[connect24h:5667] Re: 無線 LAN アセスメント

[ohmizu yuichi <yu1o@xxxxxxx>]

おおみずです。
こんにちは。

SHIBATA Akiraさんが03.3.4 0:09 PMに書きました：
>柴田(あ)です。
>
>おおみずさんのご指摘の通り、セキュリティを点数化するのは
>難しいと思いますし、妥当性の高さについては設計も含めた
>シチュエーションとのカラミがあって常に疑問があります。
>
>しかしながら、 IT 講習会を受けただけのおっちゃんに
>「買ってきてつけただけの無線 LAN 」がどれだけ危険で
>あるかについて知らしめる手法がないのも事実です。
>雑誌一冊渡して「勉強しろ！」じゃぁ効力がありません。
>今と変わらないと思います。
>少なくとも本人にその気を起こさせるために、
>簡単で、専門家からみれば多少怪しくてトンデモな部分が
>あってもわかりやすい指針を提示しないといけないかと。
>
>精神科医の香山リカさんの文章はわたくしからみると
>かなーり賛成できないような内容を書いてますが、それでも
>わかりやすく書いているからそれなりに受けてるんじゃないか
>と考えてます。
>

そうですねー。
では、私が同じようなアセスメントをするとしたら、こうですね。

まず脅威をわかりやすく示すために、
１．Windows XPを使って、誰でも接続できてしまうことを示す
２．ツールを使って、メールの中身（パスワードなども）が見えることを
　　示す
これで、ふつうの人だったらビックリするのでは？

その上で100点満点で点数をつけるとしたらですが、まず、
・WEPを設定し、漏洩しないように管理する
・WEPは128bit
・ESS-IDはデフォルト設定を使わず、かつ設置者を類推しにくい文字列にする
・MACアドレスを登録する
・APの管理者パスワードを設定する
これらをセットでできていれば95点くらい。
一つでも欠ければ0点にします。つまり、必須項目ってことです。

個人ユースの製品レベルで追加投資せずできることとしたら、これくらい
のことが最大でしょう。これ以上の要件を求めても、たぶん一般家庭じゃ
実現できないんで、個人対象のアセスメントでは実効性がないかと。

さらに
・WEPキーは定期的に変更する
・ESS-IDステルスの機能があれば設定する
・ESS-IDのANY・空白接続停止の機能があれば設定する
ここまでできれば100点。

・無線LANのしくみとリスクを的確に理解した管理者がいる
および
・WEP plus（weak IVをはかない仕様）の製品を使用する
・WPA(TKIP)を採用する
・802.1xを採用する
のいずれかをできれば100点以上。

ま、これは私のまったく独断でかつ個人的な見解なんですが。
あと、あくまで個人ユーザーとかSOHOに適用する前提の基準でして、中堅
以上の企業、地方自治体、あるいは個人情報を扱う事業者などでは、もっと
厳しく高度な内容の基準を適用すべきかと思っています。

自分や、あるいは仮に家族や親しい友人が無線LANを使うとしたら、この
くらいやらなきゃと考えている基準です。


_]_]    Yuichi OHMIZU    @Yokohama, Kanagawa    _]_]
_]_]      mailto:yuichi.ohmizu@xxxxxxxxxxx      _]_]
----------------------------------------------------------------------
……◆  無線LANテクノロジー活用研究会“ドット・イレブン”
……◇  802.11ベースのワイヤレス技術の活用を議論するメーリングリスト
>>>>>>  http://www.freeml.com/info/dot-eleven@xxxxxxxxxx

--[PR]------------------------------------------------------------------
【 FreeML ユーザー登録してますか？】
　　・メールアドレスとパスワードのカンタン登録！
　　・ニックネームもつけられるし、WEBメールも使える！
　　・MLだってカンタンに作れちゃう！
▼ いますぐ登録！ => http://click.freeml.com/ad.php?id=121394
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online  www.gmo.jp