WEBVTT

00:00.540 --> 00:02.490
インストラクター：このレッスンでは､

00:02.490 --> 00:06.900
ワイヤレスネットワークを脅威から守る方法についてお話します｡

00:06.900 --> 00:09.930
ワイヤレス・ネットワークは私たちに多くの利便性を提供してくれるが､

00:09.930 --> 00:13.050
有線ネットワークとは異なり､ ワイヤレス信号の範囲内にいる限り､

00:13.050 --> 00:21.780
スマートフォンやタブレット､ ノートパソコンで接続することができるため､ セキュリティ上のリスクも大きい｡

00:21.780 --> 00:26.250
ネットワークを保護するためには､ デバイスが何に接続しているのかを確認し､

00:26.250 --> 00:31.470
接続後は送信されるデータが暗号化されていることを確認する必要がある｡

00:31.470 --> 00:33.420
今､ 私たちが最初にしたいことは､ ネットワークのセキュリティを高めるために､

00:33.420 --> 00:38.280
私たちが送信しているものはすべて非公開であることを確認することです｡

00:38.280 --> 00:39.360
その方法のひとつが､

00:39.360 --> 00:41.700
事前共有キーと呼ばれるものだ｡

00:41.700 --> 00:49.590
さて､ 事前共有鍵とは､ アクセスポイントとラップトップやスマートフォンのクライアントの両方のエンドポイントが同じ暗号鍵を持つことである｡

00:49.590 --> 00:52.230
一方の側でパスワードを使い､ もう一方でも同じパスワードを使い､

00:52.230 --> 00:58.200
それらが一致すれば､ 同じ事前共有キーを使って暗号化トンネルを作成していることになる｡

00:58.200 --> 00:59.460
しかし､ 事前共有キーを使う場合､

00:59.460 --> 01:01.350
いくつかの問題がある｡

01:01.350 --> 01:04.710
まず､ スケーラビリティが大きな問題になる｡ 

01:04.710 --> 01:09.690
例えば､ あるオフィスに50人のユーザーがいて､ 全員がワイヤレス・ネットワークに接続しており､

01:09.690 --> 01:12.150
全員が同じ事前共有キーを使っているとしよう｡

01:12.150 --> 01:15.990
しかし､ 明日私が職場に行き､ 従業員の一人を解雇したとしよう｡

01:15.990 --> 01:19.650
さて､ その従業員は事前共有キーを知っている｡

01:19.650 --> 01:21.480
私が事前共有キーを変更しなければならないので､

01:21.480 --> 01:23.850
他の50人の従業員全員に新しいキーが何であるかを伝え､

01:23.850 --> 01:28.950
全員がそれを変更できるようにする必要がある｡

01:28.950 --> 01:31.710
家の玄関の鍵を変えるようなものだ｡ 

01:31.710 --> 01:35.400
家族が10人いれば､ そのキーのコピーを10部作らなければならない｡

01:35.400 --> 01:37.410
すべての顧客が同じパスワードと同じキーを使っているため､

01:37.410 --> 01:42.120
私たちが変更したり､ 適切なキー管理をしたりするのは本当に難しくなります｡

01:42.120 --> 01:46.590
これが､ 大規模な環境で事前共有キーを使わない大きな理由のひとつだ｡

01:46.590 --> 01:49.350
しかし､ 小規模オフィスや自宅のようなホームオフィス環境､

01:49.350 --> 01:59.070
あるいは従業員10人以下の小規模オフィスであれば､ 事前共有キーを使用することができます｡

01:59.070 --> 02:00.720
さて､ ワイヤレス・セキュリティーについて考えてみると､

02:00.720 --> 02:04.110
これには主に3つの方法がある｡

02:04.110 --> 02:08.250
最初はWEPで､ 次にWPAとWPA2がある｡ 

02:08.250 --> 02:09.570
WEPとは､ Wired Equivalent

02:09.570 --> 02:11.850
Privacyのことです｡

02:11.850 --> 02:18.840
これは､ 無線LANの最初のバージョンである802で発明されたオリジナルのワイヤレスセキュリティです｡

02:18.840 --> 02:18.840
11.

02:18.840 --> 02:21.600
現在では､ 有線ネットワークと同程度に安全だと主張しているため､

02:21.600 --> 02:29.550
「有線と同等のプライバシー」と呼ばれている｡ WEPは非常に安全性に欠けるプロトコルである｡

02:29.550 --> 02:32.070
さて､ WEPの仕組みは､ 事前共有キーを使うというものだ｡ 

02:32.070 --> 02:35.250
誰もが同じ鍵を持っており､ それは固定された40ビットの鍵で､

02:35.250 --> 02:41.370
非常に小さく､ 強力なコンピューターを使ってブルートフォース（総当たり）または推測するのが簡単です｡

02:41.370 --> 02:44.130
WEPをより安全なものにするために､

02:44.130 --> 02:54.628
彼らはキーを40ビットから64ビットに､ そして128ビットにアップグレードした｡

02:54.628 --> 02:59.850
さて､ WEPの仕組みは､ 24ビットの初期化ベクトルを使用します｡

02:59.850 --> 03:05.400
これは24個の1と0を並べたもので､ この初期化ベクトルと呼ばれます｡

03:05.400 --> 03:08.040
これは平文で送信され､ これらの初期化ベクトルを十分に捕捉すれば､

03:08.040 --> 03:15.750
実際に暗号化キーをクラックし､ WEPのパスワードに使用した事前共有キーを逆推測することができる｡

03:15.750 --> 03:21.642
実際､ Aircrack NGを使えば､ ほとんどの最新のノートパソコンで2〜3分程度でこの作業ができる｡

03:21.642 --> 03:24.990
さて､ 次に話したいのはWPAだ｡ 

03:24.990 --> 03:28.020
WPA（Wifi Protected Access）は､

03:28.020 --> 03:33.150
この24ビットの初期化ベクトルの弱点からWEPに取って代わられた｡

03:33.150 --> 03:35.850
これを克服するために､ 彼らはTKIP（Temporal Key Integrity

03:35.850 --> 03:37.920
Protocol）として知られるものを導入した｡

03:37.920 --> 03:44.790
現在TKIPは､ 24ビットの初期化ベクトルを48ビット長の新しいベクトルに置き換えている｡

03:44.790 --> 03:50.850
これによって強度は2倍になったが､ それでも現代のコンピューティングではかなり弱いと考えられている｡

03:50.850 --> 03:53.280
もうひとつは､ RC4（Rivest

03:53.280 --> 04:00.870
Cipher 4）と呼ばれる新しい暗号化タイプを追加したことだ｡

04:00.870 --> 04:03.630
WPAはまた､ デバイスに完全性を持たせ､ 誰も中間者攻撃（man

04:03.630 --> 04:06.690
in middle attack）を行って情報を変更できないようにすることで､

04:06.690 --> 04:09.090
それを実現した｡

04:09.090 --> 04:11.820
そのために､ 彼らはMIC（メッセージ・インテグリティ・チェック）と呼ばれるものを使用した｡

04:11.820 --> 04:14.760
これは､ 送信前にデータをハッシュ化するもので､ そうすることで､

04:14.760 --> 04:21.300
ネットワークを通過する際に､ 転送中にデータが変更されていないことを確認することができる｡

04:21.300 --> 04:26.460
さて､ WPAもこの事前共有キーに欠陥があり､ 新しいキーを非常に素早く送信できることに気づいたため､

04:26.460 --> 04:30.990
WPA内部にエンタープライズ・モードというものを追加した｡

04:30.990 --> 04:34.290
エンタープライズ・モードでは､ 鍵を交換する前にユーザー認証を行い､

04:34.290 --> 04:40.500
クライアントとアクセス・ポイントの間で一時的に新しい鍵を作成することができる｡

04:40.500 --> 04:43.680
これは､ 事前共有キーのスケーラビリティの問題を解決しようとしたが､

04:43.680 --> 04:46.740
結局のところ､ WPAは今日の基準ではまだ弱いと考えられており､

04:46.740 --> 04:49.650
WPA2またはWifi Protected Access

04:49.650 --> 04:54.300
2として知られているより近代的なバージョンに置き換えられている｡

04:54.300 --> 04:59.160
現在では､ WPA2が現在の標準であり､ 802.PSAの一部として作成されたものである｡

04:59.160 --> 04:59.160
11i標準｡ 

04:59.160 --> 05:02.460
最初に実装されたのはワイヤレスGで､

05:02.460 --> 05:04.770
その後ワイヤレスNとワイヤレスACになった｡

05:04.770 --> 05:09.390
より強力な認証と､ より強力な暗号化と完全性チェックが必要となる｡

05:09.390 --> 05:11.970
完全性のチェックはCCMPを使って行われる｡ 

05:11.970 --> 05:15.300
さて､ CCMPとは､ Counter Mode with Cipher Blockchaining

05:15.300 --> 05:17.550
Message Authentication Code

05:17.550 --> 05:22.817
Protocolの略で､ 試験のために暗記する必要もなければ､ その意味もわからない｡

05:22.817 --> 05:28.890
覚えておく必要があるのは､ CCMPを見るたびに､ これがWPA2セキュリティの一部であることを考えるべきだということだ｡

05:28.890 --> 05:33.210
2つ目は､ RC4からVES Cipher 4という古い暗号化メカニズムを､

05:33.210 --> 05:34.890
Advanced Encryption

05:34.890 --> 05:40.350
Standard（AES）という新しい暗号化メカニズムに置き換えたことだ｡

05:40.350 --> 05:47.047
現在､ AESは128ビットのキーを使用しており､ 新しいモデルの中には256ビット以上のキーを使用できるものもある｡

05:47.047 --> 05:52.995
これにより､ このワイヤレスネットワークを経由するデータのセキュリティと機密性がさらに高まります｡

05:52.995 --> 05:58.410
この録画の時点では､ AESはまだ解読されていないし､

05:58.410 --> 06:05.400
WPA2もアルゴリズム自体は解読されていない｡

06:05.400 --> 06:07.950
現在､ これらのネットワークをクラックできる唯一の方法はパスワード攻撃であり､

06:07.950 --> 06:12.720
ブルートフォースアタックやディクショナリーアタックを使って可能な限りのオプションを推測し､

06:12.720 --> 06:16.500
パスワードを推測しようとしている｡

06:16.500 --> 06:20.700
ですから､ ネットワークを保護したいのであれば､ しっかりとした､ 長くて強力なパスワードを使うようにしてください｡

06:20.700 --> 06:27.390
WPA2はまた､ 使用するネットワークに応じて2つの異なるモードをサポートしている｡

06:27.390 --> 06:29.370
家庭や小規模なオフィス環境で使用する場合は､

06:29.370 --> 06:33.900
全員が同じパスワードを持つ事前共有キーを使用することになる｡

06:33.900 --> 06:35.520
これはパーソナルモードと呼ばれる｡ 

06:35.520 --> 06:40.260
もう1つの方法は､ 大規模な環境でエンタープライズ・モードを使用することで､

06:40.260 --> 06:52.170
各ユーザーに固有のユーザー名とパスワードを与え､ ネイティブのWPA2を使用して中央認証サーバーを使用するか､ 801にオフロードすることだ｡

06:52.170 --> 06:52.170
1x認証サーバー｡ 

06:52.170 --> 06:56.360
試験に向けて､ ワイヤレス・セキュリティについて4つのことを覚えておいてほしい｡

06:56.360 --> 07:00.120
この表にある4つのことを覚えれば､ 素晴らしい結果を残せるだろう｡

07:00.120 --> 07:02.340
まず､ ワイヤレスネットワークに関してオープンという言葉を目にするときはいつでも､

07:02.340 --> 07:06.270
セキュリティも保護もパスワードもないことを意味する｡

07:06.270 --> 07:11.820
WEPと聞いたら､ 初期化ベクターを連想してほしい｡

07:11.820 --> 07:15.990
これがWEPの欠点であり､ テストではこの点について聞くことになる｡

07:15.990 --> 07:17.880
WEPは弱く､ WEPは悪い｡ 

07:17.880 --> 07:19.235
WEPは初期化ベクターを使用する｡ 

07:19.235 --> 07:22.140
WPAを見たら､ TKIPとRC4を思い浮かべてほしい｡

07:22.140 --> 07:23.995
TKIPはすべて初期化ベクターを置き換えるために使われ､

07:23.995 --> 07:29.520
RC4はその暗号化形式だったからだ｡

07:29.520 --> 07:31.680
繰り返すが､ WPAは弱いと考えられている｡ 

07:31.680 --> 07:37.920
次に､ WPA2を見たら､ CCMPとAESの頭文字を思い浮かべるはずだ｡

07:37.920 --> 07:43.470
CCMPはインテグリティ・プロトコルであり､ AESは我々が使用している暗号化メカニズムである｡

07:43.470 --> 07:48.720
これは､ 試験当日のセキュリティのためのワイヤレス質問に答えるための鍵です｡

07:48.720 --> 07:50.760
次に､ MACアドレス・フィルタリングについて少し説明しよう｡ 

07:50.760 --> 07:53.760
アクセスポイントにACLを設定することで､

07:53.760 --> 08:01.020
これらのアドレスを見て､ 特定のMACアドレスのネットワークへの接続を許可または拒否することができる｡

08:01.020 --> 08:02.700
例えば､ 私のiPhoneがネットワークに接続しようとしても､

08:02.700 --> 08:05.340
認証されていなかったり､ 拒否リストに載っていたりすると､

08:05.340 --> 08:09.720
ハンドシェイクができず､ 通信ができない｡

08:09.720 --> 08:11.460
さて､ Macフィルタリングの問題は､ MACアドレスを変更したり､

08:11.460 --> 08:15.150
なりすましたりすることが実に簡単だという事実にある｡

08:15.150 --> 08:21.960
知識のあるユーザーなら､ 自由に利用できるツールを使ってMacのアドレスを本当に素早く変更することができる｡

08:21.960 --> 08:26.100
これで止められる人もいるだろうが､ 確実ではないし､ すべての人を止められるわけでもない｡

08:26.100 --> 08:29.190
Macのアドレスを変更したい場合､ Windows用のMac Address

08:29.190 --> 08:30.660
Changer､ OSXおよびMACシステム用のMac

08:30.660 --> 08:33.420
Daddy X､ またはLinux用のMac changerのようなツールを使用すると､

08:33.420 --> 08:37.890
これらはすべて本当に使いやすいツールです｡

08:37.890 --> 08:42.411
Macのアドレスは､ あなたにとって大きなプロテクションの源にはならないだろうが､

08:42.411 --> 08:48.840
試験によれば､ ディフェンスとデプス戦略の一部を形成するために使用できるプロテクションである｡

08:48.840 --> 08:50.940
だから､ 現実の世界ではマックのフィルタリングをあまり気にする必要はないが､

08:50.940 --> 08:55.230
試験ではセキュリティ対策として有効だと考えられている｡

08:55.230 --> 08:57.450
次に､ SSIDブロードキャストを無効にすることで､

08:57.450 --> 09:02.550
ネットワークを保護することができます｡

09:02.550 --> 09:04.410
さて､ 試験によれば､ MACフィルタリングと同じように､

09:04.410 --> 09:06.930
これはやっておいたほうがいいことだという｡

09:06.930 --> 09:10.260
しかし現実の世界では､ 隠されたSSIDを見つけるのにそれほど時間はかからない｡

09:10.260 --> 09:13.200
さて､ SSIDとはいったい何だろう？

09:13.200 --> 09:15.390
これはサーバー・セット識別子の略で､

09:15.390 --> 09:17.850
ワイヤレス・ネットワークの実際の名称だ｡

09:17.850 --> 09:20.520
例えば､ スターバックスに行けば､ "Starbucks

09:20.520 --> 09:24.390
Guest "という名前のサーバーがあり､ 私の家に行けば､

09:24.390 --> 09:29.160
"Dion "という名前のサーバーがある｡

09:29.160 --> 09:29.160
そして､

09:29.160 --> 09:31.920
ネットワークを検索すると､ 自分の周りにある名前のリストがすべて表示されますよね？

09:31.920 --> 09:33.120
サーバーセットIDのブロードキャストをオフにすれば､

09:33.120 --> 09:38.670
ブロードキャストされなくなり､ 利用可能なネットワークに表示されなくなります｡

09:38.670 --> 09:42.630
こうすることで､ ユーザーはネットワークに接続するために手動で名前を入力しなければならないので､

09:42.630 --> 09:44.670
実際にそこにあることを知る必要がある｡

09:44.670 --> 09:46.350
さて､ これの問題点は､ 無線侵入技術を使えば､ これらを見つけるのは本当に簡単で､

09:46.350 --> 09:49.920
あなたはまだそれらに接続することができるということだ｡

09:49.920 --> 09:52.680
ブロードキャストを無効にするだけなら､

09:52.680 --> 09:55.080
あまり安全とは言えない｡

09:55.080 --> 09:58.740
しかし､ MACフィルタリングや長く強力なパスワードの設定と組み合わせれば､

09:58.740 --> 10:03.240
セキュリティの層が厚くなり､ より良いセキュリティ態勢を築くことができる｡