セキュア無線LAN Aruba
ソリューション概要
無線LANをご検討なら セキュア無線LANなら“Aruba”
無線LANの導入検討でお悩みの企業様におすすめなのがArubaです。
昨今、多くの企業・団体様で重要なオフィスインフラとなっている無線LAN。テレワーク等のリモートワークが定着していく中、オフィスでの就業の仕方も大きな変化が訪れています。 ソーシャルディスタンスを意識したより一層のフリーアドレスやWebミーティングも定着してきました。一方、ニューノーマルな働き方を狙った新たなセキュリティ脅威も出ており、無線LANも標的とされています。そのため、従来より高速で安定したセキュア無線LANの需要が高まっています。
無線LANでよくいただくお悩みの声
① 無線LANは遅い、つながりにくいのイメージと聞くけど・・・
- 導入済みの無線LANは、遅くて不安定なところがある。
- 全員でWebミーティングしても大丈夫ですか?
② セキュリティが心配
- 不正アクセスの温床になってしまうのではないか。
- パスワード漏洩が心配。
③ 初期投資や運用コストがかさみそう
- 初期費用が安くても、追加や運用費用がかさむのは困る。
- なるべく予算は抑えたいが、使い勝手は良くしたい。
④ どの製品を選べばよいかわからない。
- 何から始めたらよいかわからない。
- 自社環境に適した無線LAN環境を選びたい。
そんなお悩みをArubaが解決!
弊社では今までの経験をもとに最適な無線LAN環境をご提供いたします。
① ネットワーク通信量増加に対応する高速無線LAN
- 高速無線LAN( Wi-Fi 6E )でWebミーティングも快適
- 電波干渉を避けて安定した無線LAN環境を確保
- 快適なローミング制御
② ビジネス用途に耐えるセキュリティ対策
- 電子証明書による強固な認証システムの構築
③ 初期投資と運用費用の抑制
- 仮想コントローラによる初期投資抑制
- クラウド化対応済みの管理ツール
④ 貴社環境に最適な無線LAN環境をご提案
- 貴社のご要望に合わせ、最適なセキュア無線LAN環境の導入をサポート
課題解決1. 無線LANの課題 オフィス無線LAN環境の新たな課題
オフィスでのビジネススタイルが変化し、無線LAN環境にも新しい課題ができました。
課題① 一斉にWebミーティングを使うと通信速度が遅くなる。(通信帯域)
課題② この部屋で無線LANがよく途切れる。(電波干渉の問題)
課題③ 会議室で私のPCだけ無線LANが遅い。(端末移動時のローミング問題)
課題① 一斉にWebミーティングを使うと通信速度が遅くなる。(通信帯域)
↓
解決 混雑した環境でも通信帯域を確保する。
TeamsやZoomなどのWebミーティングが一般的になり、通信量が急増し、旧規格の無線LANでは帯域不足になっているため。
最新の無線LAN規格(Wi-Fi 6E)のAruba 無線LANシリーズで、お客様のオフィス状況に最適な高速無線LAN環境を設計・実装します。
『会社に無線LANがあるけど遅すぎて使えない。』こんな悩みがあるのなら、無線LAN規格が古いのかもしれません。ニューノーマルのオフィスではWebミーティングなど、大量のネットワーク通信を使うようになりました。最近ではその帯域不足が問題となっています。少し前の主流のWi-Fi4(802.11n)では最大通信速度が規格上600Mbpsと有線LANよりも低速であることもあり、より広帯域な無線LAN規格Wi-Fi 6E( 802.11ax )への乗り換え需要が高まっています。
課題② この部屋で無線LANがよく途切れる。(電波干渉の問題)
↓
解決 電波干渉を自動調整
他の電波発生源や無許可の無線機器、オフィス外から来る外来波などで、無線LAN電波が干渉している。
Arubaの自動電波調整(ARM)機能で干渉電波を自動的に回避
『特定の場所で無線LANがよく切れる。』もしかしたら電波干渉が起きているのかも。
無線LANと干渉する電波は、不正に設置された無線APや機械設備があり、中には外来波による電波干渉もあります。電波干渉が発生すると無線LANは不安定になってしまいます。
ARM機能では無線APがオフィスの電波環境を確認し、最適なチャネルを自動で選択して無線LANサービスをするため、新たに発生する電波発生源にも対処でき、安定した無線LAN環境が提供されます。
課題③ 会議室で私のPCだけ無線LANが遅い。(端末移動時のローミング問題)
↓
解決 最適なAPへの接続
離れた場所の無線LANにつながったままになってしまうこと(スティッキング端末)により通信速度の低下や通信断が発生しています。
Aruba APのClientMatch機能により、ローミングをスムーズに行えるようになり、作業場所に最適な無線APに自動的に切換えることができます。
『自分のPCだけネットワークが遅くて会議に集中できなかった。』もしかしたらスティッキング端末が発生しているのかもしれません。
スティッキング端末の状態になると、会議室に移動しても自席近くの無線APにつながったまま。無線APとの距離が離れる分、通信速度の低下や通信断が発生したりします。ユーザーはリモート会議等の画像や音声が途切れる等の影響を受けることも。
Aruba APのClientMatch機能は、複数設置された同じAPグループ内でより強くクライアントからの通信を受信できるAPに自動的につなぎ直すよう補助する機能を提供します。
課題解決2. セキュリティ対策 無線LANのセキュリティ課題
無線LAN環境は、正しく設定されていないとさまざまなリスクにさらされます。市販の無線LAN機器には簡単な共有パスワードを設定できるものもありますが、進化するさまざまな攻撃に対処することは難しく、企業用途に見合うセキュリティ強度を持った無線LAN環境の設計・実装・運用が求められます。
侵入 | 平易なパスワードを破って不正侵入し、社内の重要なサーバ等にアクセスをして情報を盗み取られるリスクがあります。 |
盗聴 | セキュリティ強度の低い無線LANでは、電波を傍受され、通信内容を不正に読み取られる可能性があります。 |
タダ乗り(なりすまし) | 意図しない第三者によるインターネットアクセスを許してしまい、場合によっては犯罪行為に利用されるリスクも発生します。 |
偽アクセスポイント | 本物そっくりのSSIDを発信し、利用者に誤って接続させ、パスワードやPC内の重要なデータを盗み取る手口のサイバー攻撃です。 |
● 『証明書認証』でパスワード・レス
無線LANのパスワードが漏洩しない最強の対策は、パスワードを使わない電子証明書認証方式にすること。弊社ではActive DirectoryやAruba ClearPassと連携した強固な電子証明書認証のセキュア無線LANを提案いたします。
● 境界防御からゼロトラストへ進化するセキュリティ対策
最近の企業ではクラウド利用やリモートワークの普及によって、守るべき情報資産が社内外に存在しています。このため物理的なロケーションに基づく従来型の境界型ネットワーク制御だけでは、セキュリティ対策も難しくなってきました。 実際、ランサムウェア被害の約7割は、境界型ネットワーク制御のひとつであるVPNが侵害されたことによる外部からの侵入です。組織内ネットワークに侵入されることを前提としたゼロトラストセキュリティへの期待が高まっています。
【ネットワークセキュリティの変化】
ゼロトラストの考え方は、境界内部に侵入されることを想定したうえで、情報システムやサービスの要求ごとに適切かつ必要最小の権限を付与することで、リスクを最小限にしようと設計された概念です。
デジタル庁はゼロトラスト・アーキテクチャを推進しており、『ゼロトラスト導入指南書(本書) (ipa.go.jp)』で「ゼロトラストの基本的な7つの考え方」を公表しています。
No. | 基本的な7つの考え方 |
1 | すべてのデータソースとコンピューティングサービスをリソースとみなす |
2 | ネットワークの場所に関係なく、すべての通信を保護する |
3 | 企業リソースへのアクセスをセッション単位で付与する) |
4 | リソースへのアクセスは、クライアントアイデンティティ、アプリケーション/サービス、リクエストする資産の状態、その他の行動属性や環境属性を含めた動的ポリシーにより決定する |
5 | すべての資産の整合性とセキュリティ動作を監視し、測定する |
6 | すべてのリソースの認証と認可を行い、アクセスが許可される前に厳格に実施する |
7 | 資産、ネットワークのインフラストラクチャ、通信の現状について可能な限り多くの情報を収集し、セキュリティ体制の改善に利用する |
出典:独立行政法人 情報処理推進機構「ゼロトラスト導入指南書」
この方針に従えば、無線LAN環境も一例として、以下のようなセキュリティ対策が求められるでしょう。
対象No. | 認証・認可 | 具体例 | ||
4 | リソースへのアクセスは、クライアントアイデンティティ、アプリケーション/サービス、リクエストする資産の状態、その他の行動属性や環境属性を含めた動的ポリシーにより決定する | 本人認証 | Active Directory等のアカウントや証明書にて本人を特定し接続認証を行う。 | |
ネットワーク制御 | ユーザーの役割や属性に応じて接続先IPや利用可能プロトコルの制限を行う。 | |||
6 | すべてのリソースの認証と認可を行い、アクセスが許可される前に厳格に実施する | 認証・認可 | 無線LANへの接続では、接続ユーザー・端末の身元が保証されず、正しく認証されないものは許可しない。 |
認証基盤としてAruba ClearPass Policy Managerを使えば、Active Directoryのようなアカウントデータベースとの連携やこのような「ユーザーの属性・役割に応じたアクセス制御(RBAC)」を提供可能です。 「誰が」、「どの端末で」、「いつ」、「どこから」、「どのように」 接続してきたかを自動的に検出・特定し、各ユーザーの役割や属性に応じてアクセス制御の適応が実現でき、ゼロトラストの考え方に合致させることができます。
具体的にClearPassによるRBACにより、以下のような運用が可能です。
- 自社職員のBYODは認めず、会社支給PCからのみネットワーク接続可能とする。
- 製造部のエンジニアだけが、設計図書を扱うネットワークへ接続許可される。
- 営業部職員に対して、YouTubeは許可するが、X(旧Twitter)の利用は禁止する。
- 認証なく無線LAN接続しようとするクライアントを排除する。
【ClearPassによるRBAC】
※RBAC(Role Based Access Control)
特定の役割に基づいて権限を管理するモデルで、比較的シンプルであり、採用実績も多くあります。
Aruba ClearPass Policy Managerはオンプレ/クラウドのどちらでもご利用いただけます。
課題解決3. 初期投資と運用コスト 初期投資を抑える。
● 仮想コントローラで初期投資を抑制
Aruba無線LANは、無線APを束ねるコントローラを仮想化しているため専用の機器が不要となり、合計 64台の無線APを管理できます。 初期投資コストと、保守費用など運用コストが低減できます。
● 障害に強い仮想コントローラ
Aruba無線LANの仮想コントローラ(Virtual Controller)は、グループ化された複数の無線APのうち、どれか1台で稼働します。万が一、仮想コントローラが稼働するAPに障害があったとしても、コントローラは別の無線APに移動して、全体のサービスを継続させます。無線LAN環境全体の耐障害性向上に必要だった専用コントローラの冗長化も必要なく、高可用性を提供します。
課題解決3. 初期投資と運用コスト クラウドによる運用コストを抑える。
● クラウド対応済み無線LAN管理(Aruba Central)
Aruba Centralは複数のサイトに点在するAruba無線LAN環境を効率良く管理する統合管理ツールで、HPE社が提供するクラウドサービスです。
仮想コントローラによる無線LAN制御を無線AP上に残し、無線LANの設定・管理機能を提供するアーキテクチャを持っています。そのため、無線APの設置場所を意識した柔軟な自動調整機能が利用でき、運用負荷を抑えられます。またクラウド上の問題が発生した場合でも、無線LAN環境全体に影響することはありません。
- ※ 他社のクラウドWi-Fiは、管理ツールをクラウドかオンプレミスかのどちらかを選択しなければなりませんが、Aruba Central はオンプレミス型管理ツール(Aruba AirWave)への移行も可能です。
課題解決4. 弊社のご提案 ジャパンシステムのセキュア無線LAN
● Aruba製品を用いた高速無線LAN
- Wi-Fi 6E対応のAruba APシリーズを使った広帯域無線LANを構築します。
- 仮想無線LANコントローラで初期投資費用を抑制し、ミニマムスタートを実現します。
● ビジネス向け高セキュリティ無線LAN環境
- 電子証明書認証により企業用無線LANに求められる高いセキュリティを実現します。
- Aruba ClearPassやActive Directoryを使った認証基盤でユーザーを識別し、ゼロトラスト・アーキテクチャに沿った認証環境を構築します。
● 無線LAN環境のクラウド管理
- クラウド管理ツール(Aruba Central)で無線LAN全体の管理を実施、運用負荷を大幅に削減します。
課題解決4. 弊社のご提案 ジャパンシステムの無線LAN導入サービスの流れ
● Step.1: 要件、現状確認
- 導入される無線LANの利用場所、用途、セキュリティ条件など、お客様のご要件に 合わせたプランをご提案いたします。
- 無線LAN機器を設置するお客様施設の状況により現地調査を行う場合があります。
● Step.2:無線LAN設計
- お客様のご要件に合わせ、無線LAN環境を設計いたします。
- 設計内容に合わせ機器の事前設定を行い、お客様に納品いたします。
● Step.3:環境構築・通信試験
- 弊社内で事前設定した無線LAN機器をお客様施設に設置していきます。
- 加えてネットワーク疎通確認試験、電波強度測定(オプション)を行います。
取扱製品
製品 | ラインナップ |
アクセスポイント | AP-500/510/530/550シリーズ、AP-610/630/650シリーズ、AP-730シリーズ |
無線コントローラ | 7000/7200シリーズ |
ネットワーク管理 | AirWave(オンプレ)、Aruba Central(クラウド) |
認証基盤 | Aruba ClearPass |
技術情報:無線LAN導入支援サービス・その他 【技術情報①】 802.11シリーズとWi-Fi 7、Wi-Fi 6E
無線LANは日々その通信速度を速め、さまざまな通信規格が生まれてきました。その規格を生み出しているのがIEEEという電気・情報分野の学術団体です。 無線LANの規格はIEEEが制定し、802.11シリーズとして制定されています。 今の最新の規格が802.11axというもので、通信速度が理論値9.6Gbpsとなっています。
また無線LANにはWi-Fiアライアンスという無線LAN製品の普及促進を図るための業界団体があります。 最近では、家電やゲームのメーカーも参加しています。業界団体なので規格を消費者に分かり易く伝える為、802.11axに『Wi-Fi 6E』というネーミングで普及を図っています。
つまり『Wi-Fi 6E』は、数ある無線LANの規格の一部ということになります。
最近では2023年12月22日、総務省の新たな電波法施行規則により、Wi-Fi 7が日本でも解禁となりました。低遅延であり、理論的な最大通信速度が現在主流であるWi-Fi 6Eの約5倍の46Gbpsになるという事で話題となっていて、 早いメーカーでは『Wi-Fi 7対応』の機器が出てきています。
とは言えWi-Fi 7(802.11be)のIEEE標準策定は2024年12月の予定。 一方、Wi-Fi 6E(IEEE 802.11ax)がスタートしたのが2021年2月で3年たったばかりで、今がちょうど普及期にあたります。Wi-Fi 6E対応PCの償却も終わっていない会社もあるでしょう。Wi-Fi 7の本格普及はもう少し先になりそうです。もし今、自社の無線LAN環境がWi-Fi 4/5等であり、最新規格への更新をお考えであれば、まずはWi-Fi 6Eへの移行を優先したほうがよさそうです。
技術情報:無線LAN導入支援サービス・その他 【技術情報②】 新しい暗号化プロトコル(WPA3)
通信内容が第三者によって盗聴されないよう、無線LANには暗号化技術が使われています。無線LANの暗号化規格はWEPから始まり、脆弱性が発見されるたびに次世代の技術へと移り変わってきました。そのひとつが2018年にWi-Fiアライアンスから発表されたWPA3で、企業用(WPA3-Enterprise)と個人用(WPA3-Personal)が構成されています。ただし、利用する端末のほうもWPA3対応の機器になっている必要があります。
ところで最新で強いWPA3ですが、既にWPA3-Personalにおいてはパスワード漏洩を試みるDragonblood という名前の脆弱性が発見されています。初期のころに発見された脆弱性で、既に各メーカーから修正パッチ対応が出ていますが、これでWPA3がこれからも安全になったとは必ずしも言えません。最新の暗号化技術だからと安心するのではなく、常に最新のセキュリティ状態が維持されるよう、定期的なメンテナンスが不可欠です。
暗号方式 | WEP | WPA | WPA2 | WPA3 |
セキュリティ強度 | ✖ | ✖ | 〇 | ◎ |
暗号化 | RC4 | TKIP with RC4 | AES-CCMP | AES-CCMP AES-GCMP |
鍵長 | 64/128bit | 128bit | 128bit | 128/256bit |
認証 | ・オープンシステム ・共通鍵 |
・PSK ・802.1x/EAP |
・PSK ・802.1x/EAP |
・SAE ・802.1x/EAP |
技術情報:無線LAN導入支援サービス・その他 【技術情報③】 MIMOとは?
『MIMO』とは「Multi Input Multi Output」の略で「マイモ」と読みます。無線APが持つ複数のアンテナを使って通信スループットの向上を図る技術です。
有線LANに比べ無線LANが低速なのは、有線LANはLANケーブル内に「上り」と「下り」の線がある全二重通信であるのに対し、無線LANは同一周波数帯(チャネル)を「上り」「下り」を切り替えて使う半二重通信だからです。 加えてその周波数帯を接続するクライアントで通信時間を時間分割するため、スループットはその分小さくなります。
その対応策として無線APが持つ複数のアンテナを使って通信を行う『MIMO』が考案されました。『MIMO』は802.11n(Wi-Fi 4)で初めて実装されましたが、この時は『SU-MIMO』と言われ、通信状態を時間で切り出した場合、無線APとクライアントが1:1となるシングル・ユーザーが通信を許される仕様でした。
これが802.11ac Wave2(Wi-Fi 5)で同時ユーザーが通信可能なMU-MIMO(下り)となり、802.11.ax(Wi-Fi 6)でさらに拡張され、「上り」「下り」で利用できるようになりました。
MIMO接続 | 上り | 下り | |
802.11.ax(Wi-Fi 6) | MU-MIMO | MU | MU |
802.11.ac Wave2 | MU-MIMO(下り) | SU | MU |
802.11n | SU-MIMO | SU | SU |
無線APとクライアントのアンテナ間の通信をストリームと呼びます。MIMOの表示で「MU-MIMO 4×4 4ss」とあれば、無線APに送信4機、受信4機があり4ストリームで通信できることを指しています。
技術情報:無線LAN導入支援サービス・その他 【技術情報④】 無線LANの周波数帯(2.4 / 5 / 6 GHzの違い)
無線LAN規格には、2.4GHz、5GHz、6GHzの3種類の周波数帯があります。 これらの特性を踏まえて、最適な環境設計が必要になります。
【2.4GHz帯の特徴】
最初に無線LAN用途に使われた周波数帯です。2.4GHz帯の周波数は「チャネル」といって5MHzごとに1から13チャネルまで区切られています。
- 実際に利用可能なチャネルは3個
ただ無線LAN通信では20MHzの帯域幅を使用する為、チャネルが隣り合うと電波が混ざってしまい干渉を起こします。 そのため電波干渉を起こさない為、実際に利用可能なチャネルは3個となり、例えば『1ch、6ch、11ch』と間隔を空けて割り当てられます。 - 電波が届きやすい2.4GHz
2.4GHz帯は5GHz帯に比べて、建材などの遮蔽物の影響を受け難い特徴があります。反面、無線LAN以外にも利用されている為、思わぬところで電波干渉を起こして、通信速度が低下することがあります。 例えば、電子レンジやコードレス電話等の家電製品、パソコン等に搭載されているBluetoothも2.4GHz帯を利用しています。
【5GHz帯の特徴】
2.4GHz帯が飽和状態になった為、新たに割り当てられたのが5GHz帯です。
5GHz帯には19チャネルがあり、3つのチャネルグループがあります。
チャネルグループ | 所属するチャネル |
W52 | 36/40/44/48ch |
W53 | 52/56/60/64ch |
W56 | 100/104/108/112/116/120/124/128/132/136/140ch |
-
5GHz帯では各チャネルの間隔が20MHzずつあり、隣接するチャネルとの干渉を懸念せず19チャネルを同時使用することができます。
反面、5GHz帯は気象レーダ等にも使用されています。 - 5GHz帯は基本的に屋外での利用が電波法で禁止されていて、W56のみレーダ電波の通信開始前検知で問題がない場合に利用できます。 また通信途中でレーダ電波が検知された場合、レーダ電波が優先されて通信遮断が発生します。
- 2.4GHz帯は5GHzに比べて、電波干渉が少なく、安定した通信が期待できます。 反面、壁などの障害物により電波が減衰し易い特徴があります。会議室等に設置する場合、部屋を区切るパーティション等の影響を受けることが多くあります。
【6GHz帯の特徴】
Wi-Fi 6Eの誕生によって解禁されたのが6GHz帯です。後発で新しく開放された周波数帯なだけあって、通信の遅い端末は存在せず、干渉リスクが低いことが期待されます。DFS(Dynamic Frequency Selection(動的周波数選択))のように気象・航空レーダにも被らないことから、より快適な通信環境が得られます。 半面、周波数が高いため、電波遮蔽物の影響を受けやすくなってしまいます。
【参考:60GHz帯の特徴】
「WiGig」と呼ばれる通信規格で、IEEE802.11adで仕様が定義されており、最大7Gbpsの高速通信を行えます。ただしミリ波帯と呼ばれる非常に高い周波数であるため、見通しの良い状況で有効距離が10m程度と短く、通信機器としてはあまり普及していません。
プライバシーポリシーをご確認いただき、同意した上でお問合せフォームにてお問合せ下さい。
関連事例一覧
中日本航空株式会社 様
無線LAN の導入事例です。電波が届きにくいなど、航空機整備場特有の条件をクリアしながら、1ヶ月の短納期でセキュアな無線 LAN 環境と認証基盤のシステム構築を実現しました。
作業がしやすくなったと、現場から喜びの声を頂いています。
一般社団法人日本自動車連盟(JAF) 様
Active Directory によるPC 認証に加え、iOS/Android でも証明書利用のアクセスを“部門間のコミュニケーションを活発にするために、本部の職場環境を見直してフリーアドレスにしました。その際に、最もセキュアな無線LAN 環境を導入。便利になったと利用者からも好評です”
株式会社サンリツ 様
"ジャパンシステムさんの対応には大変満足しています。最終提案から導入まで約2カ月と、あっという間に導入できたのも知識豊富な担当者のおかげだと思っています"
ジャパンシステム株式会社(自社事例)
働き方改革・オフィス改革の一環で、社員同士が顔を合わせてコミュニケーションできる場所、社外の新しい発想を取り組む空間が新たに誕生した。
ジャパンシステムでは、この新オフィスを十分に生かすため証明書認証方式の無線LAN環境を導入した。
"ここは、言わば規制特区を意味する「SandBox(砂場)」です。組織や所属を超えて自由にアイデアをぶつけ合い発想を形にする、という狙いがあります。このようなオープンでフリーな空間ですから、無線LAN以外の選択肢はありませんでしたね"