目次ページへ

海外情報
海外のOpenRoamingとOpenWiFiの状況 その2

株式会社グローバルサイト 代表取締役
セキュア公衆無線LANローミング研究会(NGHSIG/Cityroam) 副幹事
山口 潤

前回は未だに需要が伸びる海外の公衆無線LAN事情をお話ししましたが、今回は公衆無線LANのセキュア化への動きとその中で登場した「WBA OpenRoaming」をご紹介します。

公衆無線LANにおけるセキュリティの課題

ホテルや自治体、観光地などで無線LANが用意されているのは、あたりまえの光景になりました。ビジネスホテルはもちろんのこと、ビーチやジャングルにあるホテルでも「Wi-Fi 」「free wi-fi available」といった掲示を見ることができます。
その一方で、ホテルや喫茶店などで提供される無線LANは、WPA2-PSKにて同一のパスワードで認証を行うことが多く、偽アクセスポイントによるなりすまし(Evil Twin)や盗聴(Eavesdropping)などの脅威があります。海外では大規模イベント開催時に偽基地局が多数見つかった例もあり、実際にセキュリティインシデントに至った事例も多くあります。

 

公衆無線LANなりすましの典型的な方法

 

公衆無線LANのセキュア化

これらの脅威に対して、有効なのがIEEE802.1Xを使用したWPA2 Enterpriseでの接続です。(802.1XおよびWPA2 EnterpriseについてはWi-Biz通信Vol.43 Wi-Fi技術講座 第17回 認証・暗号化方式に詳しく掲載されています)
通信キャリア系の公衆無線LANでは、加入者データベースと認証を行い、悪意ある者がなりすましアクセスポイントを設置した場合でも、利用者端末の誤接続を自動的に防ぎ、安全を確保することが可能であり、ここ数年で移行が進みました。一方で、通信事業者以外が提供する無料のフリーWi-FiではWPA2-PSKを使うことが多く、脅威への対処は未だ課題となっています。
シンガポールでは、政府主導で提供する公衆無線LAN「Wireless@SG」において、2010年より802.1Xへの対応を行い、2014年には国内キャリアのSIMを利用してのログオンが可能となりました。今では44,000のスポットにて利用可能です。
ヨーロッパでは、欧州委員会が2017年にすべての都市から村の中心部で無線インターネットアクセスを行えるようにする「WiFi4EU」プロジェクトを打ち出しましたが、このWiFi4EUの機器要件として、あらかじめ「Supports IEEE 802.1x」「Complies with Hotspot 2.0 (Passpoint Wi-Fi Alliance certification program)」が記載されています。フェーズ2として、セキュア化とオートローミングを目指しています。

 

802.1Xを使った認証を併設する事例

 

認証連携による広範囲での利用

なかなか導入が進まない802.1Xを使用した認証ですが、教育機関ではかなり早くから導入が行われていました。欧州の教育研究ネットワークを運用するGÉANT(開発時はTERENA)は、RADIUSツリーを介して認証情報を相互利用することで、教育機関を跨いだ広範囲で802.1X認証を実現する「eduroam」を開発しました。
例えば、イギリスのA大学の学生J君が学会への参加で、スペインのB大学に訪問すると、IDに含まれるレルム情報をもとに、イギリスにあるJ君が所属する機関のRADIUSサーバが持つ資格情報の交換を行い、認証を行います。これにより特に設定することなく、新たに訪問した大学や研究機関で無線LANが使用できます。
この取り組みは欧州以外にも広がり、2004年にオーストラリアが接続、2006年には東北大学のサーバが接続し日本での導入が始まりました。今日では、世界 106カ国(地域)、日本国内では370機関が参加する認証ネットワークが構築されています。

 

eduroamのRADIUSツリー

 

Passpointの登場

民間でもeduroamのように認証連携ができればという話は以前からありました。しかし、全世界で統一したSSIDを使うことは難しいところです。それを解消しようとする仕組みとして、Wi-Fi AllianceはWi-Fi CERTIFIED Passpoint®を提唱しました。Passpointでは、IEEE802.11uを用いて接続可能なサービスを自動検出・選択する仕組みを搭載しており、SSIDによらない認証手段を提供します。
Wireless Broadband Alliance(WBA)は2016年よりこの仕組みを取り入れたCity Wi-Fi Roaming Trialを行い、各事業者の持つ認証情報を利用し相互に接続試験を行いました。その後、Ciscoも同様の取り組みCisco OpenRoamingを発表しますが統一が図られ、現在のWBA OpenRoamingがスタートします。

 

Passpoint接続における端末と認証サーバ間の動き

 

OpenRoamingの展開

OpenRoamingはPasspointとIEEE 802.1Xを利用し、自治体や店舗等で取得したアカウントや通信キャリアの加入者情報を利用して世界中のどこでもローミング利用できることを目指したサービスです。
2020年よりサービスを開始し、現在ではロンドンのカナリーワーフ再開発地区やアイルランドのダブリン、テキサス州のオースティン市街地、ブラジルのサンパウロ・グアルーリョス国際空港、サンノゼやロンドンのスタジアム、スペインのビーチ、全米で展開する病院グループといった多種多様なスポットで展開されています。
OpenRoaming利用するには最初にアカウント情報をサインアップし、プロファイルをダウンロードするなどの必要がありますが、Samsung GalaxyとGoogle PixelにはOpenRoamingへの自動サインアップ機能が予め搭載されています。また、Intel、Cisco、AT&Tは共同でWindowsPCによるゼロタッチ接続をテストしており、今後はPCに予めOpenRoamingのプロファイルが載ってくるかもしれません。
日本国内でも新宿中央公園などの5Gスマートポールや北九州モノレール各駅などで利用できますので、ぜひ試してみてください。

 

Samsung GalaxyではタップのみでOpenRoaming対応APへの接続が可能

 


目次ページへ

■Wi-Biz通信(メールマガジン)の登録はこちら