LTEは機密性が高くWiFiは機密性が低いというのは間違い

LTEネットワークのアンテナ塔

LTEのネットワークは無線通信の区間は強固な暗号化が実施されているので、復号化するための鍵が漏洩しない限り、第三者に復号化されることはないために安全であるとされています。

LTEは機密性の高い回線と判断してきた

これまで私の組織では、個人情報など重要な情報を扱う場合、機密性の高い回線を使用することという内規があり、LTE回線はVPN回線などと同様に十分なセキュリティ対策が実施された機密性の高い回線として扱ってきました。VPN回線の利用については内規に「VPN回線など機密性の高い回線を使用すること」と明記してきましたが、LTE回線についてはなんらかのドキュメントを持っているわけではなく、世間一般的にLTE回線は十分なセキュリティ対策が実施された回線として広く認識されているために「VPN回線など」の「など」に該当すると判断してきたのです。

よって私の組織ではモバイル端末で個人情報など重要な情報を扱い、その情報を通信する必要があるシステムの場合に、LTE回線は適切な回線に該当すると判断し、要約すると、個人情報はLTE回線なら扱えるとしてきました。

LTE回線で見落としがちなこと

LTE回線を用いたシステムの回線イメージ例

この例では、出先でモバイル端末に入力された個人情報をLTE回線でWebサーバに送信し、Webサーバに保存された個人情報を所属設置端末へ送受信する回線はVPN回線を用いており、個人情報を扱うシステムにおける回線については内規に準拠していることになるとしてきました。 しかし、実は上記の図は正確ではありません。

LTE回線を用いた本当のシステムの回線イメージ例 

モバイル端末から基地局への無線通信回線はLTE回線により保護されています。しかし基地局からWebサーバ間は一般的なインターネット回線で接続されています。つまりLTE回線は十分なセキュリティ対策が実施された回線ではあるが、LTE基地局より上流のネットワーク部分でLTEは関係なく、LTEでも公衆Wi-Fiでも、基地局以降のネットワークは機密性の低い一般回線であることに変わりがありません。

よって、私の組織が一意的にLTEなら個人情報を扱えるとしてきたことは間違いであったと言わざるを得ないのです。私が赴任してきた際に「LTEなら個人情報扱ってOKでしょ」と言い伝えられてきたことを今まで熟考しなかったことが悔やまれます。

LTEが安全だといわれる理由

では、なぜLTEが安全だと言われているのか、その理由を調べた結果、LTEは端末認証が厳格であり、端末から基地局までの無線区間を流れるデータはAESという共通鍵暗号アルゴリズムを用いて暗号化しているからでした。不特定の端末を接続することは困難であること、AES によって暗号化されたデータを解読したり鍵データを不正に入手したりすることは非常に困難であり、総当りで解読する方法はあっても、現状では有用な期間に解読することはほぼ(私的には完全に)不可能なために安全とされています。

またAESは共通鍵方式であるために、簡単にいうと、どんな鍵でも開く(復号化される)が、復号された平文が正しいものかは平文を作成した者にしか分からないので(あるいはちゃんとした日本語文になっているかを確認しながら)一致する鍵を見つける作業が必要なため、解読は非常に困難であるとされます。

それならWiFiだって安全じゃないのか

私の組織においては、一定WiFi(無線LAN)は情報システムで利用可能としているが、個人情報は扱うことは出来ないとされています。これは不特定の端末が接続される恐れがあることと、無線通信を傍受して、そこを流れる情報(パケット)を解読される恐れがあるから、という理由です。しかし、情報(パケット)はLTEと同じくAES暗号化方式が利用可能で、本市でも個人情報を扱わない情報システムでWiFi通信を行う際にもAES暗号化方式を必須としています。

ならば、実際にWiFiを傍受されたとしても、LTEと同等に安全であると解釈するべきで、WiFiだとなんとなく不安であると考えうる原因は、悪意ある第三者が自身の端末をWiFiネットワークに接続出来てしまうもしれないという不安があるからだけになります。

勝手にWiFiルータに接続されなければLTEと同等に安全である

LTEと同じAES暗号化されたWiFiにおける危険性は通信内容が解読されることではなく、悪意ある第三者がWiFiネットワークに接続することだけです。WiFiルータ(アクセスポイント)は自身の存在を隠すことは不可能であり、世間一般に言われるステルス機能(SSIDをモバイル端末に表示させない機能)は無意味で、WiFiルータ(アクセスポイント)の存在は必ずバレます。

となると、WiFiネットワークへの接続にエンダープライズモードを使う、あるいはパーソナルモードの場合はパスワードを強固なものにする、WiFiルータ(アクセスポイント)の設定変更画面にアクセスされて、ネットワークに接続するためのパスワードを勝手に変更されないよう、設定変更画面へのログインID(ユーザー名)を推測されないものに変更し、ログインパスワードをパーソナルモード時と同じく強固なものにする必要があります。

設定変更画面へのログイン、パーソナルモードのパスワードは英大小文字・数字・記号の4種を使った20文字以上の長いパスワードにすること、設定変更画面のログインID(ユーザー名)を初期設定のadminなどのままにせず、推測されないものに変更することで、WiFiネットワークに接続することはほぼ(私的には完全に)不可能に出来るでしょうし、さらにエンダープライズモードの証明書による認証も大変有効です。IDとパスワードだけを使用するものよりも設定は複雑にはなりますが、証明書を使用することで、相手が正しい相手かどうかをWiFiルータ(アクセスポイント)とモバイル端末側の両方で確認することが可能になるので、セキュリティの強度は格段に向上します。

このようなしかるべき情報セキュリティ対策を行えば、WiFiもLTEと同様に安全だと理論上は言うことが出来ます。ただしパスワード設定は人的な要素であるために、設定文字種・数については、ある程度コントロール(制限)出来る仕組みも必要にはなります。

つまり今までLTEが安全な回線としてきたのなら AES暗号を用いたWiFiも一定の対策により同等に安全とするべきだったのです。なんとなくWiFiは不安というだけで個人情報は扱ってはいけない、しかしLTE回線は安全と言われているので個人情報は扱えると判断してきたことは間違いだったと私は認識しています。

必要なのはVPNと回線全域における情報の強固な暗号化

WiFiかLTEかという議論は意味がない

私の組織では内規により、個人情報など重要な情報を扱うシステムに用いる回線は、WiFiはNG、LTEならOKとしてきましたが、来年度に向けて内規を見直すことを検討しています。実際ところ、これだけICTの利活用が叫ばれ、様々なソリューションが溢れるなか、WiFiがシステム回線に使えないという内規が問題となることも多くなっています。

働き方改革を求められ、個人情報など重要な情報をやり取りすることもある在宅勤務やweb会議の試行も活発化してくるなかで、用いる回線はLTE回線だけしかないのは、コスト的にも発展性が見込めません。そんな背景もあり、WiFi回線のセキュリティレベルを高くして利用制限を緩くするよう求める声が組織内でも多くなり、内規を見直すことは必至でした。

しかし、今回私が考えていることからすると、今まで単純にLTEならOKでWiFiならNGだったけど、WiFiもOKにします、ではダメです。どちらも上流では一般回線を情報が流れます。

個人情報を守るために必要なのはVPNか強固な暗号化

私の組織の内規にある、VPNなど機密性の高い回線を利用すること、という原点に立ち返れば、これを歪曲してLTEはVPNと同様に機密性が高いと判断すべきではなく、今後検討すべきは、「LTEやWiFiを使うことは可能だがこれまで通りVPNなどを使用すること」です。

私の組織で今まで調達されたいくつかのシステムでは、単にLTE回線を使用しているだけで個人情報を扱うものがあるはすですが、LTE回線の仕組みを理解してもらい、システムで用いる回線全域をVPNなどに変更してもらうことになるかもしれません。

しかし、ここでLTE回線が安全とされる理由から考えたとき、「VPNなど」の「など」に”802.1x認証(EAP認証)をおこないシステム全域において情報がAESで暗号化されていること”が含まれても良いのではないかと考えられます。

LTEもWiFiも上流では一般回線を用いています。ならばVPNではなく一般のインターネット回線を用いたとしても、流れる情報がシステム全域で、LTEで使われているAESという共通鍵暗号アルゴリズムを用いて暗号化されていれば端末認証システム及び通信経路上は安全なはずです。でなければLTEが安全という世間の認識は破綻してしまいます。

スカイプなどAES暗号化を用いるサービスが利用しやすくなる

仮に私の組織の内規が上述のように変更されれば、商用利用にライセンスされたスカイプを利用したweb会議をやりやすくなります。これまでは重要な情報を扱うかもしれないweb会議には、内規に従ってVPN接続された端末しか使えませんでした。これは非常にハードルが高く、試行段階の規模であればVPN接続出来ても本格運用するためには、コスト的にWiFiネットワークを利用するしかなく、今の内規は本格運用の大きな足かせとなっています。

しかしスカイプは接続する端末間をAES暗号化された情報が流れる仕組みであり、アカウントを乗っ取られて成りすまされること、物理的に盗み見されることさえ防げば、WiFiだろうが一般回線だろうがVPNでなくともLTEと同様に第三者に情報を搾取されても解読されるおそれはなく、セキュリティが確保されていると判断して、本格運用の可能性が一気に広がります。

また、どこに情報が保存されているか分からないために使えず、もちろんVPN接続出来ないために使えなかったクラウドサービスについても、AES暗号化された状態のままで、運営者や運営者の所在国の捜査機関などにも情報が解読されることはないと担保されるなら、利用出来るようになる可能性が出てくるでしょう。

政府主導の働き方改革の呼び声は大きくなる一方であり、それによる内需拡大が目的なのは明確であっても、世の中の流れに逆らうことは出来ず、ICTの利活用は企業命題です。我々セキュリティマネジメントを担う者にとっては頭の痛い事ばかりが降りかかってきますが、まだまだ多くの事を学んで、リスクコントロールの感覚を養っていく必要があると思います。

次に来るのはAESと同等かという議論です

最後になりますが、AES暗号化した情報なら、と言い出せば、「じゃあこの暗号化方式は使ってもいいの?」という相談が必ずやってくるはずです。システムを調達しようとする1ユーザーが、暗号化方式について深く考えることはありません。

そうなった時に行き着く先はhttps~のURLで始まる皆さんご存知のSSL/TLS通信でしょう。web会議システムなどで、端末間全域をAES暗号化してあれば重要な情報を扱うことが出来るとするのなら、もっと簡単にSSL/TLS通信で接続されたシステムでも大丈夫じゃないのか?という疑問です。

実はSSL/TLS通信はAESで暗号化されている

正確にいうとSSL通信ではなくTLS通信は流れる情報をAESで暗号化出来ます。そして現在SSL通信とは、ほとんどの場合TLS通信を指します。つまり一般的に言われるSSL通信はLTEと同様に安全な通信であったのです。私の組織では、組織が用意したwebサイトへユーザーが個人情報を送信する際はSSL通信でやむを得ないが、組織の所属が当該webサイトから、ユーザーが送信した個人情報をダウンロードする際には、内規によりVPN回線などを用いることとしてきました。

LTEでもWiFiでも一般回線でも、SSL/TLS通信を用いて情報をAES暗号化すれば個人情報など重要な情報を扱っても良いとするのか。これまでの我が組織の情報セキュリティ対策は、大きな転換点を迎えようとしています。

あとがき

今回のお話は、もちろんレベルに応じたリスクコントロールありきのお話です。100万件の個人情報をデータセンターに置き、日々その情報を大量に扱うクライアントを接続する回線が一般回線でSSL/TLS通信していればOKなんてことにはなりません。何が何でも個人情報など重要な情報をやり取りするおそれがあるならVPNなどを使えとしてきたことへの私個人の見解であり、今後の要検討事項であることをご理解願います。