想像してみてください。あなたはカフェでノートパソコンとラテを片手に、新しい営業案件と四半期の財務予測を確認する準備をしています。まず、店の管理者が提供している無料Wi-Fiに接続します。次に、カフェ全体に見てもらえるようにノートパソコンをプロジェクターに接続し、最後に他の客に機密事項である製品仕様書の印刷物を配り、一緒に確認できるようにします。
馬鹿げているように聞こえるかもしれないが、適切な予防措置を講じずに公共の Wi-Fi を使用すると、コーヒーを飲む仲間に会社の機密情報を提供するよう頼んでいるのと同じことになる。
オープンWi-Fiではプライバシーは確保されない
今日では、ほとんどのテクノロジーユーザーは、自宅のワイヤレスルーターを安全に保護する方法(そしてその理由)を知っています。Windows 7とVistaでは、暗号化されていないワイヤレスネットワークに接続しようとすると、警告のダイアログボックスが表示されるようになりました。
しかし、コーヒー ショップ、空港のラウンジ、図書館などでは、人々はためらうことなく接続することがよくあります。野球のスコアやフライト状況を確認するために暗号化されていない接続を使用することは許容されるかもしれませんが、電子メールを読んだり、ログインが必要な Web アクティビティを実行したりするのは、人混みの真ん中でスピーカーフォンを使用するようなものです。
では、なぜすべての企業がWi-Fiネットワークを暗号化しないのでしょうか?その答えは、IEEE 802.11設計仕様の複雑な鍵配布システムにあります。トラフィックを暗号化するには、ネットワーク所有者または管理者が「ネットワークキー」とも呼ばれるパスワードを選択する必要があります。この仕組みでは、ネットワークごとに1つのパスワードが必要であり、所有者が安全性の低い旧式のWEPを選択した場合でも、より安全なWPAまたはWPA2を選択した場合でも、すべてのユーザーがそのパスワードを共有する必要があります。
自宅では、一度設定して家族にパスワードを伝えるだけで、プールサイドのラウンジチェアで安心してネットサーフィンできます。一方、コーヒーショップでは、バリスタがお客様一人ひとりにパスワード(または26文字の16進数WEPキー)を伝え、場合によっては接続のトラブルシューティングまで行う必要があるでしょう。これは、コーヒーを飲む人にとっては決してやりたくない作業です。そのような状況では、パスワードを空白にしておくのが何よりも便利です。
ネットワークが暗号化されていても、完全に安全というわけではありません。コンピュータがパスワードを知ったとしても、あなたの通信はネットワークに接続していない人からのみ安全になります。カフェにいる他の客は皆、同じパスワードを使用しているため、あなたの通信内容を見ることができます。
あなたの個人的なビジネスは競合他社のビジネスです
でも、自分のデータは誰かに覗き見されるほど重要ではないと思っている場合はどうでしょうか?もしかしたら、ウェブサイトを閲覧しているだけで、メールシステムやパスワードが必要なウェブアプリケーションにログインしていないのかもしれません。そうであれば、安全なはずですよね?必ずしもそうとは限りません。
業界の展示会から帰る途中、空港のWi-Fiを使っているところを想像してみてください。何百通ものメールをチェックする代わりに(そんなことはまずあり得ませんよね?)、競合他社のウェブサイトを閲覧してアイデアを探すことにします。あるいは、買収候補となる可能性のある企業をリサーチするかもしれません。
しかし、バックグラウンドではメールクライアントがインターネット接続を検知し、メールのダウンロードを開始します。本社にいる同僚は、あなたのインスタントメッセンジャーのステータスが「オンライン」に変わったのを見て、慌てた様子であなたに連絡します。「工場で大きな問題が発生しています。リコールの可能性がございます。ボブに至急連絡してください!」
ワイヤレスパケットアナライザーソフトウェアさえあれば、同じ席に座っている会議参加者は、あなたが訪問したウェブサイトや(おそらく暗号化されていない)インスタントメッセージだけに基づいて、競合他社の情報を集めることができるかもしれません。採用担当者から送られてきた、あなたが転職を希望していることを示す個人的なメールや、パートナーとの関係に問題を抱えていることを綴ったメモなど、情報源は言うまでもありません。つまり、「相手」はあなたよりも先にあなたのメッセージを読んでいるのです。しかも、あなたは何もしていないのです。
ウェブメールにはSSLを使用する
まず、メールのスヌープ対策として、セッション全体を通してHTTPSを使用するWebメールシステムを使用してください。ほぼすべてのWebメールシステムは、ログイン時にHTTPSを使用するため、パスワードは安全に送信されます。ただし、認証後は、サーバーの計算負荷を軽減し、広告の配信を容易にするため、通常はHTTPに戻ります。
つまり、同じ無線ネットワーク(暗号化されていないネットワークでも、共有パスワードを使用しているネットワークでも)に接続しているすべての人が、あなたのメールの内容を読むことができるということです。場合によっては、セッションCookieを盗まれ、パスワードなしでWebメールセッションにログインされる可能性もあります。(「ログアウト」リンクをクリックするまでは。あなたは毎回ログアウトしていますよね?)
非常に注目すべき例外が2つあります。Gmailと企業のメールシステム(Outlook Web Accessなど)です。今年初め、Gmailはログイン時のみHTTPSを使用するという従来の方法から、Webメールセッション全体でHTTPSを使用するように切り替えました。
Google Appsユーザーは以前、この機能をオプトインできましたが、現在はデフォルトで有効になり、オプトアウト(セキュリティを気にする必要がない場合)も可能になりました。この変更と、Googleの新しい不審なログイン検出アルゴリズムを組み合わせることで、Gmailは無料ウェブメールプロバイダーの中でも際立った存在となっています。AOL、Hotmail、Yahoo!アカウントから乗り換える理由を探していた方は、まさにこれです。
会社のWebメールシステムも、ほとんどのシステムでHTTPSがデフォルト設定になっているため、常にHTTPSで保護されている可能性が高いでしょう。しかし、仕事でHTTPSのWebメールではなく、ローカルソフトウェア(Outlook、Thunderbird、Mac OS Xのメール)を使ってメッセージをチェックしている場合は、暗号化が使用されている場合と使用されていない場合があります。
有料ホットスポット:安全性は含まれていない
この記事をリサーチしているうちに、旅行者やコーヒー愛好家の間でよくある誤解が見つかりました。それは、時間単位または月額のサブスクリプション料金が必要な商用ホットスポット (AT&T、Boingo、GoGo、T-Mobile) は、料金とパスワードが必要なので、無料のホットスポットよりも安全であるという考えです。
実際、これらのホットスポットはほぼ常に暗号化されておらず、「キャプティブWebポータル」と呼ばれる仕組みを採用しています。これは、支払い方法(または加入者パスワード)を入力するまでインターネットへのアクセスをブロックする仕組みです。この「ゲートウェイ」Webポータルは通常、HTTPS経由で配信されます(クレジットカード情報やパスワードを保護するため)。しかし、認証が完了すると、ワイヤレスネットワーク上のすべてのトラフィックは暗号化されません。
結果として、月額10ドルの料金でアクセスは得られますが、セキュリティは確保されません。実際、無線周波数伝送の性質上、たとえ加入者でなくても、同じSSIDの無線ネットワークに接続するだけで、あなたが送信する暗号化されていないトラフィックを他人が閲覧できるのです。
つまり、外部の人間は、あなたがアクセスする通常のHTTPウェブサイト、アクセスする暗号化されていないPOP3メール、そしてあなたが行うFTP転送を簡単に監視・捕捉できるということです。有能なハッカーなら、無線LANカードを改造してあなたの無線LANカードのIDを複製し、あなたの信号に便乗して商用ホットスポット経由で自由にアクセスすることさえできるのです。
VPNを使用する
会社がインターネットアクセスにVPN(仮想プライベートネットワーク)接続を提供している場合は、無料または有料のWi-Fiホットスポットを利用する際に、その機能を活用することをお勧めします。ノートパソコンでVPN機能を有効にすると、すべての通信が高強度の暗号で暗号化され、Wi-Fiホットスポットからインターネットを経由して会社のデータセンターにトンネリングされ、そこで解凍されて会社のインターネット接続に送信されます。
これは、共有無線ネットワークに誰が接続していても、社内ネットワークへのプライベートトンネルが確保されるため、社内リソース(イントラネット、メール、データベース)に安全にアクセスするための方法です。一部の企業のVPN設定では、社内リソースへのアクセスに加えて、インターネットの閲覧も可能です。
このような設定は、暗号化されていないウェブブラウジングよりも多少遅くなる可能性がありますが、セキュリティの観点からは価値があります。さらに、インターネット制限のある国(中国やエジプトなど)を旅行している場合は、トラフィックを米国ベースのVPN接続にトンネルすることで、米国にいるかのようにウェブサイトにアクセスできます。
会社が VPN サービスを提供していない場合や、「スプリット トンネリング」VPN(会社のリソースへのリクエストのみが暗号化されたトンネルを通過し、その他のトラフィックは暗号化されずに直接ターゲットに送信される)を使用している場合でも、心配する必要はありません。安全を確保できます。
AnchorFreeの無料VPNサービス、HotSpot Shieldをお試しください。同社は、公共Wi-Fiを使用する前にノートパソコンにインストールする独自のVPNソフトウェアを提供しています。
ソフトウェアとサービスを有効にすると、トラフィックが暗号化され、トンネルを経由してHotSpot Shieldデータセンターに送信され、そこからインターネットに送信されます。これは企業のVPNサーバーとほぼ同じ方法です。HotSpot ShieldにはモバイルVPN設定(ダウンロード不要)も用意されており、Appleが提供する組み込みのCisco VPNクライアントソフトウェアを使用して、iPhoneでのWebサーフィンを保護します。
このようなサービスを利用することで、コーヒーショップから北カリフォルニアのAnchorFreeデータセンターまで、接続がセキュアになります。データセンターに到着すると、トラフィックは暗号化されずにインターネット上の最終目的地まで送信されます。まるで、会社のデータセンターに直接接続されたノートパソコンからブラウジングしているかのように。
この構成は、暗号化されたトンネルがアクセス先のウェブサイトまで到達しないため、完全に安全とは言えません。しかし、VPNを全く使用しない構成よりは確実に安全です。データ窃盗犯が侵入するには、接続しているWi-Fiネットワークだけでなく、AnchorFreeデータセンターへのアクセスも必要になります。
Wi-Fiサーフィンの安全性に関する概要
まとめると次のようになります。
1. 会社に Web 閲覧に使用できる VPN がある場合は、それを使用します。
2. 会社の VPN を使用できない場合は、HotSpot Shield を試してみてください。
3. サブスクリプション(有料)の Wi-Fi インターネットを安全なブラウジングと同一視しないでください。
4. 暗号化されていないワイヤレス ネットワークでは、誰でもあなたがどこでネットサーフィンしているかを見ることができます (HTTPS Web サイトを除く)。
5. 暗号化されたワイヤレス ネットワークでは、パスワードを知っている人なら誰でも、あなたがどこでネットサーフィンをしているのかを見ることができます (自宅にいる少数の人々、または空港にいる数百人の人々の可能性があります)。
6. VPNを一切使わずにWi-Fiホットスポットを使用しなければならない場合は、ノートパソコンがスタジアムのジャンボトロンに接続されていると想像してみてください。肩越しに8万人が見守っていても見ないようなサイトにはアクセスしないでください。
ビジネス セキュリティに関する詳細なアドバイスについては、「中小企業の予算で実現するエンタープライズ セキュリティのヒント」をご覧ください。
