1. 概要

WPA3とはWi-Fi Allianceが定義したセキュリティ規格です。
WPA3はWPA2と同様の使い勝手でより安全な認証および暗号化機能を提供できますが、使用するためにはWPA3に対応した無線端末が必要となります。

なお、2019年4月にWPA3-Personal(WPA3-SAE)の脆弱性が発見されていますが、本製品はこの脆弱性に対策済みであり問題を回避できます。

2. 注意事項

  • WPA3セキュリティを使用するには、WPA3に対応した無線端末が必要です

  • WPA3-SAE(WPA3-Personal)は、WPA2-PSK(WPA2-Personal)と互換性がありません

  • WPA3-EAP(WPA3-Enterprise)は、WPA2-EAP(WPA2-Enterprise)と互換性があります。
    ただし192bit暗号を使用するときは、WPA2-EAPとの互換性がありません

  • WPA3を使用するときは、PMF (管理フレームの保護機能)を無効にすることができません
    WPA3-SAE / EAPモードで無線端末が接続できない、もしくは接続できても「スループットが極端に低下する」「定期的に切断が発生する」などの現象が発生するときは、WPA2-PSK / EAPモードに切り替えPMFを無効にして接続をお試しください。また無線端末の無線LANドライバーの更新版がないかご確認ください

3. 対応ファームウェアリビジョン

WLX313 は、以下のファームウェアで WPA3をサポートしています。

ファームウェア

Rev.18.00.07以降

4. 詳細

4.1. WPA セキュリティファミリー

WPA (Wi-Fi Protected Access) セキュリティはこれまで3世代の規格が発表され使用されています。
Personalと表記される規格は、あらかじめアクセスポイントと無線端末で共通のパスフレーズ(PSK)を設定することでパスフレーズを知っているユーザーのみにアクセスポイントへの接続を制限します。また、パスフレーズを使用し、通信に使用する暗号化鍵を生成し使用します。
Enterpriseと表記される規格は、ユーザー認証にIEEE802.1X(RADIUSサーバーを使用したユーザー認証)を使用します。また、暗号化鍵の生成にはRADIUSサーバーが通知する値を使用します。
以下に定義されるWPAモードをまとめます。なお()内はWLX313の設定画面で表示される表記になります。

WPAセキュリティ規格と設定画面での表記
第1世代 第2世代 第3世代

WPA-Personal(対応せず)

WPA2-Personal(WPA2-PSK)
WPA/WPA2-Personal(WPA-PSK / WPA2-PSK)

WPA3-Personal(WPA3-SAE)
WPA3-SAE Transition Mode (WPA2-PSK / WPA3-SAE)

WPA-Enterprise(対応せず)

WPA2-Enterprise(WPA2-EAP)
WPA/WPA2-Enterprise(WPA-EAP / WPA2-EAP)

WPA3-Enterprise(WPA3-EAP)

4.1.1. WPA

第1世代であるWPA-PersonalおよびWPA-Enterpriseで使用されている暗号化方式TKIPは既に脆弱であることが判明しています。そのため「旧型の機器をどうしても使用しなければならない」など特別な事情が無い限り、WPA / WPA2 mixed モードを含め使用を避けることをおすすめします。

4.1.2. WPA2

第2世代であるWPA2-PersonalおよびWPA2-Enterpriseは現在もっとも使用されているセキュリティ規格であると考えられます。2006年以降のWi-Fi認証を取得した機器はWPA2の実装が必須とされています。そのため、2006年以降に導入されたWi-Fi認証機器を利用するならば、第1世代と互換性を得るために使用されるWPA / WPA2 mixed モードを使用する必要はないと考えられます。
WPA2は2017年10月に脆弱性(KRACKs)が発見されています。しかし、この問題はソフトウェアの対策をすることで回避可能です。WLXシリーズはすべて対策済みファームウェアを公開しておりますので、最新版に更新してお使いください。また、無線端末も対策が必要となりますのでご利用される無線端末機器メーカーの対応状況をご確認ください。

4.1.3. WPA3

第3世代であるWPA3-PersonalおよびWPA3-Enterpriseは、2018年に発表された最新のセキュリティ規格です。WPA3はWPA2の使い勝手をそのままに、WPA2では実装がオプション項目であったPMF(管理フレーム暗号化機能)を必須機能と変更するなど、より安全性を高めたセキュリティ規格になります。

WPA3-Personalは通信に使用する暗号鍵の導出手順を変更し、WPA2-Personalと同等の使い勝手でより安全に使用することができます。また「暗号鍵の導出手順を変更した」という点からもわかるとおり、WPA3-Personalの設定を行ったアクセスポイントにはWPA2-Personalの無線端末は接続することができません。ただしWPA2-PersonalとWPA3-Pesonalの端末を同時に使用する環境のために、"WPA3-SAE Transition Mode"と呼ばれる後方互換性を持つモードが用意されています。

WPA3-EnterpriseはWPA2-Enterpriseの機能に加え、より強固な暗号機能を使用する"192bitセキュリティ"モードが新たに定義されています。このモードはオプション項目であり、WPA3対応無線端末であっても実装されない可能性もあります。192bitセキュリティモードを有効にしたWPA3-Enterprise環境で無線端末の接続等に問題があるときは、無線端末の対応状況をご確認ください。なお、WPA2-Enterprise接続に対応した無線端末は"192bitセキュリティ"が無効な状態であればWPA3-Enterpriseのアクセスポイントに接続できます。そのため、WPA3-EnterpriseにはWPA2-Enterpriseとの互換モードは定義されていません。

4.2. WPA3-SAEの設定

本製品でWPA3-SAE(WPA3-Personal)を使用するとき、WPA2-PSKおよびWPA-PSK / WPA2-PSKと比較して設定項目は以下の変更点があります。

  • PSK (事前共有鍵)の設定可能範囲が半角英数字記号 8-128文字になる

    • WPA2-PSK、WPA-PSK / WPA2-PSKは半角英数字記号 8-63文字まで

  • PMF (管理フレーム保護)の設定項目が表示されない(常に有効となる)

    • WPA2-PSK、WPA-PSK / WPA2-PSKは"有効"/"無効"を選択可能

  • 暗号化方式の設定項目が表示されない(常にAES)

    • WPA-PSK / WPA2-PSKは"Mixed"/"AES"から選択可能

その他の機能については、WPA2-PSK、WPA-PSK / WPA2-PSKと変更なく併用できます。
また、WPA3-SAEを使用していたとしても悪意のあるユーザーにPSK (事前共有鍵)の設定文字列を知られてしまうと、悪意のあるユーザーからの接続を拒絶することはできません。
PSK (事前共有鍵)には可能な限り予測可能な単純な文字列を避け、長い文字列を設定することをおすすめします。

4.3. WPA3-EAPの設定

本製品でWPA3-EAP(WPA3-Enterprise)を使用するとき、WPA2-EAPおよびWPA-PSK / WPA2-EAPと比較して設定項目は以下の変更点があります。

  • 192bit暗号(192bitセキュリティモード)の設定項目が表示される
    (有効にするとWPA2端末は接続できなくなる)

  • 暗号化方式の設定項目が表示されない(常にAES)

    • WPA-EAP / WPA2-EAPは"Mixed"/"AES"から選択可能

その他の機能については、WPA2-EAP、WPA-EAP / WPA2-EAPと変更なく併用できます。
また、内蔵RADIUSサーバーを使用してWPA3対応の無線端末を認証することもできます。