英エンジニア：「企業の上層部は、無線ネットワークの危険性をなかなか理解できない」

　企業内でのワイヤレスネットワークの急増で、IT管理者は適切なセキュリティ対策を実施しなくてはならなくなっている。だが、上司を説得し予算を認めさせようとすると厄介なことになるかもしれない。

　あるワイヤレスセキュリティ製品の話では、部外者の侵入からWi-Fiネットワークを守るための投資を求める企業のIT部門のスタッフは、その投資が有用なものであると上司を説得するにあたって、困難に直面しているという。

　11月20日（現地時間）に英国ロンドンで行われた展示会、Enterprise Wireless Technologyにおいて、Red-MのカスタマーエンジニアリングマネジャーSteve Woolfは、最近の無線LANブームのなかで浮き彫りになったセキュリティの問題にもっと目を向けるよう、参加者たちを促した。

　企業のなかには積極的に無線LANを構築しているところもあるが、いっぽうでは気付かぬうちにそれが浸透していたというところもあると、Woolfは説明した。つまり、米IntelのCentrinoワイヤレスチップセットやWindows XPなど、無線LANを利用しやすくするよう設計された製品が登場したことで、新しいノートPCを与えられた従業員が、標準でワイヤレスネットワークを使えるようになっている確率が高いということだ。

　Wi-Fi製品が安価に入手可能になったことで、ITマネジャーは自分が社内に設置したアクセスポイントだけが監視対象とは限らないということに不安を抱いている。ルールを守らない社員が802.11bのアクセスポイントを勝手に買ってきて、自分のデスクトップPCと接続してしまうということもあり得るからだ。

　Woolfは、確固としたワイヤレスセキュリティポリシーを作成・導入することで、この問題に取り組む必要があると述べる。しかし、そのために役員レベルでの承認を得るのは難しいという場合もあり得る。

　「企業の上層部の人たちは、概してITとビジネスの関連性について限られた理解しか持ち合わせていないことが多い。彼らはハイテクシステムの、ユーザーであって設計者ではない。そのため、投資対効率とセキュリティ面のリスクを結びつけて考えることができない」とWoolfは述べ、強固なワイヤレスセキュリティがもたらす利益がコストを上回るということを経営陣に納得させるのは困難だと、ITマネージャがそう思うこともあるかもしれないと語った。

　こうした追加投資が必要なのは、Wi-Fiは元々安全なものではないためだ。つまり、Wi-Fiに使われているWEP（Wired Equivalent Insecure）と呼ばれる暗号化技術標準は、過去にクラックされたことがあり、セキュリティ専門家によると、WEPでしか防御していないネットワークの場合、やる気のある攻撃者ならそれ程時間をかけずに侵入できてしまうという。

　さらに悪いことに、Wi-Fi製品は通常、WEP機能がオフにされたまま販売されている。もしユーザーがWEP機能をオンにしないままWi-Fi製品を使うことがあれば、技術にそれほど明るくない者であっても、たやすくネットワークに侵入できてしまう。