ニュース
Wi-Fiは将来的に「WPA3」必須に、Wi-Fi Allianceが新たな認定制度をスタート
2018年6月28日 16:37
Wi-Fi Allianceは、Wi-Fiセキュリティに関する新たな2つの認定プログラム「Wi-Fi CERTIFIED WPA3」「Wi-Fi CERTIFIED Easy Connect」を今週より、フリーWi-Fiにおける安全性を高める認定プログラム「Wi-Fi CERTIFIED Enhanced Open」を6月上旬より開始した。
「Wi-Fi CERTIFIED WPA3」
「WPA3(Wi-Fi Protected Access 3)」は、2018年後半にも利用可能になる見込みのWi-Fiセキュリティー機能。簡素化されたセキュリティと堅牢な認証、暗号化機能の強化を実現するとされ、個人向けに提供される「WPA3-Personal」と、企業向けに提供される「WPA3-Enterprise」がある。
個人向けに提供される「WPA3-Personal」では、WPA2-PersonalのPSK(Pre-shared Key)を、“Dragonfly”とも呼ばれるハンドシェイクの方式である「SAE(Simultaneous Authentication of Equals)」に置き換え、ユーザーは、Wi-Fi接続に覚えやすいパスワードを用いつつ、現在のWPA2 Personalと同様の操作で利用できるという。
接続パスワードは認証以外では使われず、これを推測する場合、その都度ネットワークとやり取りする必要があるため、辞書攻撃を行おうとすると、繰り返し行う必要があり、膨大なPCリソースを要するという。Wi-Fi Allianceマーケティング担当バイスプレジデントのケビン・ロビンソン氏は、「パスワードが一定の複雑性を満たさないものだった場合や、パスワードが漏えいしてしまった場合にも、データを保護できる」とした。
一方、企業向けに提供される「WPA3-Enterprise」については、「アプリケーション、セキュリティプロトコルを一貫したかたちで利用できるエンタープライズグレードのセキュリティを提供する」とした。
さらに、現在の128ビットよりも強固な192ビット暗号化をオプション機能として利用できる点にも言及。「政府、医療、金融など、高い秘匿性が求められるネットワークをオプション機能である192ビット暗号化で保護できる」とし、「管理者が手違いでこれ以外の設定を選んだ場合も、ミスを未然に防げる」と述べた。
いずれでも、保護された管理フレームである「PMF(Protected Management Frames)」への対応を要件としている。ロビンソン氏によれば、「ネットワーク全体のセキュリティ耐性強化が目的で、(WPA3の仕様では)セキュリティを劣化させるようなレガシープロトコルを許可しない」とのことだ。「逆に言えばPMFに対応したデバイスであれば、WPA3が享受できる」とした。WPA3の機能の多くはソフトウェアベースで実現されているとのことだが、「既存のデバイスが(ファームウェアアップデートなどで)対応するかどうかはベンダー側の判断による」とした。
WPA3について「将来的には(認定プログラムの)必須要件となることを想定しているが、当面は、WPA2でも利用可能なトランジショナルモードで互換性を維持していく」とし、「WPA2が引き続き推奨される状況に変わりはない」と述べた。一方で、「2019年後半には、かなり多くのデバイスが(WPA3に)対応してくると考えている」との見方を示した。
「Wi-Fi CERTIFIED Easy Connect」
IoT機器などに向けシンプルでセキュアな接続を提供するもの。スマートフォン、タブレットのアプリで、IoTデバイスや説明書に記載されたQRコードをスキャンすることで、そのIoTデバイスと自動的に公開鍵暗号方式によりWi-Fi接続したり、必要な設定やセキュリティ上必要な認証処理を行ったりできるという。
QRコードには公開鍵が埋め込まれているが、該当するデバイスだけで通信できる仕組みになっている上、接続設定は電源投入後の一定時間のみ行えるようになっているという。
「特に、高い価値が発揮できるのは、ディスプレイや、キーボードなどのインターフェースがない機器」とし、「新しいデバイスをWi-Fiに接続する際には、単にQRコードをスキャンすればいいだけだという言い方もできる」とした。なお、WPA3はもちろん、WPA2にも対応する。
「Wi-Fi CERTIFIED Enhanced Open」
認定プログラムを6月上旬より提供しているWi-Fi CERTIFIED Enhanced Openについては、「誰がアクセスしているか管理・制御されていないオープンネットワークでWi-Fiを使ってもらうためのもの」と定義。
ロビンソン氏は、「ネットワーク管理者はユーザーに対して、セキュリティを念頭に(Wi-Fiを)運用して欲しいと考えている」としながらも、「(Wi-Fi接続に)常にユーザー認証プロセスが必要なのか、認証情報をやり取りしないと利用できない環境だけでいいのか? 例えば、空港のフリーWi-Fiスポットなど、わずかな時間だけインターネットを使いたいとき、全て認証を経なければ使えないのがユーザーにとって便利なのか」とした。
そして、「具体的には(パケットキャプチャなどによる)盗聴などを防ぐため、オープンネットワークで暗号化通信を提供するのが基本的な考え方。ユーザー認証における一連の情報のやり取りが望ましくない、あるいは物理的にできない環境でも、煩雑で手間のかかるステップを必要とせずにWi-Fiを利用できる環境を提供するものがEnhanced Openになる」と述べた。