WIPSでWi-Fiのリスクを撲滅Wi-Fiのセキュリティ対策で欠かせないのが、不正侵入の検知・防御とアクセス認証の2つだ。

目に見えない電波は、サイバー攻撃者にとって格好の狙い目になる。攻撃手法としては、APにアクセスして侵入を図る“正攻法”のほか、攻撃者や社員が勝手にLANに取り付けた「不正AP」が侵入口になる場合もある。

正規のAPのSSIDやMACアドレスを詐称する「おとりAP」も厄介だ。それと気づかずに社員が接続してしまうと、マルウェアを仕込んだWebサイトに誘導されたりする。また、APを介さず端末同士で直接通信するアドホック接続を使って、内部不正者が管理者に気づかれずにデータを抜き出す恐れもある。

こうした様々な脅威を監視して、不正侵入・不正利用を防御してくれるのが「ワイヤレス侵入防御システム」（Wireless IPS：WIPS）だ。従来はかなり高価なシステムだったこともあり、ユーザーはまだ少ないが、最近では中堅中小企業向けの低価格製品も出てきている。

WIPSは図表のように、Wi-Fiのリスク要因を「WIPSセンサー」が監視する仕組みだ。

図表　企業Wi-Fiの脅威とWIPSの検知・防御機能［画像をクリックで拡大］

WIPSセンサーは、通常のWi-Fi電波とは異なるWIPSスキャン用の専用電波を発信して、未認証デバイスからのアクセスや不正AP／おとりAP、アドホック接続、APに対するDoS攻撃等を監視し、検知すると管理者に通知する。管理者は確認後に、不正な通信を遮断することが可能だ。設定によっては、検知後に自動的に通信遮断することもできる。

NECPFのNA1000シリーズはこのWIPSを搭載しており、通常のAPが6台、WIPSセンサー4台およびWIPSサーバーの構成で、約90万円から購入できるという。

また、ウォッチガードもAP420にWIPS機能を搭載。こちらは、WatchGuard Wi-Fi Cloudと組み合わせて、WIPSサーバーを導入することなくクラウド型でWIPSが利用できる。なお、AP420は、通常のクライアント向け通信とWIPSスキャンの機能を1台で兼用できるため、機器の設置台数を減らせるのも大きなメリットだ。