Enterprise Watch
バックナンバー

初心者管理者のための無線LANセキュリティ講座 【最終回】

人的ミスがネットワークにあたえる「すき」



 これまでの4回で、現状の無線アクセスポイントの利用状況と、最低限設定しておくことを中心に紹介を行った。ここではさらに追記しておきたい項目を述べておく。多くの専門家が異口同音に「セキュリティ機器はツールにすぎない」と言ってきている。にも関わらず、「ファイアウォールがあるから大丈夫だ、侵入試験でも問題なかった」などという的外れな発言を、いまだに耳にする。「セキュリティ対策」というのはセキュリティ機器を設置することではなく、適切に運用することにある。適切な運用のなされないセキュリティ機器は、運用者や利用者の依存により心のすきを増大させるだけの代物でしかなく、「百害あって一利なし」である。今回は一連の最終回として、無線アクセスポイントの運用に関連して、起こりがちな人的ミスについて考えてみることにする。


「情報価値の見積もり」は第三者の視点で

 セキュリティ対策についてよくいわれるものに、対策費用の見積もりがある。1億円の価値があるものが無防備なのは問題だが、100円の価値しかないものに1000万円の対策費用を計上するのも逆の意味で問題である。さてここで1つ疑問が生じるわけだが、その価値とは「誰から見た価値」なのかという問題である。

 話が少々飛ぶが、開発担当者には営業の接待を快く思っていないものがいる。企業の利益と個人の利益をすり替えることが好ましくないためである。しかし、ビジネスとはいえしょせんは人と人で行われるので好ましい好ましくないにかかわらず、必要悪とでも考える方が正解であろう、と筆者は思っている。そもそも営業担当者だって好きで行っているとは限らない。逆に営業担当者には技術的なノウハウの重要性を理解していないものが多い。障害発生時の解析手法などは貴重かつ重要なノウハウで、それだけでも金を取ることができるのに、料金表にないものだから、客にいわれるまま無料で差し出そうとするケースを多く見受ける。開発担当者は営業の接待を会社の金で遊んでいると思い、営業担当者はノウハウを無料で差し出さないエンジニアを非協力的であると思う。前者は人的資産であり、後者は情報資産である。ともに貴重な資産なのであるが、同じ会社の中でさえ担当者によって価値評価が大幅に変わってしまっているのである。企業や、さらには業種が変わればどれくらい価値判断に差が出るか、想像を絶する場合もあることをまず認識しなければいけない。

 内部の者にとって価値のない情報であっても、外部から見れば垂ぜんの的であるものもままある。よくあるものでは処理の終わったユーザーの個人情報などがこれに当たる。集計などに用いる個人情報の元ネタは集計が終わってしまえば無用である。さっさとシュレッダーにかけるなり、ファイルを消去するなりすればよいのだが、価値がないと思っているからこそ、処置は後回しになり、気が付いた時には漏えいした後だったりする。また、処理を行うオペレータも外部から見た価値の重要性を認識せず、自分から見て価値がないものだから、二束三文の報酬で共犯者となり漏えいさせる事件が後を絶たない。

 また別の問題として「取られるような情報はないから」などという台詞もよく聞くのであるが、この考え方は改めるべきである。聞いた方からすれば「取られて困る情報は渡さないでくれ」と解釈するしかない。従って、NDA(秘密保持契約)を結んでから情報開示をして、開発を委託するようなビジネスを、その企業は行うことができないと公言しているのと等価な意味を持つと考えなければならない、ということになる。

 要するに、戦略的観点から見て陥りがちな誤りとして、情報の価値判断について自らを軸に行ってしまうのは間違いだということである。価値判断は第三者的に行うとともに、情報の漏えいはもちろん、ネットワークに侵入された事実でさえ損害が生じることを、肝に銘じなければならない。


MACアドレスはどこにある?

 さて、前置きが長くなったが、ネットワーク全般のセキュリティに関する再認識はさておき、無線アクセスポイントを用いるケースでの、見落としがちな誤りについて考える。

 無線アクセスで用いる主要な規格はIEEE802.11であるが、これまで述べてきたように、この場合はクライアントの識別にMACアドレスを用いる。そしてRADIUS Serverを用いた認証でも、IEEE802.1xを用いず、第3回で説明したようにMAC RADIUS認証を用いることがある。さてここで問題であるが、無線アクセスを行う時のMACアドレスを持っているのはどこであろうか?最近では無線インターフェイスを内蔵したPCも多く見かけるようになったが、それでも、まだまだ無線LANカードを用いているものも多い。この場合、MACアドレスは無線LANカードが持っている。

 会社の備品であったとしても、個人の占有状態で使用しているPCを、他の者から貸してくれと言われて気軽に貸す人はそれほど多くはないだろう。しかしこれが無線LANカードだと、結構気軽に貸してくれるのである。無線アクセスポイントを介してネットワークにアクセスするための認証は、その無線LANカードが持っているということを知らないのかもしれない。今どきドライバーソフトはインターネットで簡単に手に入るので、無線LANカードは入手さえできれば動作させることはたやすい。ネットワークの運用者は、ネットワークの利用者に対して、無線LANカードを貸し出すということは、会社の通用門の鍵を貸し出しているのと同じ意味を持つということを認識させるべきである。また最近ではMACアドレスの書き換えが可能な製品もあるので、貸し出した無線LANカードの裏に書かれたMACアドレスを控えられれば、それを詐称され、侵入される危険性も増大する。従って、無線LANカードにはハードディスクの内容と同等の注意をはらう必要がある。

 ここで、MACアドレスがわかっても、WEPキーがわからないと侵入はできないだろうと思ってしまうのは軽率である。そもそもWEPの強度では、企業で使用した場合において、悪意があるものの侵入防止という点では、多少の時間稼ぎ程度にしかならないからこそRADIUS Serverを用意するのであって、本末転倒な判断をしてはいけない。


認証サーバーのメンテナンスが持つ重要性

 運用しているRADIUS Serverについて、クライアント管理テーブルの上限が50台であり、実際に登録されている台数が49台であれば、未使用なクライアントはすぐに削除されるであろう。しかし、上限が500台で、登録数が300台であれば、まだまだ余裕があるので未使用クライアントがあってもそれほど気にはしないだろう。さて、そのようなケースで、未使用となったクライアント、主に利用していた無線LANカードの所在を完全に把握している管理者はどれくらいいるだろうか。また、未使用であるべきクライアントに対して、RADIUS Serverが承認行為を行っていないことを確認している者がどれくらいいるだろうか。多くいるとは思えない。

 未登録のクライアントから承認要求があった場合、RADIUS Serverのログには拒絶した記録が残るが、だれも使用していないはずのクライアントから承認の要請があり、RADIUS Serverが許可していることをログから見つけ出すのは至難の業であり、よほど注意深く確認していなければわからない。

 PCの買い替えなどによるクライアントの切り替えについて、それまで使用していたものの停止と、次の機器の使用開始を同時に行えるケースは少ない。もし簡単にできるならば、その者は仕事をしていないとみなしてもよいくらいである。理由は単純で、それまで使用していたPC内にある情報や設定を新しい環境に移さなければならないためである。その時間は1時間から数日と状況によって幅が出るが、この間2台のクライアントを同時に使用する必要がある。

 ネットワークの管理者は、利用者からの要求により新しい登録を行う。この場合、利用者は早急な対処を求める。自分自身の業務に差し支えるためである。しかし、移行が完了しても、利用者は管理者に対してすぐには移行完了を通知しない。当面の業務に差し障らないからである。そして、かつて使用した登録内容が、残されたままで忘れ去られるのだ。万が一にも、MACアドレスが登録されたまま、該当する無線LANカードが廃棄されてしまうようなことになると、最悪のケースでは社外の者に対して社内のネットワークへの侵入経路を与えることになってしまう。


安全な環境で使用し続けるために

 ネットワークは便利なツールである。しかし、どのようなツールであれ、使い方を誤ると取り返しのつかないことが発生する可能性が生じるものであり、それはネットワークに関しても同様である。ネットワークを便利なツールであり続けさせるためには、リスクと向き合うことにより、正確に把握し、適切な対処を行わなければならない。

 最近はだいぶましになったものであるが、少し前までは「起きるかどうかもわからないことへの対処」などに関して予算化することは困難であった。こうした流れを考えるに、これでセキュリティに関する問題が下火になると、また予算の削減が考えられるようになるだろう。特に、人的なミスが原因でトラブルを起こしてしまい、せっかくの対処が効果をなさないように判断されてしまうようなことにでもなれば、今までできていた対処もままならなくなり、悪循環に陥ってしまう。こうならないためにも、平和だからと気を抜かず、平素から情報の収集に努めその時その時に適切な手を打つ必要がある。一度に行うと大変なことでも、毎日少しずつであればそれほどの手間にはならない。「人災は忘れたころにやってくる」のである。

 ネットワークへの攻撃は、腕のよいクラッカーこそ、技術や道具に頼らず、うまく人の心のすきを突いてくるものである。慢心が最大のセキュリティ・ホールであることを認識し、「彼はよく知っているから」と特定の担当者に一任せずに、必要であれば、定期的に担当者を替え、引継ぎを行うことによって状況を見直し、安定したセキュリティを実現するという方法もある。人的ミスにはくれぐれもご注意願いたい。


関連記事
  ・ 初心者管理者のための無線LANセキュリティ講座 【第1回】(2005/01/07)
  ・ 初心者管理者のための無線LANセキュリティ講座 【第2回】(2005/01/14)
  ・ 初心者管理者のための無線LANセキュリティ講座 【第3回】(2005/01/20)
  ・ 初心者管理者のための無線LANセキュリティ講座 【第4回】(2005/01/28)


( 杉本 丸男 )
2005/02/04 00:00

Enterprise Watch ホームページ
Copyright (c) 2005 Impress Corporation, an Impress Group company. All rights reserved.