Broadband Watch logo
バックナンバー
第76回:これさえあれば外出中も安心! 携帯電話で自宅の様子を確認できる「EZ de DIONモニター」
[2003/10/28]
第75回:無線LAN運用のカギはチャネルに有り 干渉を避けるための設定方法を探る
[2003/10/21]
第74回:これからの情報発信の本命になるか? blogの魅力を探る
[2003/10/14]
第73回:デュアルバンド対応&機能強化で巻き返しを図るアイ・オー・データ機器「WN-AG/BBR」
[2003/10/07]
第72回:低価格路線で変わるプロバイダーのあり方
[2003/09/30]
第71回:インターネット経由でのWakeup On LANに挑戦
[2003/09/16]
第70回:Yahoo! BB 26M+無線LANパックは実用的か?
[2003/09/09]
第69回:アッカ・ネットワークスの26Mbps ADSL開通! ~他のADSL事業者との違いが明確に~
[2003/09/02]
第68回:イー・アクセスのADSLプラスIIでAnnexC/Iの違いを比較
[2003/08/19]
第67回:WPAで無線LANはどう変わるのか? ~その2 実際にWPAの利用と問題点~
[2003/08/12]
第66回:WPAで無線LANはどう変わるのか? ~その1 WEPの弱点とWPAのしくみ~
[2003/08/05]
第65回:Yahoo! BB 26Mを再検証 ~約2Mbpsの速度向上を確認~
[2003/07/29]
第64回:Yahoo! BB 26M速攻レビュー
~ダブルスペクトラムの効果はいかに?~
[2003/07/22]
第63回:エレコム LD-WLS54AG/APが実現するデュアルバンド同時通信環境
[2003/07/15]
第62回:長い沈黙を破って登場した新Atermシリーズ ~AtermWR7600Hでトリプルワイヤレスは本格化するか?~
[2003/07/08]
第61回:ついにやってきた20Mbps超ADSL時代 ~24/26Mbps ADSLの全体像を考察する~
[2003/07/01]
第60回:アクセスポイント間通信でネット家電の無線化に挑戦
[2003/06/24]
第59回:リビングのテレビでお手軽Webブラウジング パナソニック「Tナビ」の実用度はいかに?
[2003/06/17]
第58回:モデル追加されたメルコ LinkStation 静音化対策&機能追加でリベンジなるか?
[2003/06/10]
第57回:ノートPCの無線LAN環境を考える すでに802.11gに対応した機種も……
[2003/06/03]
第56回:MPEG2やDivXも家庭用テレビで再生可能 「Play@TV」で快適なテレビ生活ができるか?
[2003/05/27]
第55回:PHSと無線LANの一発切替ツールが登場 b-mobileはモバイル通信の救世主となるか?
[2003/05/20]
第54回:待望の802.11a/gデュアルバンド対応無線LAN アイ・オー「WN-G54/BBR-S」の完成度はいかに?
[2003/05/13]
第53回:HDD&DVDビデオレコーダーをネットワーク対応に パナソニック ブロードバンドレシーバーを試す
[2003/05/06]
第52回:デスクトップPCもワイヤレス化したい!エレコム LD-WL5411/PCIを試す
[2003/04/22]
第51回:IP電話は普及するのか? VoIPサービスの現状と今後を考える
[2003/04/15]
第50回:IEEE 802.11gに登場した新たな選択肢 corega WLAP-54GT Setを試す
[2003/04/08]
第49回:こんなにも多機能になったプリントサーバー 使いやすく進化した2製品を試す
[2003/03/25]
第48回:汚名返上を目指すドラフト版IEEE 802.11g 新ファームウェアでメルコWBR-G54とLINKSYS WRT54Gを試す
[2003/03/18]
第47回:実力を発揮するのはこれから? ソニー ブロードバンドAVルータに隠された謎を解けるか
[2003/03/11]
第46回:ハードディスクもネットワークで増設する時代に メルコ LinkStation HD-80LANを試す
[2003/03/04]
第45回:ブロードバンドはどこを目指すのか? 混迷するADSL
[2003/02/25]
第44回:5,000円でも機能は十分? 低価格ルータ3機種を比較
[2003/02/18]
第43回:祝・FTTH2回線開通~BフレッツとUSEN BROAD-GATE 01を比較する
[2003/02/04]
第42回:リンクシスの意欲作~802.11g対応無線LANルータ Wireless-Gを試す
[2003/01/21]
第41回:新環境でADSL 3回線を比較
[2003/01/14]
第40回:どうする? どうなる? 引越に伴うADSLの移設
[2003/01/07]
第39回:12Mbps ADSLの最新の動向を事業者に聞く ~イー・アクセス編~
[2002/12/24]
第38回:フレッツ・ADSL モア開通 ~NTT東西の12Mbpsの実力はいかに?~
[2002/12/17]
第37回:12Mbps ADSLの最新の動向を事業者に聞く ~アッカ・ネットワークス編~
[2002/12/10]
第36回:大幅に進化したIEEE 802.11aチップセット アイコム SL-5000を試す
[2002/12/03]
第35回:待望の802.11a対応ワイヤレスLANコンバーター ソニー PCWA-DE50を試す
[2002/11/26]
第34回:常時接続環境でストリーム配信に挑戦 BROAD STREAM TSR-MS4をテスト
[2002/11/19]
第33回:アッカ・ネットワークスの12Mbps ADSL開通 オーバーラップの効果は如何に?
[2002/11/12]
第32回:低価格化が進むIEEE 802.11b対応無線LANルータ NECアクセステクニカ「WARPSTARΔ WB7000H」を試す
[2002/11/05]
第31回:インターネット経由でテレビが見たい! 「INFOCITY ドコデモTV」を試す
[2002/10/29]
第30回:第2世代チップで普及へ弾みを付けるIEEE 802.11a Atheros Communicationsインタビュー
[2002/10/22]
第29回:PPPoE 2セッション同時接続可能になったフレッツ・ADSLを検証
[2002/10/08]
第28回:ホットスポットをどこまで便利に使えるか? ソースネクストの「どこでも無線LAN」を試す
[2002/10/01]
第27回:フレッツ・ADSL モアで何が変わるのか? NTT東日本インタビュー
[2002/09/24]
第26回:単体製品へと回帰するIEEE 802.11b 小型アクセスポイント3機種を試す
[2002/09/17]
第25回:選択肢が増えてきた802.11a対応製品 NECのAterm WA7500Hを試す
[2002/09/10]
第24回:このままでいいのか? あまりに違うルータのパッケージ記載内容と実性能
[2002/09/03]
第23回:無線LANのセキュリティソフトは有効!? ソースネクストの「鉄壁 無線LAN」を試す
[2002/08/20]
第22回:Yahoo!BB 12M開通! 他のADSLへの影響はいかに
[2002/08/13]
第21回:FREESPOT始めました! メルコの導入キット「FS-01」を試す
[2002/08/06]
第20回:これからの無線LANはセキュリティ設定がカギ IEEE 802.11aに対応したアイコム「AP-120B」を試す
[2002/07/30]
第19回:NASの実力はいかに? アイ・オー・データの「HDA-i120G/LAN」を試す
[2002/07/23]
第18回:ADSL 12Mタイプの方式乱立で混迷の時代となるか?
[2002/07/16]
第17回:NETWORLD+INTEROP 2002 TOKYOレポート ようやく見えてきた次世代技術の使い道
[2002/07/09]
第16回:速度だけを強調したルーターはもう古い
[2002/06/25]
第15回:緊急警告!! 今すぐ無線LANのセキュリティを設定せよ
[2002/06/11]
第14回:2回線のADSLを同時接続しスピードアップに挑戦
[2002/05/28]
特別編:USENのHFC通信の詳細について聞く
[2002/05/23]
第13回:イー・アクセスの新ファームウェアを試す
[2002/05/14]
第12回:プレイステーション 2を無線LAN化
[2002/04/30]
特別編:アッカ・ネットワークスに聞く
[2002/04/24]
第11回:フレッツ・ADSLを8Mタイプに移行
[2002/04/16]
第10回:ルータとしての完成度はいまひとつ?!
[2002/04/02]
第9回:安定性向上に効果あり、FBM方式を試す
[2002/03/19]
特別編:アッカ・ネットワークス インタビュー
[2002/03/13]
第8回:アッカの8Mbps ADSLを導入
[2002/03/05]
第7回:UPnP対応ルータで半分だけ解決されるMessenger問題
[2002/02/19]
特別編補足版:近端漏話とカッド構造の密接な関係
[2002/02/15]
第6回:802.11a対応無線LANアクセスポイントを試す
[2002/02/05]
特別編:つながらない!? ADSL 8Mサービスの現状を探る
[2002/01/30]
第5回:ハッキリ言ってくだらないスループット論争
[2002/01/22]
第4回:エレコム LD-WBBR4のWindows Messenger対応ファームを試す
[2002/01/08]
第3回:Windows XPのブロードバンド度をチェック・3
[2001/12/18]
第2回:Windows XPのブロードバンド度をチェック・2
[2001/12/04]
第1回:Windows XPのブロードバンド度をチェック
[2001/11/15]

第67回:WPAで無線LANはどう変わるのか?
~その2 実際にWPAの利用と問題点~


WEPに代わるセキュリティ機能として高い注目を集めているWPA。このWPAを実際に利用するにはどうすればいいのだろうか? 今回は、具体的なWPAの使い方を紹介しながら、そのメリットやデメリットについて検証してみる。


WPA対応製品が徐々に登場

WRT54G

 前回の連載で、現状のWEPが抱えている問題点、そしてWEPの問題を改善するための新しいセキュリティ機能であるWPAの概要について説明した。では、このWPAを誰もがすぐに利用できるのだろうか? 現状はそうはいかない。WPAを利用した安全な無線通信を行なうためには、WPAを実装したアクセスポイントとクライアントが必要になるからだ。

 2003年8月9日時点、国内で手に入るコンシューマー向けのWPA対応アクセスポイントはごくわずかで、リンクシスのWRT54G、メルコのWBR-G54、WBR-B11などが存在する程度となっている。このうち、メルコの製品に関してはベータ版のファームウェアでの対応となるため、実質的にはリンクシスのWRT54Gが正式にWPAをサポートした数少ない製品となっている。

 もちろん、WPAに対応した製品は今後さらに増えていく予定だ。しかし、単純にWPAの機能を搭載するだけでなく、Wi-Fi Allianceでの承認を受ける必要があるため、メーカーや製品によって対応の遅れが出ることも考えられる。今すぐにWPAを使いたいのであれば対応製品を導入するしかないが、すでに所有している製品でWPAを使いたい場合は、もう少し時間がかかることになりそうだ。もちろん、その製品がWPA対応ファームウェアを用意しない方針であればそれまでだが、WPAは基本的にはハードウェアの変更なしに、ファームウェアの変更で対応できる可能性があるものなので、対応ファームウェアの登場を待つしかないだろう。


WEPとは異なる設定方法

 今回、WPAの検証用として利用したのは、前述したリンクシスのWRT54Gだ。ただし、WPAがサポートされているのは、2003年7月9日にリリースされた「Ver.1.30.6」以降のファームウェアとなるため、それ以前のバージョンの場合は事前にアップデートしておく必要がある。なお、その後に公開されたファームウェア「Ver.1.30.8」以降では、IEEE 802.11gのフレームバーストにも対応しており、転送速度の向上なども図られている。

ファームウェアを更新したリンクシスWRT54Gの設定画面。WPA対応に加えて、フレームバースト機能にも対応し、速度向上が図られた

 それでは、実際の設定方法を紹介していこう。WPA設定は、WEPと同じ設定画面の中に用意されている。まずは、セキュリティ方式を選択する。標準ではセキュリティ方式として「WEP」が選択されているが、ここに新たに「WPA-PSK」、「WPA-RADIUS」、「RADIUS」という3つの選択肢が追加されている。

リンクシスWRT54GのWPA設定画面。従来のWEPと異なり、セキュリティ方式や暗号化方式、ネットワークキーなどの設定が必要となっている
ベータ版のファームウェアでWPAに対応しているメルコのWBR-G54。こちらもほぼ同様の設定が可能となっている

 WPA-RADIUSやRADIUS(暗号化にはWEPを利用)は、文字通りRADIUSサーバーを利用したIEEE 802.1xの認証方式だ。この方式を選択した場合、ネットワーク上にRADIUSサーバーが不可欠となるため、家庭などで利用する場合は「WPA-PSK」で設定することになる。WPA-PSKでは、PSK(Pre-Shared Key)による簡易的な認証が可能となるため、RADIUSサーバーを用意しなくても済む。このような認証という概念は、これまでのWEPにはなかったものであるため、WPAを初めて利用するユーザーにとっては、ここが設定の第一関門になるだろう。

 続いて、暗号化方式を選択する。WPAではTKIPとAESの2種類の暗号化方式が利用できるが、個人的にはAESをおすすめしたいところだ。どちらも一定時間間隔で暗号化キーを変更できる点は同じだが、暗号化のアルゴリズムに違いがあり、AESの方が強固となる(詳細については前回の連載を参照)。また、具体的な理由については後述するが、処理速度もAESの方が圧倒的に速い。

 ここまでの設定が済んだら、「ネットワークキー」を設定する。これは、前述したWPA-PSKのPre-Shared Keyとして利用される。WEPのときのように64bitならASCIIで5文字、16進数で10文字といった制限はなく、8から63文字の半角英数字で比較的自由に設定することができる。

 ただし、いくら自由度が高いと言っても、ネットワークキーに単純なものを設定するのは避けるべきだ。いくらWPAが高度なセキュリティ機能を備えているとは言っても、それは暗号化のプロセスが強化されているに過ぎない。無線通信を傍受されて、そこからキーを解読されることは防げても、推測によって正規のネットワークキーと同じものが外部で使われれば、内部的には正規の手順を踏んだ接続と判断され、アクセスポイントへの接続が可能になってしまう。

 よって、WPAで実際に安全な通信ができるかどうかは、この設定次第ということになる。多少面倒でも、複雑かつ長いネットワークキーを設定し、外部から推測されないようにしておくべきだ。

 最後に、「グループキー更新間隔」を設定する。これは、暗号化に利用するキーをどれくらいのタイミングで更新するかという設定だ。TKIPの場合でもAESの場合でも、ここで設定した秒数ごとに利用する暗号キーが変更される。0から99,999秒(約27時間)までの値を設定できるが、この理由も後述するが、通常は3,600~7,200秒程度(1~2時間程度)で設定しておけば十分だ。ただし、「0」に設定すると暗号キーが一切更新されないので、「0」は避けるべきだろう。


限られるクライアント環境

 ここまででアクセスポイント側の設定は完了となるので、続けてクライアントの設定をしていく。ただし、クライアント側の設定をするときは、利用するOSに注意したい。WPAによる通信を行なうには、アクセスポイント側だけでなく、クライアント側もWPAに対応している必要があるのだが、現状、WPAをサポートするクライアントはWindows XPのみとなっている。それも、標準ではサポートされておらず、今年の3月にマイクロソフトからリリースされたWPA用のアップデートをWindows Updateなどからインストールしておかなければならない。

 これまでにも、無線LAN機能を標準でサポートしないOS向けに、メーカーからユーティリティが提供されていたことを考えれば、これと同様の方法で他のOS向けのWPAユーティリティが提供される可能性もある。ただし、WPAではIEEE 802.1xをサポートしなければならないなど、開発の手間やコストがかかるため、すぐに登場するとも考えにくい。場合によっては、WPAをWindows XPのみで利用できる機能と位置づけられる可能性もあるが、企業ユーザーを中心にWindows XP以外のOSの利用頻度はまだまだ高いという状況もある。このあたりは、メーカーがどのような対応をしてくるのか、今後の動向が期待されるところだ。

 とは言え、今の段階ではWindows XPでしか利用できないので、その設定方法を紹介しておこう。前述したように、アクセスポイント側では、セキュリティ方式(認証方式)、暗号化方式、Pre-Shared key、キーの更新時間の4項目の設定が必要だった。このうち、キーの更新時間はアクセスポイント側が制御する機能なので、クライアント側での設定は必要はない。よって、3項目を同様に設定していけばいいことになる。

 ただし、これの設定が、またわかりにくい。というのは、Windows XPの設定画面で使われている一部の用語が独特だからだ。具体的には、アクセスポイントで言うところのセキュリティ方式(認証方式)が「ネットワークアソシエーション」という言葉になっているからだ。「アソシエーション」などという難しい言葉を使われても、普通はわからない。しかも、標準で選択されているのは「開いています」という無理矢理日本語訳にしたわかりにくい言葉だ。これは何とかならないものなのだろうか?

 まあ、愚痴を言ってもしかたがないのだが、とにかくクライアント側のネットワークアソシエーションには、アクセスポイント側でセキュリティ方式に選択した方式と同じ「WPA-PSK」を選択する。そして、暗号化方式で「TKIP」、または「AES」を選択し、最後に「ネットワークキー」に、アクセスポイント側で設定したPSKと同じものを入力すれば設定は完了となる。これで、無事にWPAによる暗号か通信が可能となるわけだ。

Windows XPのWPA設定画面。言葉が多少わかりにくいが、基本的にはアクセスポイントと同様の設定をしておけば接続可能となる

WPAの実力は?

 では、このように設定したWPAの実力はどれほどのものなのだろうか? と言っても、残念ながら筆者には暗号を解読する知識もなければ時間もないので、セキュリティの安全度のついて実証することはできなかった。

 そこで、今回は速度を検証してみることにした。数年前に無線LAN製品が登場した当初、WEPによる暗号化を設定すると通信速度が低下するという問題があった。そもそも、無線LANのセキュリティ機能があまり使われないのは、設定が面倒でわかりにくいことにあるのだが、このように速度の低下を嫌って暗号化を設定しなかったユーザーも多かった。いくらWPAが強固なセキュリティを実現していても、この問題が再発すれば、やはり普及の障害のひとつになり得る。すでに、WPAでも設定の難しさや手間の問題は前述したように表面化しているのだからなおさらだ。

 速度を計測してみた結果は以下の表の通りだ。興味深いのはTKIPの速度だろう。WEP、およびAESを暗号化方式に指定した場合は、ほとんど速度の低下が見られなかったのに対して、TKIPを利用した場合は3割程度(5~6Mbps)の速度低下が見られた。

  暗号化方式 キー変更間隔 下り(有線→無線) 上り(有線←無線)
WEP RC4-64bit - 20.90Mbps 23.62Mbps
RC4-128bit - 20.99Mbps 23.59Mbps
WPA TKIP(RC4) 3600秒 14.30Mbps 18.33Mbps
360秒 14.25Mbps 18.08Mbps
10秒 14.31Mbps 18.35Mbps
1秒 14.33Mbps 18.36Mbps
AES-128bit 3600秒 20.89Mbps 23.65Mbps
360秒 20.79Mbps 23.03Mbps
10秒 20.52Mbps 23.88Mbps
1秒 20.47Mbps 23.20Mbps
※50MBのファイルを転送。コマンドプロンプトのFTPにて表示された速度をMbps換算
※サーバーにはPentium4 3.06GHz 1GBメモリ搭載機を使用し、IISのFTPサーバーを利用した
※クライアントにはCeleron 600MHz(Baniasコア)512MBメモリ搭載のノートPCを使用
※アクセスポイントとクライアントの距離は3m前後。見通しの良い環境で計測した

 これは、WEPとAES、そしてTKIPの処理に違いがあるからだ。最近の無線LAN製品でWEPによる速度低下がなくなったのは、WEPによる暗号化をハードウェアで処理できるようになったからだが、これと同様にAESでもハードウェアによる暗号化処理が可能となっている。しかし、TKIPはハードウェアでなく、ソフトウェアで暗号化処理を行なっている。このため、TKIPとそれ以外で速度の差が現れたというわけだ。

 では、なぜTKIPはハードウェアではなく、ソフトウェア処理となっているのだろうか? これは互換性を保つためだ。もともと、WPAは既存のWEPの弱点を補うべく登場した技術だが、この際、既存のハードウェアを使ってセキュリティを強化することが前提とされていた。ハードウェアの変更が伴うとなれば、ユーザーは既存の無線LAN製品をすべて置き換えなければならないからだ。このため、ファームウェアの変更のみによってサポートできるように、ソフトウェアでの処理が行なわれているわけだ。

 これに対して、AESは、このような互換性を考慮しない方式として設計されたため、ハードウェアでの処理が可能となっている。実際、IEEE 802.11b製品の一部ではAES用のハードウェアを搭載しないために、TKIPは利用可能でもAESには対応しないケースもある。よって、IEEE 802.11gのみのネットワークを構築する場合であれば速度的に有利なAESを利用し、互換性を重視する場合はTKIPを使うという利用方法になるだろう。

 ちなみに、今回のテストでは暗号キーの更新タイミングをいろいろと変更してみたが、これによる速度の低下は見られなかった。今回のファイル転送テストで用いたファイルは50MB程度で、時間にして20秒程度で転送が完了するものだ。よって、10秒や1秒に設定した場合は、転送中にキーが数回更新されているはずである。しかしながら、この差は実際の速度には表れることはなかった。実際、内部的にどのようなしくみでキーが更新されているのかは不明な部分も多いのだが、キーの更新による速度低下は発生しないものと考えてよさそうだ。

 ただし、個人的には、それほど短いタイミングでキーを更新する必要はないと考えている。前回の連載で解説したが、WEPで電波を傍受し、そこから暗号を解読するには、数時間程度パケットをキャプチャしなければならない。よって、これよりも短いタイミングで暗号キーを更新していれば済む問題だ(そもそもTKIPではIVの拡張などによってこの方法すら利用できないが…)。もちろん、今後、WPAの脆弱性が発見される可能性もあるが、少なくとも今の段階では、実質的には1時間程度で暗号キーを更新するようにすれば、十分なセキュリティが確保できると言える。


機能的に優れていても運用にはまだ問題がある

 このように、WPAは、非常に高いセキュリティを実現でき、しかも速度的な問題もないため、WEPに代わる新しいセキュリティ技術にふさわしいものであることが確認できた。このような最新の機能をいち早くユーザーに提供したリンクシスの姿勢は、高く評価したいところだ。

 しかしながら、いくらセキュリティ面で優れた機能を持っていたとしても、現状のままでは普及が難しいと思える部分も多い。今のWPAは、クライアント側のOSがWindows XPに限られているうえ、設定も誰もが簡単に使えるようなものではない。そもそもWEPすら利用していないユーザーが多いことを考えると、この機能がユーザーに浸透するのは相当に難しいと言える。

 今後、無線LAN製品では、WPA対応ということが製品のセールスポイントのひとつになっていくと考えられる。もちろん、それはそれで良い。しかし、先日、「電子情報技術産業協会(JEITA)は、無線LANのセキュリティに関するガイドラインを制定」というニュースがあったように、すべてではないにしろ、セキュリティの重要性をユーザーに認識させるのはメーカーの責任による部分が大きい。

 メーカーとして、WEPはもちろんのこと、この新しいWPAをいかにユーザーに使わせるかに注力しないと、実質的には何も状況が変わらない可能性が高い。WPAをどのように製品に取り込んでいくのか? 技術的な問題よりは、このようなメーカーの姿勢に注目していきたいところだ。

(2003/08/12 清水理史)


□関連記事:イニシャルB 第66回:WPAで無線LANはどう変わるのか?
http://bb.watch.impress.co.jp/column/shimizu/2003/08/05/

清水理史
 製品レビューなど幅広く執筆しているが、実際に大手企業でネットワーク管理者をしていたこともあり、Windowsのネットワーク全般が得意ジャンル。最新刊「できるADSL eAccess版 無線LAN対応」ほか多数の著書がある。
Broadband Watch ホームページ
Copyright (c) 2003 Impress Corporation All rights reserved.