無線アクセス完全禁止は可能か?:Case Study
無線ネットワークのセキュリティ確保は難しい。それほど必要ないのであれば、利用禁止にするのも一考だ――だがそのポリシーを徹底するには、24時間の監視が必要だ。
健康保険組合のブルークロスオブアイダホが、厳格な“無線禁止”ポリシーを実施しているのは、必ずしもセキュリティ上の理由からではない。また、無線ネットワークの運用に追加コストがかかるからでもない。
実のところ、ブルークロスの無線禁止ポリシーの背景にある理屈は単純だ。「無線は必要ない」というものだ。
「無線サポートへの実際のビジネスニーズは見られない」とブルークロスの技術/ネットワークサービス担当マネジャー、ジャン・マーシャル氏は語る。
同健康保険組合では、以前からずっとそんな状況だ。無線を使っていない分だけ、心配事も少ない。
ブルークロスは、無線ネットワークを導入せず、社内での無線利用を禁止することをあえて決断したが、ほかの企業もそうすることにメリットを見いだすかもしれない。例えば、エンドユーザーがずっと机に向かっているのではなく、社内を飛び回っているような企業は、無線LANをシームレスに利用できる環境を求めるかもしれない。だがブルークロスにとって、無線LANの活用は、コストと潜在的なセキュリティリスクを考えると、取り組む価値のある挑戦ではないと、マーシャル氏は語る。
だが最近の監査で、この無線禁止ポリシーを、入居している3棟のビルで徹底するには、何らかの技術を使って無線周波数を24時間体制で監視する必要があることが分かった。ポリシーは、掲げるだけでは意味がないというのが監査人の基本的な結論だった。
「監査人に『無線禁止のポリシーをどうやって徹底しているのか』と言われた」(マーシャル氏)
監査人の勧めを受け、ブルークロスは、無線を検知、防止するシステムを導入した。選定した製品は、ネットワークケミストリの「RFprotect Distributed」だ。この製品を使えば、ネットワークから無線アクセスポイントなどのデバイスを排除できる。
だが、RFprotectの導入に伴って、予想外の問題も生じた。まず、近隣のビルの無線ネットワークを遮断しないようにしなければならなかった、とマーシャル氏は語る。遮断してしまったら、近くのスターバックスが「ありがたがらないのは確かだ」と同氏。
マーシャル氏は、RFprotectは、妨害電波を発信したり、通信を遮断したりするものではなく、ネットワーク上にどのような無線デバイスが接続されているかを認識し、それらの具体的な位置を追跡できるようにするものだと強調する。
だが、無線ネットワークの位置を追跡する機能は、ブルークロスでは、ゲームとして使われてしまっている面もある。多くのユーザーが無線機能付きのPDAを持っていることから、そうしたユーザーがビル内のどこにいるかを追跡して面白がる社員が出てきた。ジョージ・オーウェルの『1984』のビッグブラザーのような、監視者の立場を楽しんでいるとも言える。マーシャル氏は、これは単なるおふざけにすぎないと説明している。
また、ノートPCやPDAを持った人がブルークロスのビルに入った場合、スターバックスのホットスポットにアクセスしようとしても、ビル内からはそれらのホットスポットは見えないようになっている。
「われわれのネットワークは、部外者がいかなる理由でも入れない安全なものでなければならない」とマーシャル氏。さらに同氏は、ブルークロスは業務の一部として医療費請求を行っているため、HIPAA法(Health Insurance Portability and Accountability Act)の規制を遵守しなければならないと付け加えた。「ビルの壁で外部と仕切られた有線ネットワークは、無線ネットワークよりもずっと安全だ」
マーシャル氏によると、RFprotectを導入して以来、無線の本格的な脅威は何も発見されておらず、不正なアクセスをセットアップしようとした者もいない。だが、訪問してきたベンダーなどが自分の無線カードを有効にしている場合がある。マーシャル氏は、このようにいつどんなことが起こるかが分かれば、少しは安心すると語る。
「RFprotectの導入は、完全にプロアクティブ(事前予防型)なプロジェクトであり、将来にわたって問題が起こらないようにすることが目的だ」(同氏)
Copyright © ITmedia, Inc. All Rights Reserved.