ワイヤレスコンピューティングとワイヤレスネットワーク(社内のWiFi環境の利用)は、多くの組織に普及が拡大しています。これにより、オフィス内での業務や連携作業に柔軟性が生まれます。
また、BYOD (個人所有のデバイスの持ち込み) の拡大により、社員は、ノートパソコン、PDA、スマートフォンなど、各自が任意にデバイスを選択して組織のネットワークに接続することができます。
また組織にとっても、ワイヤレスネットワークは導入や拡張が容易でコスト効果も高く、一般的には、有線接続と比較して管理も複雑ではありません。
しかし、ワイヤレスネットワークは便利な反面、情報漏えいや不正利用の観点から、様々なリスクがあります。
WiFi環境に潜む2つのリスク
ワイヤレスネットワークには、主に以下の2つのリスクがあります。
データの安全性リスク
ワイヤレスネットワークでは、情報が目的のワイヤレスノード(端末)に送信されるだけではなく、そのブロードキャスト圏内の全ユーザーがその情報を利用できる場合があります。
このような場合は、ブロードキャストされる情報のみに対して脆弱性が発生するだけではなく、ワイヤレスデバイスに保存されているデータもリスクに晒される可能性があります。
そのため、機密情報、個人情報、企業情報の窃盗や情報漏えい、データ保護規制の違反に発展する場合もあります。
ネットワークの不正利用リスク
未だに、安全性が欠如しているワイヤレスネットワークが多数存在します。そのようなネットワークでは、ブロードキャスト範囲にいる誰もが接続でき、保護されていない情報やアプリケーションのすべてにアクセスできます。
最もシンプルな例は、ワイヤレスネットワークに「便乗」してインターネットに接続するケースです。深刻な例としては、悪意のあるユーザーが、有線ネットワークに比べて簡単にアクセスできるワイヤレスネットワークを悪用するケースがあります。また、組織のデータがハッキングされない場合でも、「組織のワイヤレス接続が違法な活動に利用されると、組織が責任を問われることになる」という点を認識することも重要です。
厳格なセキュリティポリシーの設定が重要
組織は、ワイヤレスネットワークの使用に関する「厳格なセキュリティポリシーを設定」し、それを確実に運用する必要があります。
これは、組織内のモバイルコンピューティングの使用に関するポリシーと同様に、情報管理ポリシーとマッチした内容にする必要があります。
ワイヤレスネットワーク使用の管理においては、以下の点が重要になります。
- ワイヤレスネットワークのセキュリティに、最低でも「WPA」を設定する
- 「強力なパスワード」を設定し、「定期的に変更」する
- 「RADIUS」を導入して効果的に管理する
- 機密情報の共有には、「暗号化された VPN接続」を使用する
- ワイヤレスネットワークを低電力で運用し、「特定エリア内のみに届く」ようにする
- ワイヤレスネットワークにおいてアクセス可能な情報の種類、およびそのアクセス方法と保護方法に関して「ポリシーを設定」する
- 悪質な攻撃に利用されるネットワークフットプリントを大幅に縮小できる、レイヤー3のIPアーキテクチャをベースとしたワイヤレス装置の導入を検討する
まとめ
本記事では、社内WiFi環境に潜むリスクと効果的な対策方法について記載しました。
貴社内でも再度以下をチェックしてみてはいかがでしょうか?
- ワイヤレスネットワークのセキュリティポリシーを作成する
- ワイヤレスポリシーを、モバイルデバイスの使用を管理するポリシーとマッチさせる
- 最低でもWPAセキュリティを設定する
- 機密情報や個人情報へのアクセスにVPNを使用する
- RADIUSを導入し、正規ユーザーのみにアクセスを許可する
- ブロードキャスト範囲を、特定の管理可能なエリアのみに限定する