WiSAS よくある質問 - WiSAS（ワイサス）

WiSASの必要性

必要です。無線LANの導入有無にかかわらずセキュリティリスクが存在します。スマートフォンテザリングをはじめ、見た目では区別がつかないほどWi-Fi対応デバイスが多様化かつ小型化しており、企業の内部に持ち込まれた野良Wi-Fiへの接続をきっかけとした情報流出も増加しています。最近では充電ケーブルに模倣したハッキングツール(OMGケーブル)がオンライン通販サイトで普通の充電ケーブルとして販売されていたりもします。

私物のWi-Fi利用を禁止する規則（BYOD）があるので大丈夫なのでは？

大丈夫ではありません。規則は規則です。転職や業務委託など、人の入れ替わりが激しい昨今、セキュリティ教育を徹底することは容易ではありません。規則を守らない従業員や業務委託先が現れた場合、容易にセキュリティインシデントが発生してしまいます。さらに、デジタルネイティブ世代が社会人として働き始めたこともあり、悪意なく私物のWi-Fiに接続してしまうなどの事故事例も増加しています。

シンクライアントを利用しているので安全なのでは？

シンクライアントだからといって言って油断してはいけません。シンクライアント環境に接続するためのローカルPC自体がランサムウェアに感染し、Wi-Fiを経由して同じネットワーク内にある他の端末に感染が拡大してしまう恐れがあります。そうなると事業継続も困難になり、企業に甚大な被害をもたらします。

無線LAN接続時に証明書で認証しているので安全なのでは？

証明書認証そのものは強固ではありますが、最も脆弱なのは人です。オフィスに持ち込まれた野良Wi-Fiの電波や企業の無線LANになりすました偽の電波をユーザーが見つけてクリックしてしまえば、その時点でバックドアが生まれ、証明書認証にもかかわらずセキュリティインシデントが発生してしまいます。

無線LANの調子が悪い原因が持ち込まれたWi-Fiという可能性もある？

あります。昨今ではネット通販で購入できる安価な海外製のWi-Fiデバイスを利用している人も多く、利用者の知らないところで、そのWi-Fiデバイスが不正なWi-Fi電波を大量に送出して「無線DoS攻撃」を行っているケースもあります。その場合、接続不良や通信不具合が発生して無線LANを快適に利用することができず、事業継続が困難になるリスクがあります。

基本サービス関連

WiSAS24H365DとWiSAS24H365DPLUSの違いは何ですか？

監視項目が追加されます。
追加される項目：誤設定AP、FakeAP、不正接続AP、WDSAP、ソフトAP、アドホック・ネットワーク

サービスの管理画面は提供されますか？

フルマネージトサービスとなっておりますので、サービスの管理画面は提供されません。ただし、月次レポートをダウンロードするためのアーカイブサーバの管理画面は提供されます。また、セルフ環境スキャンを契約した場合、環境スキャンを手動で実行するための操作画面が提供されます。

遮断の方法は？

センサーがAPと端末のMACアドレスになりすまして認証解除(Deauthentication)フレームをAPと端末それぞれに送出することで接続を遮断します。認証解除フレームはIEEE802.11の管理フレームとなりますので、特別なソフトウェアのインストールが不要で、APや端末のベンダーに依存することなく遮断が可能となります。

MAC偽装APが発見された場合の遮断機能は、何の識別子を持って判断し、遮断するのか？

WiSASにおける遮断機能はMACアドレスをベースに実行されるため、サービス申込みの段階で遮断の設定を有効化している場合、正規APとMAC偽装APにかかわらず遮断が実行されます。それにより、セキュリティが確保される代わりに、正規のAPへの通信もできなくなります。正常な状態へ復帰させるには、位置情報オプション等でMAC偽装APを排除し、正規APと正規端末の接続を復旧させなければいけません。また、遮断設定の有無にかかわらず、アラート通知は予め登録された方へ発報されます。隔離することが優先か、検知のみ実行し事後対応とするかどちらかですが、WiSASでは隔離することを推奨いたします。

センサー1台で上下階もカバーできますか？

センサーが上下階の電波を探知することはあります。しかし、天井や床により電波が減衰したり人の往来等で電波の正確な取得が困難になる場合があります。そのため、フロア単位でのセンサー設置が推奨となります。

用語関連

アラート通知先とは何ですか？

セキュリティイベント発生時や、常時監視の中断が起こった際に、メールで連絡する宛先となります。

WIDS／WIPS機能とは何ですか？

無線侵入防止システムのことです。

非認可端末とは何ですか？

WiSASでは次のように定義しています。認可端末および認可APをセーフリストで登録して識別します。認可端末以外の端末が認可APに接続した際に非認可端末と判断されます。

不正行為端末とは何ですか？

WiSASでは次のように定義しています。認可端末および認可APをセーフリストで登録して識別します。認可端末が認可AP以外のAPに接続した際に不正行為端末と判断します。

ハッキングデバイスとは何ですか？

WiSASでは次のように定義しています。内部で保有しているハッキングデバイスのMACアドレスリストを基に識別します。ハッキングデバイスのMACアドレスリストは、過去にハッキングデバイスとして実際に利用されたことのあるものです。主に世の中に出回っているハッキングツール(Wi-FiPineappleなど)のソフトウェアで自動生成される仮想MACアドレスです。MACアドレスのリストは独自調査されたもので、非公開情報となります。

なりすましAP

WiSASでは次のように定義しています。認可APと同じSSIDになりすました不正なAPの存在を検知します。なりすましAPに誤って認可端末が接続した場合、通信を傍受されたり、重要な情報が盗まれたり、認可端末を乗っ取られる危険性があります。もしこの項目が検知された場合、位置情報分析オプションによる、なりすましAPの位置特定と撤去を推奨いたします。さらに、対策として自動接続遮断機能の設定を推奨いたします。

MAC偽装AP

WiSASでは次のように定義しています。認可APと同じMACaddressに偽装した不正なAPを検知します。MAC偽装APに誤って認可端末が接続した場合、通信を傍受されたり、重要な情報が盗まれたり、認可端末を乗っ取られる危険性があります。もしこの項目が検知された場合、位置情報分析オプションによる、MAC偽装APの位置特定と撤去を推奨いたします。さらに、対策として自動接続遮断機能の設定を推奨いたします。

Wi-FiDirectAP

WiSASでは次のように定義しています。Wi-FiDirectの電波を送出しているAPを検知します。
Wi-FiDirectAPが内部ネットワークに有線LANで接続されている場合、Wi-FiDirectAPに脆弱性攻撃をしかけて踏み台にされ、内部ネットワークに侵入される恐れがあります。
もしこの項目が検知された場合、位置情報検知オプションによるWi-FiDirectAPの位置特定を行い、発見したデバイスでWi-FiDirectの機能が必要な場合はデフォルトパスワードになっていないことを確認し、不要な場合は機能をOFFにすることを推奨いたします。さらに、対策として自動接続遮断機能の設定を推奨いたします。

誤設定AP

WiSASでは次のように定義しています。設定ミスや悪意の第三者の設定変更によるAPの動作変化を検知します。
意図しない設定変更により認証や暗号化のレベルが低くなることで、内部ネットワークに侵入される恐れがあります。もしこの項目が検知された場合、APの設定を再確認し、正しい設定に修正する必要があります。
さらに、意図せず設定変更が発生したAPへの第三者の接続を許さないための対策として自動接続遮断を推奨いたします。

FakeAP

WiSASでは次のように定義しています。FakeAPの存在を検知します。
FakeAPは、無線ネットワーク環境を混乱させるために、悪意を持って多数の偽APを短時間で生成する攻撃です。
FakeAPの発生により端末でのSSIDのリストが膨大になるため、ユーザーが接続したいSSIDを見つけることができず接続が妨害される恐れがあります。もしこの項目が検知された場合、位置情報分析オプションによる、FakeAPの位置特定と撤去を推奨いたします。

不正接続AP

WiSASでは次のように定義しています。内部ネットワークに有線で接続している非認可AP(外部/未分類/ゲスト)を検知します。非認可APが内部ネットワークに有線で接続している場合、非認可APを経由して悪意の第三者が内部ネットワークに侵入して、マルウェアを拡散したり、内部の重要情報を持ち去るなど、深刻なセキュリティ被害に発展する恐れがあります。もしこの項目が検知された場合、位置情報分析オプションによる、不正接続APの位置特定と撤去を推奨いたします。さらに、対策として自動接続遮断を推奨いたします。

WDSAP

WiSASでは次のように定義しています。非認可APのWDS接続を検知します。WDSとは、無線アクセスポイント同士を接続して通信可能なエリアを拡張する機能です。認可APにWDSで非認可APが接続された場合、非認可APに接続した端末が内部ネットワークに侵入する恐れがあります。もし、この項目が検知された場合、WDSを使用していない場合は機能を無効化したり、非認可APのWDSによる接続を許さないよう、対策として自動接続遮断を推奨いたします

ソフトAP

WiSASでは次のように定義しています。ソフトAPへの認可端末の接続を検知します。ソフトAPは、ソフトウェアにより仮想的に作られた無線アクセスポイントです。ソフトAPに認可端末が接続した場合、認可端末の重要な情報がソフトAPを経由して外部に持ち出されたり、悪意の第三者により認可端末が乗っ取られる恐れがあります。もしこの項目が検知された場合、位置情報分析オプションによる、ソフトAPの位置特定と撤去を推奨いたします。さらに、対策として自動接続遮断を推奨いたします。

アドホック・ネットワーク

WiSASでは次のように定義しています。アドホック・ネットワークへの認可端末の接続を検知します。
アドホック・ネットワークは、無線アクセスポイントを使用せずに端末同士が接続する独立した無線ネットワークです。アドホック・ネットワークに認可端末が接続した場合、認可端末が接続した端末を経由して重要な情報を外部に持ち出されたり、悪意の第三者により認可端末が乗っ取られる恐れがあります。もしこの項目が検知された場合、位置情報分析オプションによるアドホック・ネットワークの位置特定と改善を推奨いたします。さらに、対策として自動接続遮断を推奨いたします。

セーフリスト

WiSASでは次のように定義しています。警戒する必要のないデバイスのリストです。「認可」または「ゲスト」という2種類にデバイスが分類されます。「認可」は自社で管理しているデバイスを意味し、「ゲスト」は不特定多数が利用する自社のゲストWi-Fi、もしくは自社の管理下にない悪意のないデバイスを意味します。（近隣の企業など）
また、「認可」と「ゲスト」どちらもデバイスをMACアドレスで選別しますが、「認可」のデバイスはSSIDで選別することも可能です。もし導入以前から「なりすましAP」が設置されていた場合、SSIDで選別すると「なりすましAP」がセーフリストとして登録されてしまう可能性があるため、MACアドレスによる選別を推奨いたします。

ブロックリスト

WiSASでは次のように定義しています。明らかに管理外で悪意があると思われるデバイスのリストです。「不正」にデバイスが分類され、MACアドレスで選別します。ブロックリストに登録されると、その他のデバイスへの接続が全て遮断され、一切通信ができなくなります。

未確認リスト

WiSASでは次のように定義しています。セーフ、ブロックの仕分けができていないデバイスのリストです。
「外部」または「未分類」という2種類に分類されます。「外部」は電波が探知されてから10分以上電波が探知され続けているデバイスを意味し、「未分類」は探知されてから10分以内に探知されなくなったデバイスを意味します。
例えば、ドライブレコーダーやバスのWi-Fiなど、短時間の利用や通りすがりのデバイスが「未分類」となります。
ほとんどのケースで、導入当初はこの未確認リストに属するデバイスが数多く探知されます。Wi-Fiセキュリティを担保するには、それらのデバイスがセーフとブロックどちらなのかを見極め、一つ一つ選別する必要があります。