無線IP電話のセキュリティをチェック

IP電話機能を備えた携帯電話機「FOMA N900iL」の登場から1年半。最近は，無線LANを利用したIP電話システムを導入する企業ユーザーが増えているらしい。無線IP電話システムでは，とかく音質や使い勝手が話題になることが多い。しかし，企業ユーザーが無線LANを運用するに当たって最も問題となるであろう，セキュリティに関連した話題はあまり聞かない。そこで今回は，無線IP電話と無線LANセキュリティの関係について考えていきたい。

オフィス利用の無線LANに浸透するIEEE802.1X認証

無線LANはセキュリティに問題があるとよく言われる。ケーブル配線なしで使える無線LANは，便利な半面，電波をキャッチされると盗聴や不正利用される危険性がある。このため，家庭で利用する場合でも，無線LANは暗号化の設定が必須となっている。オフィスで無線LANを利用する場合はさらに，IEEE802.1Xという認証技術を採用するケースが多い。

IEEE802.1X認証とは，ユーザーを認証してLANの利用の可否を決める技術。社内に設置した無線LANアクセス・ポイント（以下AP）を第三者に使わせないようにする。IEEE802.1Xを利用すればさらに，ユーザーごとに異なる暗号鍵（の基となるデータ）を配布できるので，盗聴防止にも役立つ。

IEEE802.1Xは，端末に実装するクライアント・ソフト「サプリカント」と，認証処理をする「認証サーバー」，認証の結果によりネットワークへの接続を制御する「認証装置」で構成する。端末上で動くサプリカントが認証装置に認証データを送ると，認証装置はそれを認証サーバーへ転送して認証処理を行う。認証装置はその結果を認証サーバーから受け取り，端末をLANに接続するかしないかを制御する。無線LANで認証装置の役割を果たすのはAPだ。

実は，このIEEE802.1X認証が無線IP電話の使い勝手を悪くしている。

無線IP電話との併用に難あり？

オフィス内で無線LANを利用する場合，オフィスのどこでも無線LANが利用できるように，チャネル（無線LANの通信に使う電波の周波数帯）が重ならないように複数のAPを設置して面的にエリアを広げる必要がある。こうした無線LANシステムで，携帯電話のように歩きながら無線IP電話を利用すると，ハンドオーバーが起こる。

ハンドオーバーとは，APがカバーするエリアをまたいで無線LAN端末が移動するとき，端末が電波をやりとりするAPを切り替えること。無線LAN端末はまず，自分のいるエリアをカバーするAPと通信を始める。通信したまま移動してそのエリアを外れて別のAPがカバーするエリアに入ると，チャネルを切り替えて近場のAPを相手に通信を継続する。これがハンドオーバーだ。

ところが，IEEE802.1X認証を採用していると，このハンドオーバーに秒単位の時間がかかる場合があるという。単にチャネルを切り替えるだけでなく，新しいAPを介したIEEE802.1Xの再認証が必要となるためだ。この結果，無線IP電話の通話が途切れてしまう。

先の説明のとおり，802.1X認証は認証装置（AP）の部分でネットワークへの接続の可否を判断している。そのAPが切り替わるのだから，どうしても再認証が必要になるのである。

こうした問題から，「無線LANのセキュリティを甘くして使い勝手を優先させる」という考え方も出てくるだろう（そもそも802.1X認証に対応していない無線IP電話機もある）。しかし，それでは根本的な解決にはならない。 [全文]