LTEは機密性が高くWi-Fiは機密性が低いというのは間違い

LTEネットワークのアンテナ塔

スマートフォンやガラケーで使われるLTEのネットワークは無線通信の区間は強固な暗号化が実施されているので、復号するための鍵が漏洩しない限り、第三者に復号されることはないために安全であるとされています。

LTEは機密性の高い回線と判断してきた

これまで私の組織では、個人情報など重要な情報を扱う場合、機密性の高い回線を使用することという内規があり、パブリッククラウドを使う場合などでLTE回線はVPN回線などと同様にセキュリティ対策が実施された機密性の高い回線として扱ってきました。

VPN回線の利用については内規に「VPN回線など機密性の高い回線を使用すること」と明記してきましたが、LTE回線についてはなんらかのホワイトペーパーを持っているわけではなく、世間一般的にLTE回線は十分なセキュリティ対策が実施された回線として広く認識されているために「VPN回線など」の「など」に該当すると判断してきたのです。

よって私の組織ではモバイル端末で個人情報など重要な情報を扱い、その情報を通信する必要があるシステムの場合に、LTE回線は適切な回線に該当すると判断し、要約すると、個人情報はLTE回線なら扱えるとしてきました。

LTE回線で見落としがちなこと

LTE回線を用いたシステムの回線イメージ例

この例では、出先でモバイル端末に入力された個人情報をLTE回線でWebサーバに送信し、Webサーバに保存された個人情報を所属設置端末へ送受信する回線はVPN回線を用いており、個人情報を扱うシステムにおける回線については内規に準拠していることになるとしてきました。 しかし、実は上記の図は正確ではありません。

LTE回線を用いた本当のシステムの回線イメージ例 

モバイル端末から基地局への無線通信回線はLTE回線により保護されています。しかし基地局からWebサーバ間は一般的なインターネット回線で接続されています。つまりLTE回線は十分なセキュリティ対策が実施された回線ではあるが、LTE基地局より上流のネットワーク部分でLTEは関係なく、LTEでも公衆Wi-Fiでも、基地局以降のネットワークは機密性の低い一般回線であることに変わりがありません。

よって、私の組織が一意的にLTEなら個人情報を扱えるとしてきたことは間違いであったと言わざるを得ないのです。私が赴任してきた際に「LTEなら個人情報扱ってOKでしょ」と言い伝えられてきたことを今まで熟考しなかったことが悔やまれます。

LTEが安全だといわれる理由

では、なぜLTEが安全だと言われているのか、その理由を調べた結果、LTEは端末認証が厳格であり、端末から基地局までの無線区間を流れるデータはAESという共通鍵暗号アルゴリズムを用いて暗号化しているからでした。

不特定の端末を接続することは困難であること、AES によって暗号化されたデータを解読したり鍵データを不正に入手したりすることは非常に困難であり、総当りで解読する方法はあっても、現状では有用な期間に解読することはほぼ(私的には完全に)不可能なために安全とされています。

またAESは共通鍵方式であるために、簡単にいうと、どんな鍵でも開く(復号される)が、復号された平文が正しいものかは平文を作成した者にしか分からないので(あるいはちゃんとした日本語文になっているかを確認しながら)一致する鍵を見つける作業が必要なため、暗号化した鍵がなければ解読は非常に困難であるとされます。

つまりLTE回線部分では、接続される端末を認証するシステムがセキュアであり、情報はAES暗号により守られているということです。

LTEでも機密性の高い回線は必要

LTE回線部分は安全であり、端末認証システムも強固であるとすれば、基地局以降のインターネット回線を通る情報を守るために、VPNなど機密性の高い回線を利用することで、冒頭のようにLTE回線は安全だという判断も間違いではなくなるでしょう。

まずは私の組織でのLTE回線に対する認識をこのように改めていきたいと思います。

それならWi-Fiだって安全じゃないのか

Wi-Fi認証された無線LAN(以下Wi-Fiという)もアクセスポイント以降はLTEと同じくインターネット回線を使います。ならば同じようにVPNなど機密性の高い回線を利用することで、LTEと同様に安全ではないのか?。

私の組織においては、Wi-Fiは情報システムで利用可能としているが、LTEと違って個人情報は扱うことは出来ないとされています。これは不特定の端末がシステムに接続(認証)される恐れがあることと、無線通信を傍受して、そこを流れる情報(パケット)を解読される恐れがあるから、という理由でした。

これにより、タブレットなど端末本体がLTEのSIMを使えないWi-Fiモデルの場合、LTE回線に接続されたポケットWi-Fiなどとのアクセスポイント間がWi-Fi接続となってしまうので、個人情報などは扱えません。

あるいは閉域で外部との接点がなく、重要な情報が保存されている内部ネットワークにおいても、ペーパーレス会議を行う為にノートPCを内部ネットワークに無線LAN接続して、内部ネットワークのファイルサーバーを参照するということが出来ません。

よって今後ICTを利活用した働き方改革を進めるためには、Wi-FiもLTE同様に安全な回線とする必要があるのですが、本当にLTEは安全でWi-Fiは危険なのかという疑問を私は持ちました。

Wi-Fi電波の盗聴による情報内容解読はLTEと同じく難しい

私の組織でWi-Fiが危険だとされてきた理由の一つは、通信している電波を盗聴された場合、流れる情報を第三者に解読され情報漏えい事故が発生するかもしれないという理由でした。

しかし、たとえ電波を盗聴されたとしてもAES暗号を利用していれば、LTEと同様に盗聴に対しては安全であると言えるでしょう。であるなら残るは、許可していない第三者の端末がアクセスポイントに認証されてしまい、ネットワークに不正に侵入されてしまうリスクだけになります。

Wi-Fiパーソナルモード(PSK認証)はLTEより危険

ほとんどの一般家庭ではWi-FiはデバイスのWi-Fi設定画面でSSIDを見つけ、そこに、Wi-Fiルーターの底面に書かれた認証キーを打ち込んで使っていると思います。

これをパーソナルモード(PSK認証)での利用といい、パーソナルモード(PSK認証)は端末の認証に必要な共通鍵方式の認証キーの管理において、突き詰めて検討するとLTEと同様に安全であるとは言い切れません。

管理画面へのログインパスワード、パーソナルモードの認証キー(パスワード)の管理は、自宅で自分一人が利用するネットワークとは違って複数の端末が接続される業務ネットワークにおいては、ネットワーク管理者による定期的かつ適切なパスワード及び認証キーの変更と、利用者へ安全な手段による変更周知が必要です。

たとえMACアドレス認証を併用していたとしても、侵入を試みる相手に対しては気休めのセキュリティ対策でしかなく、全ての利用端末は同じ認証キーでネットワークに接続されている点がLTE回線の端末認証と大きく異なる点であり、利用を許可していた端末を紛失するようなことがあれば、急遽無線ルーター側の認証キー(パスワード)を変更し、全ての利用端末側の認証情報も変更しなければなりません。

これらを検討すると、LTEとWPA2-AES を用いたWi-Fiパーソナルモード(PSK認証)は、電波の盗聴に対しては同等なレベルであるが、ネットワークへの不正侵入についてはWi-Fiパーソナルモード(PSK認証)は安全とは言い切れず、企業や組織が重要情報を扱う業務において利用することは推奨されません。

Wi-FiのエンタープライズモードならLTEレベルの端末認証が可能

Wi-Fiにはパーソナルモード(PSK認証)以外に、エンタープライズモード(EAPモード)という端末認証の仕組みも用意されています。

ネットワークに接続しようとする端末が正当な権利を持っているかを認証サーバで判別します。暗号化には同じくAESを用いて盗聴に対する安全性を確保し、接続端末の認証にIEEE 802.1X認証を利用すること、さらにEAP-TLSというセキュリティレベルが最も高い仕組みを利用することで、LTE回線同等の安全性があるとも言えます。

エンタープライズモード(EAPモード)の難点

安全性はLTEと同等にすることが出来そうですが、IEEE 802.1XはRADIUSサーバのほか、認証局(CA)も必要になり、イニシャル、ランニングともにコストは膨らむことを覚悟しなければなりません。

Wi-Fiエンタープライズモード(EAPモード)とLTE

LTEが安全な回線であるなら、エンタープライズモード(EAPモード)でEAP-TLSを利用し、暗号化にはAESを使ったWi-Fiも同等に安全と言っても間違いではないと思います。

これらの検討から、今までは漠然とWi-Fiは不安というだけで個人情報は扱ってはいけない、しかしLTE回線は安全と言われているので個人情報は扱えると判断してきたことは間違いだったと私は思います。

Wi-FiかLTEかという議論は意味がないのか

閉域の内部ネットワークへのWi-Fi導入

私の組織では内規により、個人情報など重要な情報を扱うシステムに用いる回線は、Wi-FiはNG、LTEならOKとしてきましたが、内規を見直すことを検討しています。

実際のところ、これだけICTの利活用が叫ばれ、様々なソリューションが溢れるなか、重要情報を取扱う内部システムにWi-Fi回線が使えないという規定が問題となることも多くなっています。

外部と接続しない閉域の内部ネットワークにおけるサーバクライアントシステムにおいては扱う情報の重要度を考慮した上で、保守運用体制を用意したエンタープライズモードのWi-Fiを利用することになっていくでしょう。

外部ネットワークでのWi-Fi利用

働き方改革を求められ、個人情報など重要な情報をやり取りすることもある在宅勤務や外部とのweb会議の試行も活発化してくるなかで、用いる回線はLTE回線だけしかないのは、コスト的にも発展性が見込めません。そんな背景もあり、Wi-Fi利用の制限を緩くするよう求める声が組織内でも多くなっています。

しかし、外部ネットワークを利用するなら、今回私が考えていることからすると、今まで単純にLTEならOKでWi-FiならNGだったけど、エンタープライズモードのWi-FiもOKにします、ではダメです。どちらも上流のインターネット回線を情報が流れます。

VPN じゃなきゃダメなのか

私の組織の内規にある、VPNなど機密性の高い回線を利用すること、という原点に立ち返れば、LTEかWi-Fiかという議論よりも、LTE、Wi-Fiともに上流のインターネット回線部分の機密性を確保することが最重要課題です。

LTEだからOK、Wi-FiだからNGではなく、どちらであれ、VPNなどの機密性の高い回線でなければ個人情報など重要情報が扱えない、が、しかし、最重要情報とプレゼント応募者情報、どちらもVPN回線を使えという今までの規定に歪が出てきています。

つまりSSL/TLS通信を用いたインターネット回線でも機密性が高い回線と言えるのではないか、という考えです。

話がLTE、Wi-Fiから逸れていますが、LTE、Wi-Fiの利用を検討すれば必ず回線の話に行き着き、SSL/TLS通信は安全ではないのか、重要情報を扱うこともあるweb会議にWi-Fi経由でスカイプを使っていいのか、というのが一連の流れになります。そしてさらにパブリッククラウドの利用是非にたどり着くのです。

SSL/TLS通信を利用したネットワークは機密性が高いのか

LTE回線が安全とされる理由の一つにAES暗号の利用が挙げられていたことからすれば、暗号鍵の管理が十分なAES暗号化方式を用いるSSL/TLS通信”が含まれても良いのではないかと考えられます。

実際私たちも10年以上前からSSL/TLS通信によるネットバンキングを利用してきましたし、e-TAXなど重要情報を送信する際にもSSL/TLS通信を利用していますが、SSL/TLS通信だけが原因で、第三者に情報を盗まれたという事は記憶にありません。

SSL/TLS通信を利用したネットワークはインターネットVPNと比べ安全性にどれほどの差があるのか、SSL/TLS通信は機密性は高いが可用性に不安が残るだけではないのか、ならば「VPNなど機密性の高い回線」の「など」にSSL/TLS通信という選択肢を用意しても良いのではないか、ということも、LTEかWi-Fiか、という議論とあわせて行っていく必要があると思います。

全てはリスクコントールに尽きる

政府主導の働き方改革の呼び声は大きくなる一方であり、それによる内需拡大が目的なのは明確であっても、世の中の流れに逆らうことは出来ず、ICTの利活用は企業命題です。

ICTの利活用には必ずモバイル、Wi-Fi、SSL/TLS通信がつきまとい、それぞれの利用方法を検討させられる我々セキュリティマネジメントを担う者にとっては頭の痛い事ばかりが降りかかってきますが、まだまだ多くの事を学んで、リスクコントロールの感覚を養っていく必要があると思います。

あとがき

この記事は、やまぴ様に貴重なご意見を頂戴し、当初からは大きく内容を見直して書き直しています。それでもここに書いている内容はまだまだ不十分な部分もあり、そして全てを語るには途方もない知識が必要で、とても素人には扱えない内容だったと思い知りました。

十分ではありませんが、LTEとWi-Fiの安全性について、ある程度は整理しなおしたつもりです。今後も適宜見直していきますので、お気づきの点がございましたら、是非ともご教授下さいますようお願いいたします。

arisa

1万台以上の事務用端末がある組織の情報管理部門で情報セキュリティマネジメントを担当しています。新人の情報セキュリティ担当者に向けた組織の情報セキュリティ対策のヒントや、個人でパソコンやスマホを使う場合の情報セキュリティ対策を、私の実体験を交えながら解説しています。

arisaをフォローする
TLS/SSL:https暗号化情報セキュリティマネジメント
arisaをフォローする
情報セキュリティ対策の真実

コメント

  1. やまぴ より:

    AESなら安全というのはおかしく、AES+安全な鍵交換の仕組みがあってこそ安全なので、鍵交換アルゴリズムの安全性評価が必要かと。
    AESは共通でも鍵交換アルゴリズムが違えば、安全性は変わりますよ。

    • arisa arisa より:

      お時間を割いて貴重なご意見をいただきありがとうございます。ご指摘下さったとおり、書ききれていない部分がありますので、もう一度勉強して加筆訂正してまいります。まずは取り急ぎお礼まで。