NEXT GIGA（スマートスクール）へ～スムーズなクラウド利用をはばむものは？　～その４

2020.12.01

ライター：阿部　豊彦: 経歴：エンタープライズ系インフラの提案、設計、構築や、SDN提案、
工場IoTネットワークやセキュリティのコンサルなどを担当。
ファシリティ、インフラ、セキュリティなどボーダーレスです。
昨年末から文教フィールドへ参入。

自治体や教育委員会が、学校のセキュリティポリシーを作成するときに参考にされている、「教育情報セキュリティポリシーに関するガイドライン」があります。従来、政府情報システムのクラウド利用が「クラウド・バイ・デフォルト」として発表されていましたが、学校の教育情報システムもクラウド利用へと舵を切っています。

その４　セキュリティ（Wi-Fi（無線LAN）区間）

Wi-Fi通信のセキュリティ規格としてWPA（Wi-Fi Protected Access）で暗号方式と鍵管理、暗号化方式、関連する認証方式が決められています。

■WPA

WPA（Wi-Fi Protected Access）には「パーソナル」（ご家庭向け）と「エンタープライズ」（企業向け）があります。利用・運用のしやすさとセキュリティ強度のバランスが異なります。

「パーソナル」は家庭向けW-Fiルータでよく利用するセキュリティ設定で、「エンタープライズ」に比べるとセキュリティは低くなります。「WPA3エンタープライズ」が現在最強のセキュリティ設定となります。

それぞれで認証方式が異なります。

・同一SSID内の全端末で共有鍵（PSK）を事前に共有保有する、認証サーバ不要な「パーソナル」

・IEEE 802.1x認証で端末ごとに個別の鍵を配布する、認証サーバ必要な「エンタープライズ」

Wi-Fiセキュリティの雑学

学校でのPCの設定・運用を考慮し、「MACアドレス認証」や「WPA2パーソナル（PSK）」設定する場合がありますが、無線セキュリティとしては低くなります。かと言って「WPA2エンタープライズ（IEEE802.1x）」設定を使うと、外部認証サーバ（Radiusサーバ）を用意したり、PCにデジタル証明書をインストールしたり、生徒がWi-Fi利用時にIDとパスワードの入力を要求されたりしてハードルが高くなります。最終的に、「セキュリティ」と「生徒の利便性、運用管理性」のバランスの問題となります。

■MACアドレスとPSK/SAEの難点

PCの盗難や紛失などが発生したとすると、PSKパスフレーズが漏れてしまう可能性があるため、PSKパスフレーズを変更する必要があります。PSK認証では全員が同じフレーズを利用しているためです。生徒が校外に持ち出すことを考慮すると、危険な方式かもしれません。

MACアドレスは認証という用途には向いていません。簡単に調べて偽装できるためです。本来MACアドレスはPC機体管理用IDで、セキュリティ用ではありませんので。ただ、最低限のセキュリティとして採用する例はあります。

■Private PSK/Identity PSK（PPSK）

中間的なセキュリティ設定が欲しいところです。無線機器のメーカによっては、SSIDで全員同じPSKパスフレーズを使います。盗難PCがあると、全員でPSKパスフレーズを変える必要があります。ところがPPSKでは、同一のSSIDに接続するPCを細かくグループ化して、グループ単位に独自のパスフレーズを設定できます。つまりパスフレーズが漏れてしまっても、影響範囲を特定のグループのみに限定できます。学校で考えるとクラス単位で独自のパスフレーズを設定するイメージです。PSKの被害影響範囲を小さくできる設定方法です。

■WPA3

WPA3はWPA2のセキュリティ拡張として2018年に規格化された最新のWi-Fiセキュリティ規格です。新機能が搭載され、より重要な「機密データ」を使用している市場向けに強度を高めた暗号化機能を提供します。ただし、利用するには、対応するWi-Fi ChipをPCに搭載し、PC OSやアクセスポイントが対応する必要があります。

WPA3パーソナルでは、デバイス間でセキュアな鍵確立プロトコルである同等性同時認証（SAE）を活用して、第三者によるパスフレーズ推測からユーザーを保護します。