Wi-Fi 7およびセキュリティ：知っておきたいこと

Wi-Fi 7ブログシリーズの第6弾では、Wi-Fi 7の会話で多く出てくると思われるが、IEEE規格の802.11be修正に直接関係していないトピックについて議論します。 

Wi-Fi 7の主な機能強化とWi-Fi®セキュリティのいくつかの側面を理解するために、RUCKUS NetworksはWi-Fi 7に関するホワイトペーパーを発表しました。ホワイトペーパーは、新しいRUCKUS NetworksウェブサイトのWi-Fi 7専用ページにあります。 

異なるWPAタイプのWi-Fiセキュリティ

Wi-Fi 7 規格では直接対応していませんが、新しい規格、特に Wi-Fi に関しては、セキュリティは常に考慮する必要があります。世界中で公開されているコモン・エア・インターフェイス（CAI）を使用して、ライセンスのないスペクトルで動作し、 攻撃者が脆弱性を発見する機会がたくさんあります。 今日の世界では ハッカーが住宅ローンなどの個人データにアクセスできないように、Wi-Fi経由で送信される際のデータパケットのセキュリティについて、人々がより深く理解することがほぼ必須です。 銀行口座 その他の個人を特定できる情報 またはPII。

デフォルトのルーターのパスワードを変更しても、ユーザーが認識しておく必要があるのは、要件だけではありません。

Wi-Fi 7 では Wi-Fi セキュリティに重点を置くものはありませんが、マルチリンク操作に起因するアーチファクトがあり、デバイスと AP がワイヤレス接続を保護する方法にある程度の影響があります。まず、いくつかの基本を取り上げてみましょう。 

WPA2データ暗号化セキュリティ  

WPA2−(*は2004−(*規格（Wi-Fi Protected Access®）に代わるものとして、2年にWPA2−(*を802.11iと共に導入し、WEPが2003で割れたときに停止ギャップ対策としてリリースしました。新しい 6 GHz 帯域を除き、802.11 つの PHY 修正 (802.11a/b/g/n/ac/ax/be) はすべて前世代と下位互換性があります。つまり、あなたが諦めることを拒否したiPhone 4は、新しいWi-Fi 7 APに接続することができます。おそらくうまくいかないでしょう（他の多くの理由から）が、それでもうまくいきます。WPA3℠が備わっているからといって、ネットワークがWPA3℠以外のものを無視するように設定されていない限り、機能することは可能です。 

802.11b と WEP を実行している 2001 台のラップトップでも、2,4 GHz で 802.11be ネットワークを確認でき、管理者が SSID で WEP を有効にしない限り接続できません。しかし、WPA2はWPA3があるからといって非推奨ではありません。6 GHz 動作には WPA3 のみをサポートする規定がありますが、これは特定の Wi-Fi 生成ではなく、スペクトルの要件です。 

WPA3データ暗号化セキュリティ 

テクノロジー業界での14年間のサービス（実に生涯）の後、WPA3は2018年に導入され、ワイヤレスセキュリティの実装方法にいくつかの非常に必要な改善をもたらしました。このブログにはあまりにも多くのことが書かれていますが、要するに、攻撃者がオフライン辞書攻撃と呼ばれる暗号化ハンドシェイクを攻撃するのを防ぐのに役立ちます。 

WPA3にはWPA2と同じ2つのオプションがあり、同じ2つの方法がありますが、名前はわずかに異なります。WPA2-Personalは、しばしば事前共有鍵（PSK）ネットワークと呼ばれ、WPA3-SAEまたは同時等価認証に置き換えられました。エンドユーザーは違いに気付かないでしょうが（Wi-Fi接続を保護するためにデバイスにパスフレーズを入力する）、バックエンドにはいくつかの大きな変更があり、WPA2-Personalのセキュリティ問題を修正します（パスフレーズ付きワイヤレスセキュリティのブログで詳細を読むことができます）。

WPA3-Enterpriseは、今日のほとんどのエンタープライズネットワークで見られるセキュリティのタイプであるWPA2-Enterpriseと非常に似ています。トランスポート層セキュリティ（EAP-TLS）が推奨される方法として、複数のEAPタイプ（拡張認証プロトコル）が依然として存在します。WPA3-Enterprise は、暗号化強度の強制的な増加を追加し、標準の 802.11w (保護管理フレーム) を義務付けていますが、以前の仕様はオプションとして 802.11w でした。

ネットワークは、同じ SSID 上の WPA2 と WPA3 の両方のデバイスを受け入れる \"一時的なセキュリティ体制\" として知られるもの (WPA5 は 6 GHz で構成できないためWPA2 GHz の SSID になります) で構成して、古いデバイスの下位互換性を保持できますが、すべてと同様に、これにはリスクがあります。新しいデバイスは古い規格と下位互換性がありますが、古いデバイスは新しいSSIDに遷移フラグが表示され、その対処方法がわからないため、単に接続できないことがあります。  

これは、すべてのクライアントデバイスに非常にシンプルで簡単なサービスを提供したいが、その日は限られている可能性があることを意味します。回避策は、ネットワークの負荷とセキュリティスタンスを広げるために、バンドとセキュリティ固有のSSIDを作成することです。 

WPA3の導入は、WPA2がWEP（インターネット使用、パスワードなど）と同じくらい悪いことを意味しますか？

逆に！WEP（Wired Equivalent Privacy）は、WPAが発表されたときに本当に壊れましたが、WPA3はWPA2のアップグレードです。適切に構成されたWPA2はオフライン辞書攻撃の影響を受けやすいが、パスワードをクラックするのに必要な時間は数時間ではなく数十年で測定される。

適切に構成されているとは、少なくとも16文字で、他の誰とも共有されていないパスフレーズを使用し、AES（Advanced Encryption Standard）暗号化を使用することを意味します。WPA2-Enterprise は WPA3-Enterprise に十分近いため、単に 802.11w を有効にするだけで、最上位のインスタンスの WPA3-Enterprise にかなり近づきます。WPA3はまだ私たちが行きたいところですが、WPA2はいくつかの追加の予防措置が投げ込まれ、依然としてワイヤレスネットワークを保護する尊敬すべき方法です。

設計ガイドとして 6 GHz の WPA3 を使用する

今日のWi-Fiネットワークを使用するクライアントデバイス（Android対iOS、旧型対新型、モバイル対固定型デバイス）を調べると、多くの人がWPA3（拡張認証プロトコルまたはEAPを使用するエンタープライズ、SAE、等価の同時認証）またはOWEをこの新しいスペクトルの障害として使う必要があると考えていますが、これについては別の考え方があります。これらの新しいセキュリティプロトコルを回避するのではなく、実際にそれらを受け入れるべきです。

気になるデバイス（新しいデバイス）には、WPA3 で 6 GHz SSID を割り当てます。BYODなどのデバイスや、心配していない他のデバイスはWPA2 Personal（PSKまたはDPSK）で5GHzのままになります。本当に気にしているが、新しい6Ghzバンドには新しいデバイスではない場合、WPA3-Enterpriseに2番目のSSIDを追加することができます。最後に、IoT やその他のデバイスでは 2,4 GHz が残ります。このデバイスは \"ベストエフォート\" に分類され、完璧なサービスの要件や期待はありません。ちなみに、このようにデバイスを分離することで、デバイスを分類し、それぞれに利用可能な最高のセキュリティで保護しています。以前のブログを参照すると、ベストプラクティスになります。IoTデバイスの分離に関するさらにベストプラクティスについては、IoTデバイスセキュリティのブログもぜひご覧ください。

マルチリンクの運用とセキュリティ 

約束通り、この新しいWi-Fi 7機能にはセキュリティの角度があります。マルチリンク操作（MLO、 これについては、以前のWi-Fi 7で詳しく読むことができます。 MLOブログ）は、デバイス内の複数の無線が同時に別のデバイスと通信するという考えです。 さまざまなラジオバンドにまたがって 解決すべきアイデンティティの問題があった 同じデバイスからのレイヤー2フレームが同じMACアドレスを持つようにすることで、受信側は受信したフレームが同じデバイスからのものであることを確認でき、 異なるデバイスからフレームを混在させないでください。 

Wi-Fi 7 と MLO はセキュリティとどのような関係がありますか？

MLO では、Wi-Fi 7 デバイスの 3 つの無線に \"高レベル\" MAC アドレスが導入されています。この単一の高レベルMACアドレスは暗号化キーに使用されます。3つのキーを使用する代わりに（使用可能な無線帯域ごとに1つのキーを使用する）、デバイスは1つのキーセットを構築するだけです。MAC-SAPエンドポイントまたはMLD（Multi-Link Device）アドレスとして知られるこのアドレスは、実際の無線トランシーバーの上にあります。

この単一キーは、クライアントデバイスが MLO リンクの選択中にバンドを切り替えるため、新しい暗号化キーを作成する必要がないことを意味します。VR/AR/eスポーツのレイテンシ要件が低いため、伝送のRF側に保存されるマイクロ秒は、これらのアプリケーションが目指すレイテンシー数を達成するために不可欠です。 

セキュリティの世界における画期的な開発ではありませんが、MLO は、すべての無線通信でネットワークとクライアント・デバイスの相互の見方に影響を与える可能性のある将来の開発を指摘しています。無線接続ごとに単一の MAC アドレスを共有すると、Wi-Fi とセルラー間の集中無線アクセスを検討し始め、無数の要因に応じてデバイスが 2 つのアドレスを切り替える方法を検討し始めると、いくつかの利点があります。 

そのような開発は今のところ目前にはありませんが、MLO が送信時にデバイスに最適な動作チャネルを選択できるようにしているのと同様に、クライアントデバイスがワイヤレスインフラストラクチャとうまく機能し始めていることを示唆しています。 

RUCKUS Networksとは？ 

Wi-Fi 7の詳細については、RUCKUS NetworksのウェブサイトのWi-Fi 7ウェブページをご覧ください。このページは、IEEE による修正の批准と Wi-Fi Alliance からの Wi-Fi 7 認証アナウンスに近づくにつれて、Wi-Fi 7 で最新情報を知りたい方のための頼りになるリソースです。このブログシリーズの残りの部分を読み続けるには、Wi-Fi 7ページで今後のリンクやブログセクションを確認してください。

読者は、RUCKUS Networksの製品とソリューションについて、以下のウェブサイトで詳細を知ることもできます。RUCKUS ネットワーク製品およびRUCKUSネットワークソリューション。RUCKUS がネットワーク技術の最新の進化にどのように役立つかの詳細については、Wi-Fi 7 または任意の RUCKUS Networks 製品について、弊社にメモをお送りください。