にその都度パスワードが変更されている可能性は低いでしょう。何しろ、生産性を大きく損なう要因だからです。
これは明らかに適切なパスワード管理とは言えません。共有されていて(しかも推測されやすい可能性がある)うえ、めったに変更されないパスワードは、決して安全とは言えません。
でも、本当に重要なのでしょうか?
答えは、ほとんどすべてのことと同じように、「状況によります」です。侵害されたワイヤレスネットワークが本番システムにとって現実的な脅威となるケースもあれば、(慎重に設計することで)オフィスネットワークにパスワードがまったく不要なケースもあります。
ただし、ほとんどの企業にとってネットワークセキュリティは極めて重要であり、安全でないパスワードは大きな脆弱性を生む可能性があります。
共有のWi‑Fiパスワードの何が問題なのでしょうか?
共有のワイヤレスパスワードには、いくつかの大きなリスクがあります。パスワードを共有すると、攻撃者に発見されて企業LANにアクセスされる可能性が高まります。
企業のLAN内で機密リソースを保持する企業は減っているとはいえ、オフィスには依然として従業員が集まっており、ノートPCでファイル共有やファイアウォールの設定を緩めている可能性があります。バックアップ用に、ローカルのネットワーク接続ストレージ(NAS)を保管している企業もあります。たとえハッカーが機密リソースにアクセスできなくても、攻撃者はオフィスのプリンターの紙がなくなるまで「pwn3d」と印刷し続けることができます。
最も可能性が高いケースでは、攻撃者はオフィスのパブリックIPアドレス経由でトラフィックを送信することで、付与されたより高いレベルのアクセスを悪用する可能性があります。多くの企業では、オフィスのIPアドレスに基づいて本番サーバーやリソースへのアクセスを許可リストに登録したり、オフィスのIPアドレスからのトラフィックについてはmulti-factor authenticationを免除したりしています。このようなケースでは、攻撃者は駐車場から機密データを攻撃する経路を得ることになり、おそらくそのことに気づかないでしょう。
オフィスからサーバーへのホワイトリスト登録されたSSHアクセスは比較的リスクが低いですが、最悪の抜け穴の1つは、本番サービスの「admin」Webインターフェースがオフィスからのアクセスとしてホワイトリスト登録されていることです。管理者向けWebインターフェースは「社内専用だから」という理由で、セキュリティパッチの優先順位が非常に低くなりがちです。しかし、既知の脆弱性を含むコードを実行している管理者インターフェースは、本番データベース全体を侵害するための格好の標的です。
会社に恨みを持つ元従業員も、別のリスクになり得ます。この点では企業は特に脆弱です。そのような従業員は、貴社やそのアーキテクチャについて具体的な知識を持っているためです。建物に入ることすらなくネットワークにアクセスし、その知識を使って既知の脆弱な箇所を攻撃することもできます。
共有パスワードやパスワードなしでも問題ないのはどのような場合ですか?
パスワードのないワイヤレスネットワークは、ゲストネットワークに便利です。ゲストネットワークでは、従業員ネットワークと同じパブリックIPアドレスを使用しないでください。また、これらのネットワークには厳しい帯域幅制限を設けることをおすすめします。データは暗号化されませんが、多くのトラフィックがSSL上で行われているため、以前ほど大きな懸念ではありません。
オフィスでは、従業員が退職するたびにパスワードを変更するのであれば、共有パスワードでも問題ありません。予防策として、ローカルデバイスを0台にし、IPをどこでもホワイトリストに登録しないことをおすすめします。本番環境のリソースにアクセスする人は、従業員の資格情報を使用し(多要素認証もお忘れなく!)、および/またはVPNを使用してアクセスする必要があります。
共有のワイヤレスパスワードの運用をやめるにはどうすればよいですか?
ワイヤレスセキュリティの次のステップは、ユーザー名とパスワードの入力を求めるログインシステムに移行することです。
主要なOSにはすべて、この機能が標準で組み込まれています。つまり、コンピュータが WPA2-Enterprise を使用してネットワークにサインインしようとすると、ネットワークの共有パスワード(もう見慣れているもの)を求められるのではなく、従業員固有のユーザー名とパスワードの入力を求めるダイアログボックスがポップアップ表示されます。バックエンドでは、アクセスポイントがその名前とパスワードをRADIUSサーバーに送信し、名前とパスワードが有効であれば「はい」、そうでなければ「いいえ」という応答を返します。
その結果、組織はネットワークの安全を維持して不正アクセスユーザーをブロックでき、従業員はこれまで以上に簡単にログインして接続できるようになります。
これにはRADIUSサーバーが必要です。まだ用意していない場合は、内部データベースや外部ソース(Google Apps アカウントなど)に対してユーザー名とパスワードを検証できる、クラウド提供の RADIUS サービス(Foxpass など)があります。
セキュアなネットワークアクセスとセキュリティを求めるなら、Foxpass が最適です。あらゆる規模の企業にクラウドRADIUSとアクセス制御を提供します。Foxpass には無料の30日間トライアルがあり、セットアップもとても簡単なので、今すぐこの保護を導入しない理由はありません。ユーザー数が10人未満の組織なら、無料でご利用いただけます!
Wi-FiはWi-Fi Alliance®の商標です
