有線LANはケーブルを物理的に抜き差ししないと盗聴されにくいですが、無線LANの電波は壁を越えて誰でも「受信」できてしまいます。では、無線LANはどうやって安全性を確保しているのでしょうか?
電波そのものを止めることはできません。そこで無線LANは「誰でも受信はできるが、中身は読めない・なりすませない」という発想でセキュリティを組み立てています。少し考えてから読み進めてください。
電波は誰でも受信できるからこそ「暗号化」と「認証」が要
前回、無線LANはSSIDという名前を持つ共通の電波空間だと学びました。しかし電波はアパートの壁も家の壁も関係なく飛んでいきます。だからこそ無線LANのセキュリティは、通信内容を守る暗号化と、正しい相手かを確認する認証の2本柱で成り立っています。
WPA2:長年の主力、AES-CCMP
WPA2は長く主流だった無線LANセキュリティ規格で、暗号化方式にAES-CCMPを採用しています。AESは強力な暗号アルゴリズムで、WEPや旧式のTKIPに比べて格段に安全性が高いのが特徴です。CCNAの試験でも、AESベースの暗号化=WPA2以降という対応関係はよく問われます。
WPA3:SAEによる新世代のセキュリティ
WPA3はWPA2の後継規格で、最大の違いは鍵交換の仕組みにSAE(Simultaneous Authentication of Equals)を採用している点です。SAEは「ドラゴンフライ・ハンドシェイク」とも呼ばれ、パスワードそのものを電波に乗せずに安全に認証を行えるため、オフラインでの辞書攻撃・総当たり攻撃に対する耐性が大幅に向上しています。WPA2のPSK方式にあった弱点(弱いパスワードが総当たりで割られやすい)を、SAEが補っているとイメージすると分かりやすいでしょう。
WPA3で採用され、オフライン総当たり攻撃への耐性を高めている鍵交換方式は何でしょう?
答えを見る
SAE(Simultaneous Authentication of Equals)です。パスワードを直接やり取りせずに安全な鍵交換を行う仕組みで、WPA2のPSK方式が抱えていた「弱いパスワードを総当たりされる」弱点を大きく改善しています。
PSKとEnterprise:認証方法の2つの選択肢
暗号化方式(WPA2/WPA3)とは別に、「誰が接続を許されるか」を決める認証モードにも2種類あります。
- PSK(Pre-Shared Key)モード: 全員が同じ事前共有パスワードを入力して接続する方式。家庭や小規模オフィス向けで、設定はシンプルですが、パスワードを知っている人は誰でも接続でき、退職者が出るたびにパスワード変更が必要になるという運用上の課題があります。
- Enterpriseモード: IEEE 802.1Xを使い、RADIUSサーバーなどでユーザーごとに個別の認証情報(ユーザー名とパスワード、証明書など)を検証する方式。企業ネットワークで広く使われ、ユーザー単位でのアクセス管理や失効ができます。
たとえば自宅のWi-Fiに1つのパスワードで家族全員が繋ぐのはPSKモード、社員証代わりのIDでログインする会社の無線LANはEnterpriseモードの典型例です。
社員一人ひとりに個別のログイン情報を発行し、RADIUSサーバーで認証する無線LANのモードはどれでしょう?
答えを見る
Enterpriseモード(802.1X)です。全員が同じパスワードを使うPSKモードとは異なり、ユーザーごとに認証情報を管理できるため、企業規模のネットワークでのアクセス制御に向いています。
組み合わせで理解する:WPA2-PSK、WPA3-Enterpriseなど
実務では「暗号化方式(WPA2/WPA3)」と「認証モード(PSK/Enterprise)」を組み合わせて、WPA2-PSK、WPA2-Enterprise、WPA3-PSK、WPA3-Enterpriseのように表現します。試験でもこの組み合わせ方が問われることがあるので、「WPA2/WPA3は暗号化の世代」「PSK/Enterpriseは認証の方式」という2軸で整理しておくと混乱しません。
試験でのポイント
無線LANセキュリティの分野では、WPA2のAES-CCMPとWPA3のSAEという暗号化・鍵交換方式の対応、そしてPSKとEnterpriseという認証モードの違いが定番の出題ポイントです。「WPA3はSAEだからPSKモードが無い」という誤解をしやすいですが、実際にはWPA3にもPSKモード(WPA3-Personal)は存在し、SAEによってPSKの弱点を補強している、という理解が正確です。暗号化の世代と認証モードを混同しないよう、2つの軸で整理して覚えておきましょう。
WPA2のAES-CCMPとWPA3のSAE、そしてPSKとEnterpriseという認証モードの違い、整理できたかな。暗号化の「世代」と認証の「方式」は別の軸だから、ごちゃ混ぜにしないのがコツだよ。次は、こうしたセキュリティを実際に配る側、APとWLCのアーキテクチャを見ていくよ。