第87回:ワンタッチで設定できるバッファローの「AOSS」で変わる
無線LANのセキュリティ対策
昨年、バッファローから発表された無線LANのセキュリティシステム「AOSS(AirStation One-Touch Secure System)」のベータ版ファームウェアが登場した。この技術によって、無線LANのセキュリティは、どのように変化するのだろうか? 早速、AOSSを利用したセキュリティ機能を検証してみた。
●約7割のアクセスポイントがセキュリティ対策なし
無線LANは、昔から、ひとつの大きな問題を抱えてきた。盗聴や不正アクセスといったセキュリティ上の問題だ。
もちろん、無線LANのセキュリティ機能自体は、数年前に比べれば格段に進歩している。64bitのみだった暗号化は128bit、152bit(一部機種のみ)へと拡張され、さらにTKIP、AESといった新たな暗号化方式、802.1xによる認証機能を備えたWPA対応の機種も登場した。MACアドレスフィルタリングやESS-IDを隠す機能なども、最近ではほとんどの無線LAN機器に搭載されるようになっており、これらを組み合わせることで、かなり高いセキュリティを実現することが可能となっている。
しかし、いくら無線LANのセキュリティ機能自体が高度になったとしても、当然のことながら、それを使わなければ何の意味もない。そして、そんな無対策のアクセスポイントが世の中にはいかに多いことか!
●「簡単さ」と「安全性」を両立させたAOSS
AOSS対応の無線LANルータ「WHR2-G54」 |
このように、世の中にセキュリティ未対策のアクセスポイントが多いのは、セキュリティの設定が煩雑で、わかりにくいことが主な原因と考えられるが、もしかすると、こんな状況も改善されるかもしれない。今回、バッファローから新たに登場した「AOSS(AirStation One-Touch Secure System)」をテストしてみて、率直にそう感じた(編集部注:バッファローでは略称を「A.O.S.S」から「AOSS」へと変更しました)。
AOSSとは、簡単に説明すると、ボタン1つでセキュリティを含めた無線LANの設定が可能な自動設定システムといったところだ。これまでの無線LANの場合、セキュリティを含めた接続設定をしようとすると、いったんセキュリティ設定なしで無線クライアントから接続するか、有線クライアントで接続して、アクセスポイントにWEPなどを設定し、その設定を無線クライアントに適用するといった作業が必要だったが、AOSSではこういった煩雑な作業が必要ないのだ。
具体的な手順としては、非常に単純で、
- 無線クライアントでユーティリティを使ってAOSS設定を開始
- 本体のボタンを押してアクセスポイントでもAOSS設定を開始
AOSSに対応したクライアントマネージャ ver.2(ベータ版)。AOSSでの設定に必須のユーティリティとなる。画面の「AOSS」ボタンをクリックすると、クライアント側の設定が開始される |
アクセスポイント側は本体下部の設定ボタンを数秒押すことで、AOSSの設定モードに切り替えられる。同様のAOSSの設定は設定画面からも可能 |
設定されるセキュリティ機能は暗号化のみで、MACアドレスフィルタリングは自動的に行なわれないうえ、ANY拒否の設定も行なわれないが(ESS-IDは見える)、特筆すべきなのは、その時点で利用できる最強の暗号化が自動的に選択される点だ。
今回のテストでは、アクセスポイント(WHR2-G54)、クライアント(WLI-CB-G54)ともにWPAに対応した製品を利用したため、AESが自動的に設定されたが、たとえばクライアント側がWPAをサポートしない場合はWEPというように、ネットワーク上の機器が共通して利用できる最強の暗号レベルを自動的に検索して設定できるようになっている。また、ESS-IDも自動生成されるようになっており、たとえば筆者宅で設定したときは、「195191DB6EEC4EC93B840BCD28CAC1D8」という非常に複雑なESS-IDが自動設定された。
暗号化方式は、アクセスポイント、クライアントの両方がサポートするものの中で最強の方式が自動的に選択される。今回はAESが自動的に選択された |
ESS-IDも自動的に生成される。非常に長い文字列となるが、ANY拒否は設定されないため、外部からの参照は可能。ESS-IDは、クライアントを追加するときには変更されないが、AOSSの設定をやり直すと変更される |
実際に使ってみると、これまで相反すると考えられていた「簡単さ」と「安全性」が実にうまく両立されていることがよくわかる。設定が完了するまでの時間も約30秒と短いうえ、クライアントを追加したい場合も上記と同様の手順で設定すればいいなど、よく考えられているしくみだと感心してしまった。
●第三者もAOSSを利用したらどうなるのか?
しかしながら、自動設定となると、そのプロセス自体が本当に安全かと疑いたくなる人も少なくないだろう。たとえば、AOSSでの自動設定中に第三者が同じプロセスを実行した場合、設定に割り込んで、不正にアクセスポイントに接続してしまうのではないかといった懸念もある。
そこで、2台の無線クライアントを用意し、片方を正規のクライアント、もう片方を第三者のクライアントと想定し、両方で同時にAOSSの設定をするというテストも実施してみた。
結果はと言うと、2台のクライアントのうち、正常にAOSSの設定が行なわれたのは、片方のクライアントだけであった。AOSSでは、同時に1台のクライアントとしか設定ができないようになっており、同時にアクセスポイントとクライアントが設定情報をやり取りする段階で、独自の暗号化方式を利用して通信を暗号化する仕様になっている。このため、片方のクライアントは正常にAOSSによる設定ができるが、もう片方はエラーとなり、設定に失敗してしまったわけだ。
ただし、ここで注意したいのは、2台のクライアントのうち、どちらが設定に成功するかは環境次第という点だ。AOSSの設定では、設定を開始すると、アクセスポイント、クライアントともにESS-IDが「ESSID-AOSS」に変更され、これで一時的に接続されてから、独自の暗号化された通信によって正式に設定するESS-IDや暗号化キーなどがやり取りされる。
つまり、アクセスポイントのESS-IDが「ESSID-AOSS」に変化したときに、近隣などで同時に設定を行なったクライアントが存在する場合は、そちらが正規のクライアントとして設定されてしまうことも考えられるのだ。
AOSS設定中のクライアント画面。この接続中は、アクセスポイントとクライアントが1対1の独自暗号通信で接続されている |
しかしながら、このような問題は、現実にはありえそうもない。そもそも、近隣などで、まったく同じタイミングでAOSSの設定が行なわれる可能性は極めて低いだろう。また、AOSSでは、設定時にアクセスポイントの電波レベルを設定可能なギリギリのレベルにまで落とすという対策もなされている。今回、筆者が行なったテストでは、2台のクライアントともに同じ部屋に設置したため、どちらのクライアントも設定に成功する可能性があったわけだが、実際には同じ受信レベルのクライアントが2台存在することは考えにくく、近隣や外部からの不正な設定が成功する可能性は極めて低い。
もちろん、可能性が低いだけで、「ゼロ」ではないのも確かだが、そもそもこのようなケースでは、第三者のクライアントが設定に成功してしまうため、自分のクライアントの設定は失敗してしまう。ということは、もう一度、AOSSでの設定をやり直すことになるので、第三者のクライアントがアクセスポイントに接続されたままの状態になることは、まずあり得ないと考えていいだろう。
致命的な不具合が見つかったり、AOSSの設定プロセスが詳細に解読されるようなことがない限り、まず安心して使える機能と考えて差し支えなさそうだ。
●現時点では利用環境が限られる
このように、セキュリティを含めた無線LANの設定が手軽に、そして安心して利用できる仕組みとなっており、特に初心者を中心におすすめできるものだと言ってよさそうだ。
ただし、現時点ではベータ版であることもあり、対応機種が限られる点には注意したい。現状の対応機種は、アクセスポイントの「WHR2-G54」、無線LANカードの「WLI-CB-G54」、イーサネットコンバータの「WLI-TX1-G54」のみだ(Centrino機も利用可能だがサポート対象外)。順次対応機種は増える予定だが、早く同社の全機種(できれば旧機種も含めて)で利用できるようになってほしいものだ。
また、現状のベータ版では、AOSSで設定された暗号キーを確認する手段が存在しないため、いったんAOSSで設定してしまうと、AOSS未対応のクライアントをアクセスポイントに接続することができない仕様になっているが、メーカーによると、これは正式版(WHR2-G54/WLI-CB-G54対応が2月中旬から下旬予定)で修正される予定とのことだ。
筆者の場合、無線LAN製品購入のアドバイスを求められることが多いのだが、今回、AOSSを利用して、これからはAOSS対応製品を積極的に勧めることにしようと思うようになった。そうすれば、電話やメールなどで長々とセキュリティの説明をしなくて済むようになるし、設定の代行にわざわざ出かける面倒から解放されるからだ。個人的には、それだけでもAOSSのような仕組みが登場したことを歓迎したいところだ。
関連情報
2004/1/27 11:06
-ページの先頭へ-