国の省庁で無線LAN設置が「原則禁止」へ 31
ストーリー by GetSet
便利さと危うさはいつでも紙一重 部門より
便利さと危うさはいつでも紙一重 部門より
84p 曰く、 "asahi.comの記事によると、国の各省庁で情報漏洩等を防ぐために無線LANの使用を制限する動きが広がっている。内閣官房情報セキュリティ対策推進室が策定した、情報セキュリティポリシーに関するガイドライン(PDFファイル)に従って各省庁が見直しを進めているようだ。
ガイドラインによると『無線LANについて、物理的セキュリティにおいて設置の可否の基準を定めるとともに、設置を許可する場合の暗号、認証について技術的セキュリティの項目で基準を定める。』とあるので、上位レイヤで適切な暗号化を行えば無線LANの使用は問題ない、と解釈できそうだ(WEPで暗号化すれば問題ない、と解釈されるかもしれないが…)。ともあれ、「うちの課ぐらいなら大丈夫だろう」なんて言う人がいては意味なしなので、セキュリティポリシーをいかに徹底するかが課題だろう。"
調査の結果です。 (スコア:3, おもしろおかしい)
「無線LANの危険性を調べるための調査用だった」
ってのは嘘じゃなかったんですね。
Re:調査の結果です。 (スコア:2, おもしろおかしい)
「無銭LANの犯罪性を調べるための調査用だった」
と思われますが、何か?
上位レイヤだけでいいの? (スコア:3, 参考になる)
また、有線側から漏れて来るブロードキャストなどはダダ漏れのままですので、無線側でWatchしていれば有線側にどのようなホストが接続されているかという情報を得る事ができ、脆弱性を持つホストがあればそこを踏み台にして、有線LAN内で可能な事は全てできてしまいます。
そもそも無線LANというのは配線がいらないので面倒が無いとか、配置換え等の場合にも配線工事をやり直さなくても済むのでコストが削減できるという理由で導入されている場合が多いと思うのですが、 特別な暗号化プログラムを購入してインストールするというお金や手間のかかる事をしなくてはいけないのであれば本末転倒です。
Re:上位レイヤだけでいいの? (スコア:1)
下位層での暗号化を求める話題になると必ず
それはレイヤが違うという意見が出てきたけど、
パブリックにさらされる区間だけ暗号化するのは
自然なことなんじゃないかな?
ネットワークの一部に盗聴の危険性が出たからと
言って全ネットワークに暗号化を強いるのは
まさしく本末転倒かと。
IPV6で下位層のデータの補正技術を信頼して
チェックサムをなくしたように、下位層の
秘話性・秘匿性を信頼した構築もありかと。
やなぎ
字面じゃなく論旨を読もう。モデレートはそれからだ
ついでに、 (スコア:2, 興味深い)
またさらに、airH゛などを使用して省庁と外部を接続してし
まっている人も居るだろうし。
個人のモラルに関わる問題なんだろうけどねぇ・・・
モラルだけには任せておけないのがセキュリティってもんだし。
本当に危険なのは? (スコア:2, 興味深い)
クレジットカード番号とかプライバシー情報とか、まぁTAPされたりは嫌だけど、そんなに「緊急対策!」ってほどでもないのかなァ?とも思ったりします。クレジットカード会社に電話一本で終わりだからネェ。省庁や企業だと訴訟に発展しちゃうから面倒だけど、死ぬ訳じゃないと。
こんなこと書いてますが、仕事上は「セキュリティ第一です!」とか言ってますけどね。
Re:本当に危険なのは? (スコア:1)
総務省の調査 [soumu.go.jp]では「 PHS 程度に注意しろ」ってことみたいですね。
Re:本当に危険なのは? (スコア:0)
#ばれてしまうと、職場内での流通がストップしてしまう。
意識が低い? (スコア:1)
自分たちが普段どんなに重要なデータ(個人情報など)を取り扱っているのかが分かってないんじゃない?
それとも単に管理者が無知なだけ?
#自分も無料ホットスポット(笑)を使ってみたいのでAC
Re:意識が低い? (スコア:2, 参考になる)
これに限らず、こういうセキュリティネタだとユーザの意識ってのがよく挙がりますが、
それを嘆く前に、何も考えないひとでもできるだけ守れるような環境を提供するぜぃみたいな
技術屋さん根性を出して欲しい気がします
#やっぱり(時間にしても金銭にしても)コスト?
Re:意識が低い? (スコア:2, 参考になる)
「盗聴の危険性がある」と,あからさまに書いてたモノがありましたっけ?
最初に謳ってたのは利便性,続いてコストパフォーマンス。
セキュリティ問題について言い始めたのは本当に最近だと思いますけど。
Windows のセキュリティなんかも同様ですが,市場が広がる段階で
しっかり啓蒙しないと一般ユーザーに危機意識なんて根付きゃしません。
「出来るだけ」はやってますよね。WEP だって(弱い弱い言われてますが)そうだし。
けど「何も考えない人」はそれすら要らんモノと見なすので・・・
ベンダーの意識も? (スコア:1)
Re:ベンダーの意識も? (スコア:0)
#広告=PC関係の本・雑誌
最近ちょこちょこ見かけるのは、無線LANもそこそこ普及したのでセキュリティ対策済タイプへの買替需要を刺激するためなのだ。
Re:意識が低い? (スコア:2, おもしろおかしい)
金庫には金庫の鍵が、自転車には自転車の鍵が丁度良いセキュリティなのではないでしょうか。
Mc.N
いや、802.11(無印)でしょう(Re:意識が低い?) (スコア:0)
Re:意識が低い? (スコア:0)
「禁止」にしすべきと思います:-)
Re:意識が低い? (スコア:2, 参考になる)
安く、しかもこのような国際情勢の中で無線LANをWEPぐらいで暗号化
というのが利用OKですと太鼓判を押すよりは原則禁止が常識の範囲だ
と思うのです。
これじゃ日本の手の内バレバレになっても...(以下省略)
大学はどうなるのかしら (スコア:1, 興味深い)
無線LANでネットワークを運営しているところもありそうですよ。
今は文部科学省の傘下ですが、独立法人になるじゃないですか。
だから、大丈夫なのかしら。
先に法人化した国の研究機関はどうなのかしら。
ちょっと心配。
---
撤去させられると困るのでAC
Re:大学はどうなるのかしら (スコア:1, 参考になる)
数日前の(都庁や気象庁の)問題が発覚した直後に、各所の管理者に対して
「WEP無しの無線LANは全面禁止、WEP有りでもなるべく使うな」という通達が速攻で出たようです。
Re:大学はどうなるのかしら (スコア:0)
なんて聞いてませんねぇ..
もちろん WEP 有りの無線 LAN 基地を研究室に置いてます.
# 僕が知らないだけかしら.
# 内部告発なので AC
Re:大学はどうなるのかしら (スコア:0)
私も一応、go.jpの住人ですが、 (スコア:1, 興味深い)
Re:私も一応、go.jpの住人ですが、 (スコア:1, 参考になる)
取り合えず、DHCPがフル稼働してたりNetBIOSだけとか
ウエルカムなネットワークじゃないんでしょ?
つーか、誰でもって部外者が勝手に入れるような場所には
100BASE-Tのコンセント付けないでしょ?
仮に、侵入者がゴソゴソとLAN引いたりしてても誰も気づかない
ようであれば、LANとか以前の問題として危機管理が不十分すぎない?書類とかでもコッソリ持ち出したりできるだろうし....。
Re:私も一応、go.jpの住人ですが、 (スコア:1)
怖いのは部外者じゃないけど、半ば部外者な人たちの行動のような
気がします。システムを組むには多くの人手が要りますし、元請け
だけでまかなえない場合は、当然、関連会社やら何やらが大量に
動員されるわけで、その中にはほとんど関連のない会社から来ている
人たちもいますし、さらに、そう言った人たちの身元確認も完全で
ない場合が少なくないような気がします。
本気で危機管理をすると、もの凄く手間とお金が掛かるわけで、
蟻の一穴を見つけだすのはなかなか難しいでしょう。
もちろん、部内者でも腐った人はいますから、単純に部外者に気を
つければいいと言う問題でもところがセキュリティの難しいところ
だと思います。
go.jpでも (スコア:0)
カンタン設定は恐ろしい (スコア:1, 参考になる)
とある公共施設では、WEPキーを設定していない上に、共有フォルダが丸見えになっていたりしますね。
そりゃヤバイだろと思い、納入業者を聞き出し、問い合わせてみると恐ろしい答えが...
最近の機器は簡単に扱えるので、あやしい知識の業者さんもいるようですね。
Re:カンタン設定は恐ろしい (スコア:2, 興味深い)
あやしい知識の業者さんは無線LANがつながらないときの処置として、
アクセスポイントの設定をリセットボタンで工場出荷値にして終わり
というところもあるようです。ぉぃぉぃってカンジ。
あやしくない業者 (スコア:1)
バイト先でお願いしている業者さんも最初ついていてくれたマトモな営業さんが会社やめちゃってから、ロクな人来なくなっちゃったし...大学でも業者にまかせるよりはこちらで対応した方が速いし信頼のおけるものができるようだし。
なんでセグメント分けておかないのか? (スコア:1, 参考になる)
うちなんかご近所に無線LANアクセスはSSID=ANY/WEPなし/MACアドレス制限なし、で提供しているけど、まずは無線LANアクセスポイントは自宅内のルーティングの茅の外にしてますがね。つまり、無線LANからはネットが使えるだけ、ってことね。自分で自宅内のLANに無線からアクセスしたい場合は、いったんネットに出てそこから入るから、扱いは外部から入ったのと同じ。ふつうは、最低限でこのくらいやるもんだと思うがなぁ。
「扱うものの性質を100%理解しないで使う」というのは無線LANに限らず非常に危険だよね。でも、我々はきっと「100%理解しないで使う」ことにいろいろ慣らされてきているんだね。少なくとも100%の理解がなく使う、ということに対して「それは危険なんだ」ということをわかっていて運用する、ということも必要。でも、人間は安易なほうに流れる生き物だから、「100%理解していないで動かすことは危険だ」が、いつのまにか「100%理解していなくても大丈夫」なんていう「怠惰」に流れちゃう。最近はコスト的なところからもそういうことになることが多いんだろうね。で、簡単にいえばそこが地獄の一丁目、ってことだな。
Re:なんでセグメント分けておかないのか? (スコア:0)
Re:なんでセグメント分けておかないのか? (スコア:0)
自分とこになりすましてよそを攻撃されることはあっても(これは無料ホットスポットも一緒なので)、
自分とこを攻撃されるのは許せん。
そんなシステムを構築中。
ルータ1個かますだけで、意外と簡単に、それなりのものができますよ。