9月21日、アルバネットワークスは米国防総省を始めとするセキュリティを重視する政府関係機関などで利用が拡大しつつある新たなセキュリティ基準“Suite B”に関する説明会を開催し、無線LANを巡る最新のセキュリティ動向について説明を行なった。
暗号強度と無線LANの安全性
信号を読み出すためには直接接続する必要がある有線ネットワークに比べ、電波状況によっては屋外からでも盗聴が可能だというイメージのある無線LANはセキュリティという観点からはきわめて危険なものだというイメージが一般にある。米国防総省などさまざまな政府公共機関等に無線LANソリューションを導入した経験を持つアルバネットワークスのジョン・グリーン氏は、こうした思い込みの根深さと、それが誤解であることから話を始めた。
米アルバネットワークスのDirector, Product Development, Aruba Government Solutionsのジョン・グリーン氏(Jon Green)
同氏は、建物の外壁に外向きにEthernetポートが付いている、という画像を示し、国防総省などのセキュリティを守ることが重要な職務となっている人々が抱いているワイヤレスLANのイメージはこういうものだった、という。無線LANを使うということは、「誰でも自由にアクセスして情報を持って行ってください」と言うようなものだ、というところだろう。しかし同氏はこうした思い込みが間違いだと指摘する。
グリーン氏が示した「ワイヤレスのイメージ」。中世の砦のような建物の窓がRJ45コネクタになっている
というのも、無線LANには認証機構や暗号化、アクセス制御といった機能が組み込まれているが、有線Ethernetではこうしたセキュリティ機能は標準ではなく、別途ソリューションを組み合わせる必要があるためだ。セキュリティを重視する組織では、今でも“No Wireless Policy”を堅持しているところがあるという。要は「ワイヤレス全面禁止」という状況だ。しかし、そんな状況もだんだん変化してきているという。
コスト削減と業務効率化を両立
同社と米空軍の関係が始まったのは2005年からだという。米空軍が抱えていた課題は、端的に言えばコスト削減と業務効率化を両立させることだ。空軍では航空機の整備作業が必要だが、そのたびごとに機種ごとの膨大な紙の整備マニュアルをカートに入れて機体の脇まで運んでいた。たとえばこれを電子化し、タブレット端末で参照できるようにすれば作業の負担が軽減され、業務効率化が実現できるが、一般的なタブレット端末には有線Ethernetのポートはなく、無線で接続せざるを得ない。
米空軍でのワイヤレス導入の経緯
米軍では、無線データ通信でセキュリティを確保するために独自の暗号化方式として“Type1”を持っていたが、こうした独自方式はコスト高に付く上、競争原理に基づく一般市場向け製品に比べると進化のペースも遅くなる。そのため、コスト競争力に優れた一般向け製品を活用し、かつ軍レベルのセキュリティを確保する手段が求められることになったわけだ。
こうした背景から、米国国家安全保障局(NSA)が交付したのが“Suite B”と呼ばれる暗号化アルゴリズムのセットだ。業界標準の暗号技術の組み合わせであり、個々の技術に関しては一般市場向け製品でサポートされ、安価に対応機器が入手できることが期待できるものだが、ポイントは暗号化アルゴリズムを単独で使うのではなく、組み合わせてシステム全体のセキュリティを維持するという発想に基づく点だ。
Suite Bの概要
Suite Bを構成するコンポーネント群
この例として同氏は、iPhoneのセキュリティの例を紹介した。iPhone 3Gではハードウェアレベルのデータ暗号化がサポートされ、その強度は256ビットのAESだというが、同氏は実際の強度は18ビット相当だという。これは、端末のロックを解除するためのパスコードが4桁しかないことから来ている。これは、おなじみの「ボトルネック」の議論と全く同じ話だ。システム全体の暗号強度を揃えておかないと、部分的に強力な暗号を使ってみても無意味となってしまう。
グリーン氏は、iPhoneの実際の暗号強度は18ビット相当だと指摘した。なお、0~9999の1万通りの組み合わせを表現するなら14ビットあれば足りるような気もするが、なぜ18ビットなのかは残念ながら聞きそびれてしまった
Suite Bは、米国の標準暗号技術であるAES(Advanced Encryption Standard)のほか、ハッシング(SHA)、デジタル署名(ECDSA)、鍵交換プロトコル(ECDH)を組み合わせ、かつ情報の重要度に応じてそれぞれの最低強度を規定している。特定の箇所に弱点を作らないよう、システム全体のセキュリティレベルを揃えるためだ。アルバネットワークスではすでにSuite Bに対応するソリューションを展開しており、AndroidやiOSで利用可能なソフトウェアクライアント“VIA”(Virtual Intranet Access)を提供している。米国以外にもSuite Bに関心を持っている政府機関は多いようで、今後の普及が期待される。
Suite Bをサポートする同社のセキュリティアーキテクチャ
