Skip to main content

 

Cisco Meraki Documentation

エンタープライズ向け Meraki 無線のベスト プラクティス - セキュリティ

  1. Last updated
  2. Save as PDF

このドキュメントは原文を 2025年09月03日付けで翻訳したものです。
最新の情報は原文をご確認ください。

概要

このドキュメントでは、Meraki Wireless における無線ネットワークのセキュリティからクライアントの可視性、さらには電波空間の保護(Air Marshal)まで、一般的に使用されるすべてのセキュリティ機能について説明します。セキュリティ機能は多岐にわたり、さまざまなユースケース向けに設計されているため、一部の機能はネットワークに適合しない可能性があります。常に、ネットワークの必要とするセキュリティレベルに基づいて必要な機能を選択し、本番ネットワークに適用する前に必ず検証してください。

このドキュメントは大きく3つのセクションから構成されます。「ネットワークの保護」では、暗号化、クライアント認証、アクセス制御など、Meraki ワイヤレスネットワークのセキュリティ機能について説明します。「クライアントの保護」では、アプリケーション可視化を扱います。「電波空間の保護」は、Meraki Wireless の Air Marshal として知られ、WIPS(無線侵入防御システム)、不正 AP 検知と遮断を提供します。

ネットワークの保護

アクセス制御

無線セキュリティプロトコル

無線セキュリティプロトコルは4つの主要な種類があります。これらは、無線技術と相互運用性を推進する Wi-Fi Alliance によって策定されました。

最初のプロトコルは WEP(Wired Equivalent Privacy)で、1990年代後半に登場し、基本的な64/128ビット暗号化を使用します。WEP はもはや安全な無線セキュリティプロトコルとは見なされていません。

Meraki は WEP を今後もサポートしますか?

MR30.X 以降のファームウェアでは、旧アクセスコントロールページで WEP を設定することはできず、最新ページからは非表示になります。SSID が WEP 設定の場合、その SSID はアクセスコントロールページで変更されるまで無効化されます。

WPA(Wi-Fi Protected Access)は 2003 年に登場し、TKIP(Temporal Key Integrity Protocol)を用いた 128/256ビット暗号化を提供し、WEP の代替として利用されました。 WPA2 は 2004 年に開発された後継で、現在もっとも広く使用されているネットワークセキュリティプロトコルです。AES(Advanced Encryption Standard)の設定と導入が容易で、より高いセキュリティを提供します。 最新世代のWPAは WPA3 で、Wi-Fi 6 全体でサポートされ、Wi-Fi 6E および 6GHz 無線ネットワークでは必須となります。192/256/384ビット暗号化による強化、堅牢な認証、そして暗号強度の向上を実現します。

6GHz 有効化 WPA3 SSID を設計しつつ、非WPA3 クライアントも接続可能にするには?

Wi-Fi 6E および 6 GHz 帯の導入により、厳格な WLAN セキュリティ基準が必須となりました。6 GHz 帯で SSID をブロードキャストするためには以下の設定が必要です:

・WPA3 をレイヤー2セキュリティとして設定(OWE、SAE、802.1X SHA256 のいずれか)

・PMF(Protected Management Frame)の有効化

・非WPA3方式(混在モード含む)は禁止

これらの要件により、既存のWLAN展開では6GHzでのブロードキャストに対応できない場合があります。この移行には「一括移行」「複数SSID運用」「単一SSID運用」という3つの方法があります。詳細はエンタープライズ向け Meraki 無線のベスト プラクティス - アーキテクチャ を参照してください。

認証方式

以下はワイヤレスセキュリティの互換性マトリクスです:

  WPA WPA2 WPA3
Open
OWE
Meraki クラウド認証の Enterprise
RADIUS サーバー利用の Enterprise
パスワード(PSK)
IPSK(RADIUS 有無問わず)
Enterprise(WPA1+WPA2/WPA2のみ/WPA3のみ)

Enterprise 認証(802.1X)はドメイン内のユーザーや端末を認証します。STA は認証サーバー(RADIUS または Meraki クラウド)に対し、RADIUSサーバーに設定された EAP(Extensible Authentication Protocol)方式で認証します。ゲートウェイAP(オーセンティケータ)はサプリカントと認証サーバー間でメッセージを中継します。この方式は大規模エンタープライズネットワークで最も一般的に利用されています。詳細はWPA2-Enterprise with Meraki Authentication の設定WPA2-Enterprise RADIUS 認証の設定を参照してください。

Personal(WPA1+WPA2/WPA2のみ/WPA3のみ)

Personal または事前共有キー(PSK)認証は、キーを持つユーザーであれば誰でも無線ネットワークを利用できる方式です。設定が比較的容易で、小規模ユーザーグループに適しています。しかし、パスワードを共有された不要なユーザーも接続できるリスクがあります。そのため、PSK は定期的に変更することが推奨されます。規模が大きくなるほど変更は困難になります。詳細はアクセスコントロールを参照してください。

Open(暗号化なし)/OWE(WPA3のみ)

Open モードでは暗号化なしで接続できます。OWE(Opportunistic Wireless Encryption)は、オープンネットワークと組み合わせて無線通信を暗号化し、攻撃から保護します。OWE の主な目的は、暗号ハンドシェイクにより空中でのデータを暗号化することです。これにより、Open SSID のように全フレームを簡単に傍受されることを防ぎます。ユーザー端末で OWE SSID が見つかっても「鍵」アイコンは表示されず、挙動は Open モードの SSID と同様です。

OWE はクライアントIDによる認証を伴わないため、Captive ポータル Web 認証など別のユーザー認証方式を併用する必要があります。このセキュリティ方式はデータ暗号化を支援しますが、ユーザー識別認証は別途必要です。

Identity PSK(WPA1+WPA2/WPA2のみ)

IoT(モノのインターネット)の登場により、インターネットに接続するデバイス数は飛躍的に増加しました。これらのデバイスのすべてが 802.1X サプリカントをサポートしているわけではなく、安全にネットワークへ接続するためには代替手段が必要です。WPA-PSK は、そのような代替セキュリティ手段の一つとなり得ます。

従来の設定では、同一の WLAN に接続するすべてのクライアントが同じ事前共有キー(PSK)を使用します。例えば教育機関のような特定の環境では、このキーが許可されていないユーザーに共有され、セキュリティ侵害につながる場合があります。そのため、大規模環境ではクライアントごとに一意の事前共有キーを付与する必要があります。

clipboard_ee96bbe24a26fbf7ab70f79211ae879ca.png

従来型 PSK と Identity PSK の比較

RADIUS 認証なしの Identity PSK

Meraki では、RADIUS を使用せずに Identity Pre-Shared Key(IPSK)機能で上記のユースケースに対応できます。この機能により、単一の SSID に複数のパスワードを設定し、それぞれに異なるグループポリシーを割り当てることが可能です。RADIUS サーバーの構築や管理の複雑さを伴うことなく、Meraki ダッシュボードから直接設定できます。また、802.1X 認証を使用できない IoT デバイスなどもこの機能を利用できます。RADIUS を使わない Identity PSK を設定する前に、グループポリシーの設定方法を理解しておく必要があります。詳細は IPSK Authentication without RADIUS を参照してください。

RADIUS 認証を利用した Identity PSK

Meraki では、RADIUS サーバーを統合して、IPSK 利用時にユーザー認証と連動させ、IPSK の管理や認証を行うことも可能です。クライアントが使用する MAC アドレスと PSK が RADIUS サーバーに登録されている場合のみ、そのクライアントは SSID に接続できます。

Picture 1231.png

詳細は IPSK with RADIUS Authentication を参照してください。

WPN(Wi-Fi Personal Network)

大学の寮やホテルのような大規模キャンパスネットワーク環境では、全ユーザーが同じ無線ネットワークを共有し、ネットワークデバイスを接続します。AirPlay などのディスカバリープロトコルを利用すると、自分のデバイスを多数の他ユーザーのデバイスの中から見つけるのは困難であり、ネットワークデバイスや通信が攻撃にさらされるリスクも高まります。

clipboard_ef56b955e0166ab16de994ad8aba1affd.png Meraki WPN によるデバイスセグメンテーション

Meraki が提供する Wi-Fi Personal Network(WPN)は、RADIUS を使用しない Identity PSK 認証を基盤とし、ユーザーごとに無線ネットワークをセグメント化して家庭のようなユーザー体験を提供します。これにより、同一 SSID 上でも、ユーザーは自分のデバイスだけを検出できるようになります。

さらに、WPN はディスカバリープロトコルやユニキャストトラフィックを単一 VLAN 上で分離でき、階・部屋・場所ごとに異なる VLAN を設定する必要がなくなるため、ネットワーク管理が容易になります。

Meraki は Splash Access と提携し、WPN デバイスのオンボーディングプロセスを簡易化しています。ユーザーは IdP(アイデンティティプロバイダー)で認証し、ユニークな PSK を生成して Meraki ダッシュボードに API で同期できます。詳細は Wi-Fi Personal Network (WPN) を参照してください。

クライアント IP と VLAN 割り当て

クライアント IP 割り当てオプションには、NAT モードとブリッジモードの 2 種類があります。

NAT モードでは、Meraki AP が DHCP サーバーとして機能し、プライベートの 10.x.x.x アドレスプールから無線クライアントに IP アドレスを割り当て、NAT 配下で動作します。この場合、無線クライアント間での直接接続やレイヤー2ディスカバリープロトコルの使用はできません。NAT モードはデバイスを完全に分離し、ローミングや mDNS が不可能になるため、エンタープライズ環境では推奨されません。

ブリッジモードでは、Meraki AP がブリッジとして機能し、無線クライアントは上位 DHCP サーバーから IP アドレスを取得します。ブリッジモードでは DHCP オプションが設定可能で、ファイアウォール設定により無線クライアントが他の無線/有線デバイスにアクセスできます。無線トラフィックは VLAN タグ付けされ、上位の有線インフラへ送られます。詳細は SSID Modes for Client IP Assignment を参照してください。

グループポリシー

グループポリシーは、特定のデバイスグループに適用するルール、制限、その他の設定を定義します。この機能は MR デバイスだけでなく、MX セキュリティアプライアンスおよび MS スイッチでも、無線・有線クライアントの両方に適用できます。

グループポリシーの適用は2つのステップからなります。まず、Meraki ダッシュボードでエンドポイントクライアントグループのルールを含むグループポリシーを作成します。ネットワーク全体 > 設定 > グループポリシー から追加します。

Picture 2.png

次の画面で、レイヤー3/7ファイアウォールルール、VLAN、帯域制限など、クライアントデバイスグループに適用する設定を構成します。以下の表は、Meraki ハードウェア種別ごとのグループポリシー機能対応表です。

  MR AP MX/Z(Enterprise ライセンス) MX(Advanced Security ライセンス) MS スイッチ
スケジューリング  
クライアント単位の帯域制限  
ホスト名の可視化  
VLAN タグ付け      
スプラッシュページ認証      
L3 ファイアウォール
L7 ファイアウォール  
トラフィックシェーピング  
セキュリティフィルタリング      
コンテンツフィルタリング      

グループポリシーを作成したら、次にクライアントへ適用します。適用方法には、クライアント単位、VLAN単位、Identity PSK 単位などの手動割り当て、またはクライアント種別(無線のみ)、Active Directory、RADIUS 属性を用いた動的割り当てがあります。

Picture 1.png

例:アクセスコントロールでデバイスタイプ別にグループポリシーを割り当て

詳細は Creating and Applying Group Policies を参照してください。

ファイアウォールとトラフィックシェーピング

「ファイアウォールとトラフィックシェーピング」は、Meraki ワイヤレスにおいてSSID単位で設定できるセキュリティ構成です。各SSIDごとに、L2/L3ルール(L2における無線クライアント分離、DHCP/RAガード、L3レベルのネットワークACL)、L7ルール(アプリケーションベースのファイアウォールルール)、およびトラフィックシェーピング設定が可能です。本セクションでは、ファイアウォールとトラフィックシェーピングの詳細機能について紹介します。

無線クライアント分離(Wireless Client Isolation)

無線クライアント分離は、無線クライアント同士が相互通信することを防ぐセキュリティ機能です。ゲストSSIDやBYOD(Bring Your Own Device)SSIDなどで有効で、同一ネットワーク上のデバイス間攻撃や脅威を抑制します。

この機能はブリッジモードのSSIDでワンクリックで有効化できます。デフォルトではブリッジモードでは無効化されており、NATモードでは初期設定で有効(無効化は不可)です。

ブリッジモードでこの機能を有効にすると、クライアントはデフォルトゲートウェイとのみ通信でき、同一VLAN(ブロードキャストドメイン)上の他デバイスとは通信できません。他デバイスとの通信が必要な場合は、上位ゲートウェイ側で通信を許可する必要があります(例:VLAN間ルーティングやACL設定)。同一VLAN宛の通信は拒否され、他VLAN宛の通信は通常どおりルーティングされます。詳細はWireless Client Isolationを参照してください。

DHCPガードとRAガード

RAガード(IPv6)およびDHCPガード(IPv4/IPv6)は ワイヤレス > ファイアウォール&トラフィックシェーピング ページで有効化できます。これらの機能は、クライアントがRA送信やDHCPv4/v6リース配布を行うことを防止できます。必要に応じて許可IPを指定することも可能です。

L3 / L7 ファイアウォールルール

L3およびL7ファイアウォールルールにより、LAN分離以上のきめ細かいアクセス制御が可能です。管理者は、SSIDに接続した無線ユーザーからのすべての要求トラフィックに適用されるルールセットを定義できます。ルールは上から順番に評価され、最初に一致したルールが適用され、それ以降のルールは評価されません。マッチするルールがない場合は「すべて許可」のデフォルトルールが適用されます。

Picture 3.png

例:L3ファイアウォールルール設定

L7ファイアウォールルールでは、特定のIPやポート範囲を指定せずに、NBAR(Next-gen Network-Based Application Recognition)を利用して特定アプリケーション通信を完全にブロックできます。

clipboard_ed750c0c248733d60bc3750a3fa51d4a3.png

SSIDごとのアウトバウンドルール設定例

clipboard_e7aa64f6e5e8dfb3f3ca20293686362b2.png

アプリケーション認識によるL7ファイアウォールルール設定例

詳細はMR Firewall Rulesを参照してください。

トラフィックシェーピング

Cisco Meraki アクセスポイントは、無線ネットワーク利用者ごとの帯域幅制限を設定できます。これにより、一部ユーザーが過剰に帯域を占有することを防止できます。

SpeedBurstを有効にすると、一時的に(最大5秒間)通常の4倍まで帯域幅をバースト可能になり、小規模ファイルのダウンロード体験を改善しつつ、継続的な帯域占有を防ぎます。

管理者はアプリケーションやトラフィック条件に基づいて、クライアント単位やSSID単位でアップロード/ダウンロード速度を別々に制御するカスタムルールも設定可能です。非対称な帯域設定により、例えば画像のダウンロードは必要でもアップロードは不要といった要件に対応できます。最適な設定は、アプリケーション要件や利用可能帯域を考慮して決定します。

Screen Shot 2018-08-15 at 11.32.50 AM.png

例:SSIDごとのトラフィックシェーピングルール

詳細はTraffic and Bandwidth Shapingを参照してください。

アダプティブポリシー - マイクロセグメンテーション

概要

従来のネットワークセキュリティは、IPベースのアクセス制御に依存してきました。オンライン業務の比重が高まる中、ネットワークセキュリティの重要性はかつてないほど高まっています。Cisco Meraki は、ACL やグループポリシーによる堅牢なアクセス制御を提供してきましたが、組織拡大に伴いそれらの管理は複雑化します。

ユーザー数やデバイス数が増加すると、従来のセキュリティポリシーはスケーラビリティの面で課題が顕著になります。Meraki はこの課題を解決するために、アダプティブポリシーソリューションを導入しました。

アダプティブポリシーは、セキュリティグループを用いてネットワークトラフィックを分類し、ポリシーを適用することで、アクセス制御の管理と適用を簡素化します。IPアドレスだけでなく、エンドポイントの識別情報や利用状況(コンテキスト)に基づく分類が可能なため、ネットワークを再設計することなくポリシーを更新できます。

アダプティブポリシーは、分類、伝搬、適用という3つの主要概念で構成されます。ユーザー/端末がネットワーク接続する際に、ID、LDAPグループ、位置情報、アクセス種別などに基づきSGT(Security Group Tag)に分類されます。ネットワーク機器はSGTに基づき直接トラフィックを制御するか、もしくは伝搬して別の機器で制御します。MerakiダッシュボードがSGTとポリシー管理の中枢となります。

clipboard_e08825fb6abfd18a88743683a1d4ddc49.png

Meraki アダプティブポリシーのインラインタグ付フレーム構造

clipboard_ec835b840ad7255de48c0c54d39bc1bd8.png

Meraki アダプティブポリシーのホップ間タグ伝搬

ISE 3.1 Patch 2 以降では、Cisco ISE が Meraki ダッシュボードと統合し、TrustSec の SGT/SGACL 設定をMeraki API経由で同期可能です。これにより、Merakiダッシュボードに限定されずISEから直接SGTやSGACLの追加・削除・設定ができます。

clipboard_e297916d51804a23e61fce29025d426e8.png

Meraki と ISE のアダプティブポリシー/SGT 同期連携

プラットフォームとライセンス

  MX MS MR
モデル MX64/67/68/75/85/95/100/105/250/450 & Z3 MS390 / C9300-M Meraki 802.11ac Wave 2 & Wi-Fi 6/6E MR/CW AP
ライセンス Advanced+ Advanced Advanced
最小リリース MX18.1 MS14.33.1+ /全CSリリース MR27
推奨リリース 最新MXリリース 最新MS/CSリリース 最新MRリリース

特定ネットワークでアダプティブポリシーを有効化する場合、そのネットワーク内のすべてのMerakiデバイスが上記ライセンス要件を満たしている必要があります。

スケーリング

SGT(Security Group Tag)の最大数 60
ポリシーの最大数 3,600
ポリシーごとのカスタムACL最大数 7
ACLあたりのACE(アクセスコントロールエントリ)最大数 16
IP/CIDRからSGTへのマッピング最大数 8,000

設計上の考慮事項

MerakiデバイスはSXPをサポートしていません。各ホップがCMDカプセル化をサポートする必要があります(推奨)。

CMDカプセル化をサポートしないスイッチでもデータフレームの転送は可能ですが、ポリシーの適用やSGTタグの次ホップへの引き継ぎはできません。そのためポリシー適用が一貫しなくなります。

MRはMerakiダッシュボード上でのIP/CIDR→SGT静的マッピングをサポートしません。

ネットワークにMRのみが存在する場合、この機能は利用できません。MRはSSID→SGTの静的マッピングと、RADIUSによる動的SGT割り当てのみをサポートします。この機能にはMSが必要です。

IP→SGTマッピング数の最大値は、Merakiダッシュボード上での静的マッピングのみに適用されます。 RADIUSサーバー経由での動的SGT割り当てはこの制限を消費せず、そのスケールはMerakiデバイスのクライアント接続スケールと同等です。

アダプティブポリシーの概要は Adaptive Policy Overview を、 ダッシュボードでの設定は Adaptive Policy Configuration Guide を参照してください。 ISE連携設定は Adaptive Policy and Cisco ISE を参照。 ISEとMerakiダッシュボード間のSGT/SGACL同期は 公式ガイド を確認ください。

RADSec

通常のRADIUSトラフィックは事前共有キーとMD5ハッシュを使用しますが、これはセキュリティ的に脆弱で中間者攻撃により容易に危殆化します。

RADSecはMeraki APとRADIUSサーバー間のRADIUSトラフィックをTLSトンネルで暗号化します。RADIUS通信のセキュリティ強化のため、RADSecの有効化が推奨されます。

RADSecはMRファームウェア 30.X でサポートされました。設定にはMR 30.X以上へのアップデートが必要です。

Picture ws.png

TLSトンネルはRADIUS認証の前に確立されます

  1. APがRADIUSサーバーへTCP接続を確立(SYN/SYN-ACK/ACK)。
  2. APが「Client Hello」を送信。
  3. サーバーが「Server Hello」を送信。
  4. APが証明書を検証し有効なら証明書を送信。
  5. サーバーがAP証明書を検証し有効であればTLSトンネルを確立。

詳細は Configuring RADSec (MR) を参照。

Umbrella統合

Merakiダッシュボード上でUmbrellaポリシーを無線レイヤに直接適用でき、グローバルなWi-Fiインフラの一元管理とユーザートラフィックの可視化が可能になります。 わずか数クリックでMeraki MRネットワークにUmbrellaのDNSレイヤセキュリティを展開し、マルウェアやランサムウェア等の脅威から保護できます。

clipboard_e69e920c931e1294c61067dca1819335d.png

UmbrellaとMerakiの統合

手動統合方法は こちら。 自動統合手順は こちら。 DNSセキュリティに関するホワイトペーパーは PDF を参照してください。

MRデバイスでのAMI(Alternate Management Interface)

デフォルトでは、RADIUSやSNMPなどの管理トラフィックは、Merakiダッシュボードとの通信に使用しているLAN IP/VLANから送信され、インターネットアクセスが必要です。 しかしセキュリティポリシー上、管理トラフィックをインターネットから分離する必要がある場合があります。

MR 26.x以降、MRはAlternate Management Interfaceをサポートし、プライマリアップリンクとは異なるVLANにセカンダリIPを設定して、RADIUS・SNMP・Syslog・LDAPといった管理サービスをAMI経由で送信できます。

AMI.png

この機能は ネットワーク全体 > 一般 > ワイヤレス代替管理インターフェースから有効化できます。

clipboard_e34a3a33501304302f1dcf67f8010a64e.png

AMIは静的IP設定またはDHCPで割り当て可能です。

clipboard_e642cfdbbd0025edae01a5169c7426f45.png

詳細は Alternate Management Interface on MR Devices を参照。

Meraki Secure Connect

金融機関など、ネットワークに参加する前にデバイス認証が必要な環境向けに、Meraki Secure Connect機能はAPで有線LANの802.1X認証と証明書を利用できます。 証明書はSCEP(Simple Certificate Enrollment Protocol)で配布され、インフラ制御下でセキュリティを確保します。

clipboard_e3da3e20eed1493fbe2aa66647e111051.png

  1. APは起動後802.1X認証に失敗し、ゲストVLANに配置されます(ゲストVLANはDashboardとNDESサーバーへのアクセスが必要)。APは設定を取得してNDESサーバードメインとSCEPパスワードを認識。
  2. APがNDESサーバーへSCEPパスワードを送信し、証明書を取得。
  3. 証明書インストール後、APは再起動し802.1X EAP-TLSプロセスでRADIUS認証されます。

clipboard_ea273ef7a406f7efb73cd15fbfdeafea9.png

Meraki DashboardでのSecure Connect設定

注記:この機能はMerakiダッシュボードでデフォルト無効です。有効化を希望する場合はMerakiへ連絡してください。

クライアントの保護

アプリケーション可視化

現在のエンタープライズネットワークにおけるアプリケーションは、ビジネス要件に基づいて異なるサービスレベルを必要とします。これらの要件はネットワークポリシーとして反映可能です。ここで紹介する機能を利用することで、各アプリケーションに適切なサービスレベルを提供するためのネットワーク構成が可能となります。

Network-Based Application Recognition(NBAR)はCiscoが開発した高度なアプリケーション認識エンジンで、複数の分類手法を利用し、分類ルールを迅速に更新できます。1,500以上のアプリケーションおよびサブ分類をサポートし、不明トラフィックや暗号化未分類トラフィックは1%未満です。Meraki プラットフォームに搭載された NBAR エンジンは、クライアント追跡やアプリケーション強制においてきめ細かく強化された機能を提供します。

管理者は、Merakiダッシュボードの ネットワーク全体 > クライアント ページで、クライアントデバイスが利用しているアプリケーションの詳細を確認できます。

Application Visibility on Meraki Dashboard

認識された各アプリケーション名をクリックすると、そのアプリケーションを使用しているクライアント一覧が表示されます。例として「Webex Meeting」利用状況を確認できます。

client usage detail on a specific application

クライアント単位でアプリケーション詳細を有効化するには、ネットワーク全体 > 設定 > 一般に移動し、トラフィック分析 セクションで 詳細 : 宛先ホストを収集する を選択します。適用後、クライアントごとの利用アプリケーション詳細グラフが確認可能になります。

Enabling traffic analysis by collecting client destination hostname

Per client application usage detail

NBARにより、アプリケーション単位のカスタムL7ファイアウォールルールが定義可能です。詳細は前述のファイアウォールとトラフィックシェーピング – L3/L7ファイアウォールルールを参照してください。

詳細は公式ホワイトペーパーを参照。

電波空間の保護

WIPS(無線侵入防止システム) - Meraki Air Marshal

無線ネットワークは有線ネットワークを補完し、エンドユーザーのアクセスと生産性を大幅に向上させますが、同時に不正な無線ネットワークが潜伏するリスクも生じます。Cisco Meraki の Air Marshal は、業界トップクラスのWIPS機能で空中の脅威を検知・防御し、安全なワイヤレス環境を構築します。

脅威の種類

1. 有線ネットワークの侵害 – 有線インフラが安全に構成されていない場合、悪意あるAPが有線に接続され内部ネットワークを危殆化させます。例:従業員が私物APを持込み、第三者の接続を許可する。

Rogue SSID seen on LAN

2. 無線ネットワークの侵害 – DoS攻撃やパケットフラッドにより、正規クライアントがAPに接続できなくなる脅威。

3. Evil Twin攻撃 – 攻撃者が正規SSIDを装ったAPを持ち込み、認証情報の窃取や通信傍受を試みる。

Evil Twin attack

最新のMeraki APは専用の2.4GHz/5GHz/6GHz Air Marshalスキャン用ラジオを搭載し、通常のスループットに影響を与えず継続的なRFスキャンと脅威封じ込めが可能です。対応機種はMR Overview and Specifications参照。

Air Marshalの分類

Air Marshalは以下の5つを分類表示します:不正な SSID (Rogue SSID)、その他のSSID(Other SSID)、なりすまし(Spoofs)、悪意のあるブロードキャスト(Malicious broadcasts)、パケットフラッド(Packet floods)。

Threats Visibility on Meraki Dashboard

脅威 分類方法 推奨対応
Rogue SSID LAN上のMACと空中のBSSIDを照合し、特定条件で一致した場合に分類。 全Rogue SSIDを自動封じ込め、特定Rogueのみ封じ込め、または通知。
Other SSID LANに存在しないが近傍で検出されるSSID。 通常は脅威と見なされないが、干渉源となることあり。
Spoofs 同一MAC/SSIDを使用する外部APを検出。 重大リスク、速やかに位置特定し無効化。
Malicious broadcasts DoSを目的とした802.11管理フレーム送信を検出。 攻撃元を特定し無効化。
Packet floods 短時間に大量の管理フレーム送信を検出。 機器パフォーマンス低下を防ぐため物理的除去。

自動Rogue SSID封じ込め

ワイヤレス > Air Marshal > 設定 で次を設定可能:SSIDブロックリスト、許可リスト、アラート設定。マッチ条件はSSID名、BSSID、キーワード、ワイルドカードが指定可能。

Air Marshal policy configuration

  • SSIDブロックリスト – Rogue/Other両方を対象に自動封じ込め
  • SSID許可リスト – 指定SSID/BSSIDを封じ込め・通知対象から除外
  • SSIDアラート – 検出即時に通知(ネットワーク全体 > アラート でRogue AP検出を有効化)

Example of Alert configuration

設計上の注意

PMF保護SSID –WPA3PMF使用SSIDは現状封じ込め不可。
DFSチャネル封じ込め – DFSチャネル上のSSIDは条件付きで封じ込め可能。
利用注意 – 誤った封じ込めは法的問題・利用者影響のリスクあり、必要時のみ有効化。

設定方法詳細はAir Marshal ドキュメント参照。

結論

Meraki Wireless のセキュリティ機能を正しく理解することで、ネットワーク管理者は自社ネットワークに最適なセキュリティプランを策定できます。業界をリードする Meraki セキュリティ機能群を活用すれば、管理者は企業向けゼロトラストセキュリティを無線環境で迅速に展開し、堅牢な無線ネットワークを構築できます。