社内SEゆうきの徒然日記

社内SE歴20年以上の経験からIT全般についてつぶやきます

無線LANって安全?

便利だけど、大丈夫?って思われがちの無線LAN

 

心配だから、無線LAN利用を完全禁止している会社もあります。

どっちがいいか、、、、、なかなか判断難しいところですね。。。。

客観的なことだけ書くので、どうするか各組織でご判断ください。

 

100%のセキュリティを実現したい、というならば状況が許すならば完全に無線LAN

を禁止して有線LANしか使わせないというのも一つの手です。

でもそこまでやってしまうと、スマホタブレットフリーアドレスも使えなくなります。

悩むところですね。

 

国家機密や、民間でも最高機密を扱うならば有線といえるところですが。

 

どうしても必要という場合は、無線LANは許可するけど、制限を付けるというのがいいのかな…

 

1.SSIDブロードキャストを禁止する

netsurbible.com

セキュリティは大幅に高まりますが、利便性も大幅に下がります。

使うべき?

扱っているデータ次第ですね。

メリットもデメリットもあるので答えは難しいところ。環境次第。ケースバイケースですね。

 

 

 

2.DHCPサーバー(または無線LANルーター)IPを割り当てるMACアドレス制限をする

 

www.dot-plus.com

部署名 - 使用者名(社員番号)- コンピュータ名 - MACアドレス 

の組み合わせの台帳を管理したほうがいいと思います。

 

MACアドレスセキュリティも大体は防げますが、ゴニョゴニョすればセキュリティ破れるから、完ぺきじゃないですけどね。

実験したことありますが、簡単にセキュリティ破れました。

とはいえ、やり方を知っている人は少ないので、ある程度は効果あると思います。

 

ちなみにMACアドレス制限をDHCPサーバーに設定すると、無断持ち込みのパソコン、スマホタブレットを組織内ネットワークから締め出すことができます。

経験的に持ち込みパソコン禁止と通達を出しても、「見つからないだろう」とこっそり持ち込む従業員は1%くらいどこでもいます。

みんな個人で持っているスマホ無線LANのパスワードさえ知っていると、社内ネットワークにつなげられてセキュリティガバガバ

 

罠仕掛けとけばいろいろな方法で見つかりますけどね。汗

心当たりのある人はすぐにやめたほうがいいですよ。

 

 

3.無線LAN親機の電波出力を弱くする

 

もちろん弱くするのは親機。

管理画面にも大体あります。これは非常に手ごろな対策だと思います。

 

電波が弱くなる分、親機増やす必要も出てくることありますが。

単純に電波出力絞って、電波の届く距離が半分になれば、リスクも半分になります。

 

一番シンプルなセキュリティ強化と思っています。

internet.watch.impress.co.jp

 

4.無線LANのセキュリティは可能な限りWPA3を使う

  

www.iwi.co.jp

  WPA3はWPA2に比べて大幅にセキュリティが高くなっています

新規で導入するならばWPA3に対応したパソコン、スマホタブレットが良いと思います。

今までWPA2を使っていた場合は、突然排除するまではしなくても、できるだけWPA3がいいかな、と思っています。それ以前のWPA1、WEPセキュリティは簡単に破れるのでこれは絶対使用禁止がいいのかな、と。

WPA3が100%安全かというと、そうでもなく、5年ほど前にセキュリティホールが見つかりました。

internet.watch.impress.co.jp

 

セキュリティホールが破られて悪用される可能性はゼロとは言わないまでも、低いとは思いますが、セキュリティホールは今後も次々見つかるかな、と思っています。

無線を使う以上、これは宿命なのかな、と思っています。

そう思えないクリティカルな使い方をしているならば、有線LAN一択になるのかなと思っています。

 

あとは来客用無線LANも、社内ネットワークに接続しない形で別に設けたほうがいいと思います。

来客は絶対社内ネットワーク繋げないように…

 

にほんブログ村 IT技術ブログ IT技術メモへ
にほんブログ村 IT技術ブログ セキュリティ・暗号化へ