無線LAN | 基礎知識

無線LANとは

現在ではIEEE 802.11諸規格が整備されており、その技術規格に準拠した機器で構成されるネットワークの事を一般的に「無線LAN」と呼んでいます。IEEE 802.11は時代に合わせて規格の追加や修正が行なわれており、近年では主に高速化が進められています。
標準規格としての草分け的存在はIEEE 802.11、次いでIEEE 802.11bであり、2.4GHz帯の電波を使用し最高11Mbpsの伝送速度を達成しました。その後5GHz帯を使用した、伝送速度が54MbpsというIEEE 802.11aも規格化され、またIEEE 802.11bと互換性を持ちながら2.4GHz帯で54MbpsというIEEE 802.11g規格も存在しています。2009年には規格上の最高伝送速度600Mbpsを達成するWi-Fi 4(IEEE 802.11n)が規格化され、さらに2014年からは理論上 6.93Gbps もの高速通信が可能な Wi-Fi 5(IEEE 802.11ac)が規格化されています。
2021年2月には次世代規格となるWi-Fi 6(IEEE 802.11ax)の規格化が完了しました。
最大通信速度は理論上9.6Gbpsが可能で、Wi-Fi Allianceでは、2020年末までに16億台のWi-Fi 6対応デバイスが出荷されると見込んでいます。
また、2022年9月に総務省令が公布され、国内での6GHz帯の使用が可能になりました。
Wi-Fi 6の拡張版として6GHz帯の利用に対応した無線LANはWi-Fi 6Eと呼ばれ、6GHz帯の利用は混雑している従来の2.4GHz帯や5GHz帯と比べ、電波干渉が起こりにくく、安定した通信が可能です。
今後の計画として2024年にWi-Fi 7(IEEE 802.11be)の規格化が予定されています。
Wi-Fi 6からさらなる高速化が見込まれており、 最大通信速度は46Gbpsになると言われています。
従来規格と比べて通信のさらなる効率化を図るためにMLO(マルチリンクオペレーション)やMulti-RU(Multi-Resource Unit)といった機能が実装される予定です。

標準規格 IEEE 802.11

下記に代表的なIEEE 802.11諸規格についての特長をまとめました。

IEEE 802.11b

1997年にIEEE 802.11規格が完成した後、2.4GHz帯を使用した高速通信の実現を目的として11bが規格化されました。オリジナルのIEEE 802.11規格をベースにCCK変調方式を採用し、伝送速度はIEEE 802.11規格の1~2Mbpsから11Mbpsに飛躍しました。この伝送速度向上により、家庭での利用が広まり、無線LANが普及しました。

IEEE 802.11a

1997年に、アメリカ連邦通信委員会が5GHz帯の一部(合計300MHzの帯域)を免許不要な無線アクセス用に開放しました。この5GHz帯を使用し、最大54Mbpsの伝送速度を実現した規格が11aです。変調方式はOFDM方式を採用しています。一方、当時の日本では、5GHz帯の利用に関して諸事情により使用チャンネルが限られていましたが、後述の省令改正によってIEEE 802.11aで使用できるチャンネルは国際標準と同様のものに変更されています。

IEEE 802.11g

2.4GHz帯を使用するIEEE 802.11bとの上位互換性を保ちつつ、伝送速度の高速化を目的とし、さらに5GHz帯を使用しているIEEE 802.11aとの上位互換性を図ることを目指して規格化され、最大伝送速度は11aと同様の最大54Mbpsを実現しています。現在普及している一般的な無線アクセスポイント(以降AP)はデュアルモードに対応しており、IEEE 802.11b/g端末が混在するネットワークに対応することが可能です。

IEEE 802.11n (Wi-Fi4)

IEEE 802.11nは100Mbps以上の更なる高速化をターゲットとした規格であり、2009年9月には標準化され、2011年現在では標準的な技術として多くの対応製品が販売されています。
11n規格は2.4/5GHzの2つの周波数帯を使用でき、最大600Mbpsの伝送速度を実現します。この高速化はMIMO(Multiple Input Multiple Output)やチャンネルボンディング、フレームアグリゲーションといった複数の技術を組み合わせることにより実現されています。これらの中で最も特長的なMIMOとは、複数のアンテナを同時に使用して1つのデータストリームを分割、多重化して同時に送受信することで単位時間あたりのデータ送受信量を増加させる技術です。従来のように1本のアンテナだけを使用した場合の伝送速度にくらべて、理論的にはアンテナを増やした分だけ、伝送速度を向上させることができます。現在の11nドラフト規格では最大4データストリームまで規定されており、11n Draft2.0規格対応製品では送受信に使用するアンテナ数によって、「2×2」(送信に2本、受信に2本のアンテナを使用する)や「3×3」(送信に3本、受信に3本)といった形で表示されます。現在法人向けに販売されているAPでは、2×2や2×3、3×3対応製品が一般的です。

IEEE 802.11n (Wi-Fi5)

新しい技術の採用によって、理論上では最大6.9Gbpsの無線通信ま で高速化され規格です。2014年より「第1世代」(wave1とも呼ばれます) と位置づけられた、主に433Mbps~1.3Gbpsといったデータレートに対応した製品が各メーカーから販売されています。2017年現在ではより高速化された「第2世代」(wave2とも呼ばれます) の製品が提供され、2.6Gbpsといったより高速のデータレートに対応した製品が発売されています。
ここではIEEE802.11acで実装された主な新技術をご紹介します。

1.変調信号の多値化

IEEE802.11無線LANでは、電波にデータを乗せることで無線通信を実現しています。この電波にデータを載せることを「変調」と言い、複数ある変調方式の中でも「QAM」という方式を使用しています。従来のIEEE802.11nでは一度に6bitのデータを送信することができる「64QAM」に対応していましたが、IEEE802.11acではより高密度な「256QAM」まで引き上げられています。これによって一度に8bitのデータを送信することができるようになり、1.3倍の効率化を実現しています。

2.チャンネル帯域の拡大

無線LANでは、使用可能な周波数の範囲を「チャンネル」と呼ばれる単位に区切り、それぞれのチャンネルを使い分けています。各チャンネルに割り当てられる幅が広くなれば、一度に流せるデータの量も大きくすることができ、より高速な通信を実現することができます。IEEE802.11aおよびgの旧規格では20MHz幅で使用していましたが、IEEE802.11nでは20MHzのチャンネルを2個束ねて利用することが許可され、40MHzに拡張されました。今回のIEEE802.11acでは80MHz対応を必須とし、さらにオプションとして160MHzとしての利用も認められています。

しかし、右記の図をみても分かるように帯域幅を広く取ることで通信速度を向上させることができる反面、利用可能なチャンネル数は減少していきます。日本国内の電波法で許可された5GHzの周波数帯では、20MHz幅の場合重複せずに利用可能なチャンネル数は「19」とれるのに対し、40MHz利用時には「9」チャンネル、80MHz時には「4」チャンネルと減少していきます。 帯域幅の図重複せずに利用可能なチャンネル数は、電波干渉を避けて広い範囲で無線LANを利用するための重要なポイントになります。利用できるチャンネル数の減少は無線LAN設計の難易度が上がる要因にもなります。

IEEE802.11nより採用されたMIMO(Multi Input, Multi Output)技術によってデータ転送速度は大きく向上しました。複数のアンテナを同時に使用してデータの送受信を行うこの技術は、IEEE802.11nでは「4空間ストリーム」まで許可されていました。対してIEEE802.11ac規格では、最大「8空間ストリーム」まで拡張され、データの送信速度の向上が期待されています。

「第1世代」の11ac対応製品では、従来の802.11nと同様の「2空間ストリーム」および「3空間ストリーム」までの対応となっています。「第2世代」以降ではより多くの空間ストリームに対応した製品の提供が期待されています。

3.MultiUser-MIMO(MU-MIMO)

第2世代のIEEE802.11acではより効率的に無線通信を実現させることができる技術が実装されています。それはMU-MIMO(Multi User-MIMO)です。従来の無線LANは1台のアクセスポイントやルーターに複数の無線クライアントが接続し、通信を行うことが可能でした。しかし、これは時間を細かく区切り、1台ずつ順番に通信を行うことで擬似的に同時通信が可能なようにみせているだけで、IEEE802.11の本質はイーサネットハブと同様のシェアードメディアです。

MU-MIMOが実現されると、APは複数のクライアントに対して、同時に同一周波数上でデータを送信できるようになります。この技術によって、無線LANはより効率のよい通信を実現することができるようになります。

IEEE802.11ax (Wi-Fi 6)

IEEE802.11axは、 IEEEが決めた正式規格名で、Wi-Fi6とも呼ばれます。 別名のWi-Fi6は、 Wi-Fi AllianceがWi-Fiの最新世代(第6世代)なのでそのような呼称を付けました。ここでは、Wi-Fi6の主な機能とメリットについて説明します。

1.同時通信OFDMA

従来では、1つのチェンネルをいくつかのサブキャリアに分けて通信を行うOFDM技術が採用されていましたが、1つの機器で通信を占有してしまう問題点がありました。
これをWi-Fi6ではOFDMA(Orthogonal Frequency Division Multiple Access)技術を採用し、複数の機器が同時に利用できるにようにサブキャリア毎に通信を行い、順番待ちが発生しない仕組みになりました。

2.双方向MU-MIMO

Wi-Fi 6では、MU-MIMO(Multi User Multiple-Input and Multiple-Output)が上下双方向通信に対応しました。
これにより無線アクセスポイントが同時に複数の端末へデータを送受信することができるので、データの転送速度が下がることなく安定して通信することができるようになります。

3.Spatial Reuse
(スペーシャル リユース)

重なり合った無線エリアがある場所で既に無線クライアントがチャンネルを使用している状態であっても、先行する無線クライアントの送受信に影響を及ぼさない場合に、それに重畳する形で送受信を許容することが可能になりました。
つまり従来であれば電波干渉が起きていた状況でも異なるエリアと認識することができ、端末側とアクセスポイント側の双方で新たに導入されたキャリアセンシング機能によって、受信感度と送信電力を動的に制御して他の通信に悪影響を与えないように通信を行うことができます。これにより混みあった環境でも効率的に通信を行うことができるので通信遅延を減らすことができます。

4.高速化

一度に伝送できる情報量が256QAMから1024QAMに増加。アンテナの数もWi-Fi5では最大4本でしたがこれが8本に増加。
これによりWi-Fi5と比べて1.2倍の1Gbps以上の数値を実現。最大通信速度もWi-Fi5と比べ、約1.4倍の9.6Gbpsを実現。10G光回線の速度を最大限に活かすことができます。

5.TWT(Target Wake Time)

従来では端末ごとの独自の機能によって消費電力を抑えていましたが、Wi-Fi6ではAPと端末でスリープモードのスケジュールを事前に調整するので安定して長時間ご利用できるようになりました。

IEEE802.11ax (Wi-Fi 6E)

2022年9月、総務省に6GHz帯の無線LAN利用が承認されたことにより、ライセンス不要で利用可能になりました。 日本では5925MHz~6425MHzの利用が可能です。
これにより、DFS(Dynamic Frequency Selection)の影響を受けずに使用できるチャンネルが増え、2.4GHz帯や5GHz帯の混雑を回避することが可能です。IEEE 802.11ax規格のためWi-Fi 6のメリットを6GHz帯でも活かすことが可能です。

1.6GHz帯による使用可能チャンネル

従来の2.4GHz帯と5GHz帯に加え、6GHz帯では最大で24チャンネルの使用が可能になります。

2.DFSの影響回避

5GHz帯のW53、W56の利用はDFSの影響を考慮する必要があります。
環境によって利用に制限がありましたが、6GHz帯はDFSなしで利用することが可能なため、無線LAN構築の幅が広がります。

IEEE802.11be (Wi-Fi 7)

Wi-Fi 7はWi-Fi 6の次世代規格にあたり、2024年に標準化が予定されています。
従来規格と比べてさらなる高速化、通信の効率化を実現する機能としてMLO(マルチリンクオペレーション)やMulti-RU(Multi-Resource Unit)といった機能が実装される予定です。

1.現行規格の拡張機能

<320MHz>
Wi-Fi 6では使用可能な帯域幅は160MHzまたは80+80MHzでしたが、
Wi-Fi 7では2倍の320MHz使用することが可能となり、大幅な高速化を実現します。
<4096QAM>
Wi-Fi 6では1024QAMに対応していましたが、Wi-Fi 7では4096QAMに対応しており、
より大きなデータ量を詰め込んで送ることが可能です。

2.MLO(マルチリンクオペレーション)

端末が無線接続を行う際、これまでは一つの周波数帯を選択していたところ、複数の周波数帯を同時利用することで遅延の低減と信頼性向上につなげる技術です。

3.Multi-RU(Multi-Resource Unit)

OFDMA利用時のリソースの活用方法です。帯域を周波数分割したユニット(RU)ごとにユーザーに割り当てて通信する際、1ユーザーに複数のRUを割り当てて帯域を効率よく利用することができるようになります。

IEEE802.11で使用される周波数帯と仕様比較

無線LANで使用される周波数帯の多くは無線局免許が不要ですが、各国の法規制により若干異なります。

呼称名 規格 周波数帯 最大速度 実行スループット MIMO
(最大同時接続台数)
  802.11b 2.4GHz 11Mbps    
  802.11a 5GHz 54Mbps    
  802.11g 2.4GHz 54Mbps    
Wi-Fi 4 802.11n 2.4GHz/5GHz 600Mbps 150Mbps SU-MIMO
Wi-Fi 5 802.11ac 5GHz 6.9Gbps 800Mbps 下り方向MU-MIMO
(4台)
Wi-Fi 6 802.11ax 2.4GHz/5GHz 9.6Gbps 1Gbps以上 双方向MU-MIMO
(8台)
Wi-Fi 6E 6GHz
Wi-Fi 7 802.11be※ 2.4GHz/5GHz/6GHz 46Gbps 双方向MU-MIMO
(16台)

※ 標準化前のため予定仕様となり、変更となる可能性があります。

5GHz帯無線LANの周波数帯変更について

2007年1月の省令改正により、IEEE 802.11aの利用可能チャネルが追加になりました。
背景として無線LAN機器の普及、欧米各国と異なっていた中心周波数の互換性への対応があります。
この省令改正によって、チャネルの変更および追加が行なわれましたが、W53およびW56と呼ばれるチャネルの周波数帯は気象レーダーなど、より重要な用途でも使用されています。そのため、このチャネルに使用する場合には、APが使用しているW53/W56のチャネルで気象レーダーが動作していることを検知してチャネルを自動的に変更するDFS (Dynamic Frequency Selection) 機能、および自動的に送信する電波の出力を調整する TPC (Transmit Power Control)機能をサポートしている機器が必要です。

2020年現在では、W52/W53/W56対応の無線LANアクセスポイント/クライアントが一般的です。また、5GHz帯の周波数は省令により、屋外での使用が禁止されていますが、W56チャネル帯のみ、例外として屋外での使用が可能です。W56チャネル帯に関しては、2019年7月の省令改正により144chが利用可能チャネルとして追加されました。

6GHz帯の周波数帯について

2022年9月、総務省に6GHz帯の無線LAN利用が承認されたことにより、ライセンス不要で屋内利用が可能になりました。日本では5925MHz~6425MHzの利用が可能で、海外の一部の国では7125MHzまで解放されているところもあります。

6GHz帯のメリット
混雑の緩和

都市部や建物が集中しているエリアでは5GHz帯や2.4GHz帯に接続されるクライアントが多く、チャンネルが混雑し電波干渉が頻繁に発生しています。
6GHz帯を利用するとこうした状況下でも空きチャンネルが多く、電波干渉も回避することができ、快適な無線LAN環境を構築することが可能です。

DFS不要

5GHz帯は気象レーダーなどで使用されているためDFSが必要で、レーダー波を検知すると通信が止まってしまいます。6GHz帯は干渉する通信は少ないため、制御不要で利用することが可能です。

6GHz帯のデメリット

6GHz帯は5GHz帯よりも高周波数帯になるので、直進性が強く遮蔽物に弱い、2.4GHzと比べ遠くまで届かないといったデメリットがあります。

Wi-Fi 6E対応無線クライアントについて

Wi-Fi 6Eに対応した無線クライアントは徐々に増えてきており、2023年下期から2024年にかけて大きく普及してくると予想されます。

無線LANのモード

無線LANでは子機同士の無線通信において、大きく2つのモードが存在します。
アドホックモードとインフラストラクチャモードです。アドホックモードはアクセスポイント(以降AP)と呼ばれる親機(基地局)は存在せず、子機(端末)同士が直接通信するモードです。最近では携帯用ゲーム機同士での通信にも使用されています。

アドホックモード

アドホックモード利用の場合は通信対象となる子機(端末)のWirelessの設定を“アドホックモード”に設定して利用します。
一方、一般的な無線LANの利用モードはインフラストラクチャモードであり、この場合、子機(端末)間の通信は親機(AP)を介して行われます。

インフラストラクチャーモード

インフラストラクチャモードの接続は家庭内LAN、企業向けLANともに利用されています。
これら2つの接続モードのほかに親機(AP)同士で有線LANを無線接続するWDSモードが存在します。このモードは下記のように有線の敷設が困難な隣接ビル間接続や金属などの電波を通さない障害物があるときに迂回して通信する場合などで利用されます。

WDSモード

なお、WDSモードは標準化されておらず、メーカー各社では各機種独自の中継方法が実装されています。そのため、異機種間でのWDS接続はできないケースが多く、注意が必要です。

無線LANのセキュリティ

近年、無線LANはその利便性により、病院、学校、企業などの法人向けにも急速に普及してきています。一方、無線LANのセキュリティには不安があるという声も根強くあり、オフィス等のネットワークへの採用をためらうケースも多いようです。ここでは無線LANに適切なセキュリティ対策を施すことにより、安全なネットワークを構築する方法をご紹介します。

データの暗号化及びアクセス制御

無線LAN機器及び無線LANを含むネットワークが持つセキュリティ機能には大きく「データの暗号化」と「アクセス制御」の二種類があり、それぞれ下記のような方式があります。

無線LANにおけるデータの暗号及びセキュリティ方式
用語 説明 セキュリティ
強度
WEP
Wired Equivalent Privacy
RC4と呼ばれる暗号化アルゴリズムを元にした共有鍵暗号方式で、IEEE 802.11で採用された。秘密鍵には40bitまたは128bitのデータを使用する。
WPA
Wi-Fi Protected Access
Wi-Fi Allianceが2002年に制定したセキュリティシステムで、暗号化と認証の組み合わせ。暗号化プロトコルにはTKIPを使用。エンタープライズ(EAPを利用したID,パスワード認証を使用)、パーソナル(PSK ”Pre Shared Key, 事前共有鍵”による暗号化方式を使用)の2種類がある。
WPA2
Wi-Fi Protected Access2
Wi-Fi Allianceが2004年に制定したセキュリティシステム。AES暗号に対応し、WPAより堅牢なセキュリティ方式。WPAと同様にエンタープライズ及びパーソナルの2種類がある。
WPA3
Wi-Fi Protected Access3
Wi-Fi Allianceが2018年に制定したセキュリティーシステム。「KRACKs」と呼ばれる脆弱性をを無効にするSAE(Simultaneous Authentication of Equals、同等性同時認証)ハンドシェイクによる防護や辞書攻撃・総当たり攻撃からの防護を実現したWPA2よりも強固なセキュリティー方式。WPA、WPA2と同様にエンタープライズ及びパーソナルの2種類がある。
IEEE802.11i IEEEが規定する無線LANにおけるセキュリティに関する規格。WPAは標準化が遅れた802.11iに先行してWi-Fi Allianceが策定した基準であり、その後標準化された802.11iの必須機能をサポートしたWPA2が策定された。
TKIP
Temporal Key Integrity Protocol
パケット毎に暗号鍵を自動生成する暗号化プロトコル
AES
Advanced Encryption Standard
米商務省標準技術局(NIST)によって2001年に米国政府の標準暗号化技術として認定された方式。
CNSA
Commercial National Security Algorithm
米NSA(National Security Agency:国家安全保障局)が定めた暗号スイート。WPA3エンタープライズで採用されている。
アクセス制御の方法
用語 説明 セキュリティ
強度
SSID
Service Set ID(ESSID (Extended SSID)もほぼ同義
無線LANにおけるアクセスポイントの識別子(32文字)、グループ名。
ANY接続拒否機能 SSIDが空白または”any”が設定されているクライアントからの接続要求を拒否する機能
SSID隠蔽機能 SSID隠蔽機能
MACアドレス
フィルタリング機能
送信元MACアドレスによる、アクセスポイントに対するクライアントのアクセスを制限する機能
IEEE 802.1x認証 RADIUSサーバーによるクライアント認証機能
認証・検疫システム ネットワークに設定したセキュリティポリシーにより、クライアントの隔離/治療を行うシステム

無線LANではLANケーブルの代わりに電波を利用してデータを送受信するために、電波の届く範囲であれば、次のようなセキュリティ上の問題が発生する可能性があります。

  • 不正アクセス (情報の流出) – 盗聴、侵入、なりすまし
  • 攻撃、改ざん – ホームページ改ざん、DoS攻撃、ウイルス感染

従って、無線通信エリアだけではなく、ネットワーク全体でセキュリティ対策をする必要があります。ここでは、まずどのような場合に無線LANのセキュリティ上の問題点があるかを説明し、次章で安全な無線LAN環境構築方法について、ご紹介します。

無線LANのセキュリティ上の問題点

次の図は、従来の無線を使用した代表的な企業ネットワークの構成です。この図を使用して従来の無線ネットワークが抱えるセキュリティ上の問題点をご説明します。

SSID

SSIDはユーザー認証の方法として使用されることもありますが、本来セキュリティを目的としたものではなく、無線LAN クライアント機器の接続を容易にするためのものです。よって他の暗号化、認証システムを併用しないと、パケットをキャプチャーするソフトウェアによって容易にSSIDの値が知られ、不正アクセスされる危険性が非常に高くなります。また、無線接続時ビーコン信号以外にSSIDを含むフレームが存在するため、キャプチャーソフトウェアによっては、隠蔽モードでもSSIDを読み取られる可能性があります。

WEP

WEPは無線上のデータを保護するために IEEE 802.11で規定されました。以前よりセキュリティ上の問題が指摘されており※、近年では市販PCを使用して数秒で解読可能なツールも存在しています。2010年5月にWi-Fi AllianceはWEPの段階的な使用中止を宣言しており、2014年からはWi-Fi Certifiedプログラムにおける使用が禁止される予定となっています。

※ WEPが脆弱な理由:
一つの無線アクセスポイントと複数のクライアントで、暗号化用の鍵を共有しており、パスワードが変更されない限り、同一の鍵が使用され続けます。また暗号アルゴリズムも複雑ではないため、短時間で暗号の解読が可能となってしまいます。

WPA

WPAは2002年10月にWi-Fi Allianceが制定したセキュリティシステムで、暗号化プロトコルにTKIP、ユーザー認証にPSK、EAPを利用しています。TKIPはパケット毎に暗号鍵を更新するため、WEPに比べてはるかにセキュリティ強度が高くなっています。しかしながら2008年11月にWPAで使われるTKIPに関して、通信の一部分について暗号解読成功例が報告されており、安全面での考慮が必要になってきています。このため、WEPと同様に、Wi-Fi AllianceではWi-Fi Certifiedプログラムにおいて、2014年以降TKIPの使用を中止する予定となっています。

MACアドレスフィルタリング

特定のMACアドレスを持つ無線クライアントからの接続の許可または禁止を行います。クライアントのMACアドレスを登録するだけで簡単にセキュリティ環境を構築することが可能ですが、無線送受信パケットのMACアドレスが盗み見られた場合、「なりすまし」による不正アクセス被害を受ける可能性があります。

無線LANのセキュリティを向上させるための対策

このように、従来の無線ネットワークで使用されているデータの暗号化やアクセス制御方法はそれぞれ問題を含んでおり、完全なものではありません。どれかひとつだけ使用すれば安全なネットワークにできる、というものではないのです。
現代の企業ネットワークにおいて、無線通信の利便性を保ちつつ、安心・安全なネットワークを構築するためには、現在の最も強力なセキュリティ方式のひとつであるWPA3とアクセス制御のIEEE 802.1X認証、及び認証・検疫システムを組み合わせる手法が考えられます。この方法は、無線エリアの暗号化だけではなく、上位ネットワークに接続されている認証システムにて端末個々の認証、認証鍵の生成、配送も行いますので、不正アクセスには非常に強いシステムです。

WPA2

WPA2は、IEEE 802.11i規格に準拠したセキュリティ方式です。WPA2では、認証とデータ暗号化にAES(Advanced Encryption Standard)アルゴリズムをベースにしたCCMP(Counter Mode with Cipher Block Chaining Message Authentication Code Protocol)が採用されています。AESは暗号化としては非常に強力ですが、CPU負荷が高くなるので、通信速度の維持のためにはAES暗号化のためのハードウェアが実装されていることが重要です。

またWPA2では、事前認証、認証キーの保持を行う方法が規定されているため、ローミング時の再認証が不要となり、ハンドオーバー時間を短縮することが可能です。

※ WPA2は2017年10月に「KRACKs」と呼ばれる脆弱性が発見されましたが、現在では対策済み。

WEP

WEPは無線上のデータを保護するために IEEE 802.11で規定されました。以前よりセキュリティ上の問題が指摘されており※、近年では市販PCを使用して数秒で解読可能なツールも存在しています。2010年5月にWi-Fi AllianceはWEPの段階的な使用中止を宣言しており、2014年からはWi-Fi Certifiedプログラムにおける使用が禁止される予定となっています。

※ WEPが脆弱な理由:
一つの無線アクセスポイントと複数のクライアントで、暗号化用の鍵を共有しており、パスワードが変更されない限り、同一の鍵が使用され続けます。また暗号アルゴリズムも複雑ではないため、短時間で暗号の解読が可能となってしまいます。

WPA3

WPA3は、2018年6月にWi-Fi Allianceが制定したセキュリティシステムで、WPA2の後継規格にあたります。WPA2まで、WPA2パーソナルではPSK(Pre-Shared Key)が使われておりましたが、WPA3パーソナルではSAE(Simultaneous Authentication of Equals)に変更されています。これにより、辞書攻撃・総当たり攻撃やWPA2の脆弱性であった「KRACKs」を防護することが可能となりました。WPA3エンタープライズではWPA2で採用されていたAES(Advanced Encryption Standard)に加え、新たにセキュリティーを強化したCNSA(Commercial National Security Algorithm)Suite準拠の192ビットモードが選択できます。

WPA3を利用するためにはクライアント側がWPA3に対応している必要がありますが、WPAパーソナルの場合はWPA2、WPA3の両方対応しているモードを選択することで、WPA2、WPA3の両方のクライアントが接続できます。WPA3エンタープライズについてはAESを選択することでWPA2のクライアントも接続することができます。尚、WPA3ではMFP有効が必須になるので、クライアント側がこれに対応している必要があります。
※2019年4月に「Dragonblood」という脆弱性がWPA3パーソナルに発見されましたが、現在では対策済み。

AES

アメリカ合衆国の国立標準技術研究所(NIST)が認定した暗号化方式です。暗号化を行なう鍵の長さとして、WEPの40/128bitに対して128/192/256bitとより長い鍵を使用できるようになっていることで、より安全な方式と言えます。但し暗号化のための処理量が増加するため、専用のチップによりハードウェア処理が実装されていることが重要です。

CNSA

アメリカ国家安全保障局(NSA)が定めた暗号スイート。米国NSAも政府内通信に採用しており、WPA2で採用されているAES(Advanced Encryption Standard)よりも高強度の通信暗号化が可能です。

IEEE 802.1X認証

アクセスポイントに接続してきたユーザーをRADIUSサーバーで認証し、アクセスの可否を判断します。プロトコルはEAP(Extensible Authentication Protocol) を使用します。IEEE 802.1x の認証方式には、MD5/PEAP/TTLS/TLS など複数あります。OS やクライアント、アクセスポイントによってはサポートしている認証方式が違う場合があるので使用の際には注意が必要です。

IEEE 802.1Xで使用される認証方式
用語 説明
EAP Extensible Authentication Protocol
PPPを拡張し、複数の認証方式を利用できるようにした規格。RFC2284で規定。
EAP-MD5 デジタル証明書を必要としないため認証の実施が容易に可能。しかしながらセキュリティ面の問題が指摘されていることもあり、近年ではあまり使用されない。
EAP-TTLS 暗号化されたトンネル内で認証するため、セキュリティ的には以下の「EAP-PEAP」と同等。
別途有償のサプリカントソフトウェアが必要。
EAP-PEAP Microsoft、Cisco、RSAが提案する認証方式。
暗号化されたトンネル内で認証する。Microsoft Windows 標準サプリカントで実施が可能。クライアント側の認証はID/パスワードで、サーバー側の認証はサーバー証明書を使用するため、クライアントへの証明書インポートが必要なく、運用が容易。
EAP-TLS クライアント証明書を使用して認証する。
デジタル証明書を使用した相互認証で、セキュリティ的に強固。Microsoft Windows 2000 SP3/SP4及びXP付属のサプリカントで実施が可能。

無線ネットワーク 構築のポイント

現在ではさまざまな無線LANシステムが販売されています。導入する際には必要な要件を定義し、要件に見合ったシステムを選ぶことが重要です。例えば、数名の従業員が参加する無線LANを構築するとき、何十万円もする高価な集中管理システムを導入するのはコストパフォーマンスが悪い、と見ることができます。ケーブルレスでLANに繋がれば良いのか、何十台ものAPを使ったワイヤレスネットワークを構築しなければいけないのか、事前に必要とされる要件を十分に検討し、最適な無線LANシステムを選定してください。

自立型とコントローラー型

無線LAN機器及び無線LANを含むネットワークが持つセキュリティ機能には大きく「データの暗号化」と「アクセス制御」の二種類があり、それぞれ下記のような方式があります。

自律型

APは単体で動作し、各APは連携しません。APの機器単価は一般的に安価な製品が多く、小規模な無線ネットワークを構築する場合には最適です。

コントローラー型

APは「無線LANコントローラー」などと呼ばれる集中管理システムと連携して動作します。コントローラーは複数のAPに対して使用するチャンネルや電波強度など、複数のパラメータを同時に制御し、無線クライアントに最適な無線LAN環境を提供します。APや無線コントローラーの機器単価は高額な場合が多く、大規模な無線ネットワークを構築する場合に適しています。

アライドテレシスでは、高機能APとして「TQシリーズ」を販売しています。「TQシリーズ」はWDSや複数のAP間で特定の設定内容を同期する「APクラスター」などの高度な機能にも対応するほか、無線コントローラー機能を搭載したソフトウェア「Vista Manager EX」からの管理により最大3,000台の「TQシリーズ」を一元管理することもできます。
また、自律型・コントローラー型の両方に対応しており、導入初期で台数が少ない場合は自律型で使用し、その後のエリア拡張で台数が増加し、コントローラー型に移行する際に初期導入分も買い換えることなくそのままコントローラーが管理下で運用することができます。

アライドテレシスの無線LANアクセスポイントと無線LANコントローラーはこちら

電波干渉の回避

無線LANで使用する電波は、チャンネル(ch)と呼ぶ周波数帯に分割されています。近年、主に使用されるIEEE 802.11b/gでは2.4GHz帯を5MHz間隔で13個に分割し、1~13chとして使用されますが、同じチャンネルの電波同士がぶつかると、通信速度が低下するなど、問題となる場合があります。そのため、IEEE 802.11b/gの場合は各APが使用するchを1ch、6ch、11chのように周波数が重なり合わないように選んで無線LANを構築する必要があります。

このような電波干渉による影響を回避するためには、無線LANを導入する際に設置場所の環境を事前に調査し、電波干渉が発生しないように設置場所や使用するchを慎重に設定する必要があります。このような事前調査は「無線LANサイトサーベイ」と呼ばれます。

アライドテレシスの無線LANサーベイサービス

IEEE 802.11n/ac無線LANの構築

IEEE 802.11nでは、様々な新技術が導入され、従来規格と比較して大幅な高速化が図られていますが、チャネルボンディングと呼ばれる技術は無線通信に使用する隣り合う2つのチャネルを同時に使用することで、より広帯域な通信を可能とする技術です。
この技術を使用する場合、隣り合う2つのチャネルを同時に使用しますので、電波干渉の発生を回避しつつ使用できるチャネルは2.4GHz帯の場合、理論上の最大でも2チャネルだけとなり、オフィス全体をカバーするような面単位の無線LAN構築のためにはチャネルが不足します。

また、一般家庭はもちろん、オフィスにおいても無線LANが普及しており、特に2.4GHz帯は使用頻度が高いため、自社オフィスで使用していなくても周囲の家庭やオフィスですでに使用されているために電波干渉が発生するケース、また、電子レンジやコードレスフォンも2.4GHz帯を使用しているため、電波干渉の発生源となるケースが多くなっています。
このような問題を回避し、且つチャネルボンディングを使用する高速通信を実現するためには5GHz周波数帯を使用する手法があげあられます。5GHz帯は2.4Ghz帯のように各チャネルが使用する周波数が重複しておらず、またチャネル数も全体で19chと多く規定されています。この5GHz帯を活用することで、電波干渉の発生を回避しつつ、面単位で高速な無線LANを構築することが可能となります。
また、IEEE802.11acではチャネルボンディングで4つ(オプションで最大8つ)のチャネルを同時利用が規定されており、11nよりもさらに高速な通信を提供できますが、複数のAPでエリアをカバーする場合や外来波が多く発生している環境ではチャネル設計がより難しくなります。

ただし、前述のとおり、5GHz帯のW53/W56ではDFS機能によって気象レーダーのようなシステムが同一周波数帯を使用していることを検知した場合、自動的にチャネルを変更する必要があり、この場合は最大で2分間、電波が使用できなくなるため、無線LAN通信が切断される可能性があります。

PoE (Power over Ethernet)

電波は高い位置から送信されるとより遠くまで届きやすくなりますので、APはブラケットを使用して天井や壁の高い位置に設置されるケースが多くなります。一般的にコンセントは壁の低い位置に設置されているため、APに電気を供給するために施工者は頭を悩ますことになります。このような問題を解消するためにはPoEによる給電が効果的です。PoEはIEEE 802.3af(最大15.4W給電)やIEEE 802.3at(PoE Plus, 最大30W給電)といった標準規格で規定されており、対応する給電機器(Power Sourcing Equipment: PSE)から受電機器(Powered Device : PD)が動作するために必要な電気をLANケーブル(UTPケーブル)経由で供給することができます。また、UTPケーブルは最大100mの距離を接続できることが規格上決められていますので、PoE対応スイッチから100mの範囲内でAPの設置場所を自由に決めることができるようになります。このようにPoEを併用すると、電源に悩まされることなく自由なレイアウトでAPを設置し、ワイヤレスオフィスを実現することができます。

アライドテレシスのAPは全てPoE受電に対応しています。合わせて多数のPoE給電対応スイッチをラインナップしてお客様のご要望にこたえるソリューションをご提供します。

PoEスイッチ

PoEスイッチの最大許容台数

MultiSSID

APはLANケーブルを通る電気信号を電波に変換する機能を提供する機械であり、一般的なAPではOSI第二層(レイヤー2)の機能には対応していません。そのため、VLANでネットワークを分割している場合、それぞれのVLANごとにAPを設置しなくてはなりません。

アライドテレシスのAPは、Multi SSIDに対応しており、SSID毎に暗号化方式やビーコンの制御など、きめ細かい設定を行なうことができます。さらに、各SSIDとタグVLANを対応づけることにより、1台のAPで複数のVLANを収容することができ、AP台数を削減しつつ、有線ネットワークと同じ環境を無線上で実現できます。この機能を「VWN(Virtual Wireless Network)」または「VAP(Virtual Access Point)」と呼んでいます。

この機能を使用すると、1台のAPを病院の患者様と職員で共有しつつ、患者様に対してはインターネット接続サービスのみを提供し、職員には電子カルテなど院内リソースへのアクセスを提供する、というような使い方、あるいはオフィスの会議室や応接室でゲストと社員で1台のAPを共有、社員には通常通りの社内リソースへアクセスさせつつ、ゲストにインターネットアクセスサービスを提供し、効率的な会議環境を実現する、といった効果が期待できます。

上段で説明したVAPを活用し、通信の安定性・安全性を強化する機能として以下があります。

VAP毎の帯域保証(QoS)

VAP毎に帯域の割合(%)を設定し、その割合に応じて通信帯域を保証することが可能です。 通信が混みあっている環境でも重要な通信を行っているVAPの帯域が圧迫されず、安定して通信することができます。

VAP毎のアクセス制限(クライアントアイソレーション)

VAP間での端末同士の通信の許可・拒否を設定することが可能です。
これにより通信の安全性を高めることが可能です。

無線クライアントの位置検出

無線LANアクセスポイントを活用してクライアントの位置検知を行うことが可能です。
検知したクライアントの位置情報は、資産管理や機器の取り違い防止、動線管理やマーケティングなど様々なことに活用できます。

従来技術
セルの三点測位

複数の無線LANアクセスポイントを設置して、それぞれ電波の強さや到達時間の違いなどから三点測位を行う事ことで位置を割り出す方法です。
専用設備を用意せず手軽に導入できる反面、データを取得できるタイミングが異なるため精度が低いことや、精度を向上させるために高密度に無線LANアクセスポイントを設置する必要がありチャンネル設計が難しいといった問題があります。

専用機器による測位(赤外線など)

無線LANアクセスポイントの三点測位より精度は高いものの必要機器が多く、システムの導入コストが高いといったデメリットがあります。

BLE(Bluetooth Low Energy)

BLEを活用し、ビーコンの信号の強度や三点測位によって位置を検出します。
位置検知できる距離が短く、導入する機器が多くコストが高いことや、ビーコンの電池交換・充電が運用上の問題になることがあります。

アライドテレシス独自技術

従来の技術の問題を解消するためにAWC-CBを活用した位置検知ソリューションを提供しています。
AWC-CBのシングルチャンネル環境での運用が可能なため、同じタイミングでデータを取得できることや電波干渉の懸念がなく無線LANアクセスポイントを高密度に配置できることから位置検知の高精度化を実現しました。 専用の機器や設備も不要で、低コストでの導入が可能です。

関連情報

まずはお気軽にご連絡ください !お問い合わせはこちら

Language