header
TOP Special Talk Side Story Break! Back Number Presented by UNIADEX


PKI認証を利用してセキュリティーレベルを飛躍的に向上。/しかもアプライアンスだから、簡単、低コストに構築・運用できる!/アプライアンスPKI認証ソリューション

綿貫一樹
綿貫一樹
現在多くの企業で無線LANを導入している、もしくは導入したいと考えていながらも、セキュリティーに対して不安を持っているのではないでしょうか。また、今後はユビキタス社会になり、携帯電話やPDA、ノートPCなどでインターネットVPNを利用して社内にアクセスすることも増えてくるでしょう。そこでもやはり問題となってくるのが、認証の安全性やセキュリティーの確保などの問題です。

こうした問題に関して、ユニアデックスでは「アプライアンスPKI認証ソリューション」という最適なソリューションを提供しています。今回は、このソリューションがもたらす効果やメリットなどについて、同社ネットワークインテグレーション部アドバンステクノロジー室長 綿貫一樹よりご説明いたします。


■無線LAN、インターネットVPNにおけるセキュリティーの問題点
現状の無線LANやインターネットVPNにおけるセキュリティーには、どのような問題点があるのでしょうか?

無線LANの場合、MACアドレスフィルタリング、WEP暗号化といったセキュリティー機能を利用しています。そしてインターネットVPNの場合には、ID/パスワードによるユーザー認証と、共通のプリシェアードキーを併用するかたちが一般的です。しかし、こうしたセキュリティー対策や認証方式では簡単になりすまされたり、情報が漏えいしてしまったりするため、とても万全とはいえません。

▼無線LANにおけるセキュリティーを確保するには?
無線LANは、無線通信というその性格上、しっかりとしたセキュリティー対策がなされていないと不正侵入や情報漏えいがすぐに起こってしまいます。これを防止するために、多くの場合はMACアドレスフィルタリング、WEP暗号化といったセキュリティー機能を利用しています。
しかし、MACアドレスは簡単に成りすましが可能であり、WEP暗号化も数時間盗聴すれば鍵を解読することが可能です。そこで無線LAN製品への実装が進んでいるのが「IEEE802.1x/EAP技術」です。
IEEE802.1x/EAP技術とは?
IEEE802.1xは、認証の結果によりポートの開閉を制御する仕組みで、EAPと呼ばれる認証方式が使用されています。このEAPにより、従来では実現できなかったクライアントとサーバーの相互認証やWEPKeyの動的更新が可能となり、より安全な無線LAN環境を構築することが可能となります。
IEEE802.1xの動作概要
EAP認証は、有線/無線を問わず汎用的に使用することのできるプロトコルで、大きく5種類の認証方法があります。なかでも、もっともセキュリティーレベルが高いのが「EAP-TLS」という方法です。この認証方法では、クライアント/サーバー相互で証明書を用いた認証が可能となり、セキュリティーレベルを高めながらもユーザーがID/パスワードを覚える必要がなくなるといったようなメリットがあります。しかし、証明書を管理・発行するCA局が必要となり、運用管理は容易ではありませんでした。
EAP認証プロトコル比較表

▼インターネットVPNにおけるセキュリティーを確保するには?
インターネットVPNの場合、セキュリティーを確保するために使われているのがID/パスワードによるユーザー認証と、共通のプリシェアードキーを併用する方法です。しかし、これだけではVPN装置のなりすましが可能であったり、プリシェアードキーを多数のユーザーが知っていることで、鍵としての意味をなさないといったような問題があります。

このため、より強固な相互認証の仕組みが必要となり、それを実現するのがPKI認証技術です。
イメージ


■安価にかつ簡単にセキュリティーを高める「アプライアンスPKI認証ソリューション」
そうすると、無線LAN・インターネットVPNどちらの場合もPKI認証によってセキュリティー上の問題は解決できるように思えますが?

確かに、セキュリティー上の問題はPKI認証によって解決することができます。しかしPKI認証を実現するには、認証サーバーやCA局の導入・運用に大きな負荷がかかるという問題が残ります。こうした問題をも解決するのが、今回ご紹介する「アプライアンスPKI認証ソリューション」です。

▼PKI認証に必要な環境構築をワンボックスで
「アプライアンスPKI認証ソリューション」では、EAP対応RADIUSサーバー機能とCA局の機能を兼ね備えたアプライアンス製品「Net’AttestEPS」を採用。これを採用することにより容易なPKI認証環境構築を実現し、無線LAN、インターネットVPN環境でのセキュリティーを従来より簡単に強化することができます。
機能面では、サーバー/クライアント証明書の発行、証明書の失効リストの発行が1台で行え、ユーザーごとにRADIUSのセッション・タイムアウト値を設定することなども可能。アプライアンス型のため、OSに依存することなく簡単に導入でき、経験のない人間でも数時間でプライベートCA局を立ち上げることができます。
イメージ

特長その1  構築と運用にあたり、PKIに関する深い知識は不要
ユーザーはこれまで、システム管理者に利用申請をするとともに、CA局へ証明書の発行申請を行うなど、証明書発行にはいろいろと手間がかかっていました。しかし、「アプライアンスPKI認証ソリューション」の導入によりその手間を軽減。気軽に証明書を利用できるようになります。
通常のPKIソリューションにおける運用例
↓
アプライアンスPKIソリューションにおける運用例
left right

特長その2  Webベースによる簡単な運用
証明書の有効期限の設定や失効リストの適用など、すべての作業をシステム管理者がWebベースで行えます。このため、導入企業のシステム要件やセキュリティーレベルに応じた最適な運用が行えます。また、各種手続きを簡単に処理できることから、有効期限切れや失効された証明書を利用したアクセスをすぐさま拒否できるなど、運用の適正化にも貢献します。
ユーザー証明書発行の確認
<拡大図はこちら>
left right

特長その3  より信頼性を高める冗長化機能
冗長化機能により、さらに信頼性の高い認証環境を構築することができます。基本的にすべての作業はマスター側で行われ、その更新がスレーブ側に自動的に反映されます。このため、冗長化構成を気にすることなく信頼性の高い運用が可能となります。
イメージ
left right



■「アプライアンスPKI認証ソリューション」の導入メリット
アプライアンス製品を利用することで、PKI認証環境の構築を容易にしているのですね。では、実際に無線LAN環境やインターネットVPN環境に適用すると、どのようなメリットがあるのでしょうか?

「アプライアンスPKI認証ソリューション」を導入することにより、クライアント/サーバー双方のなりすましを防止したり、ワンタイムパスワードなどと比較して運用管理が容易になるなど、セキュリティーレベルの向上と運用の容易性を両立することが可能です。これに加えて、シスコシステムズ社のCatalystシリーズを用いることで、「Net’AttestEPS」のユーザーに関連付けされているVLAN名をCatalyst側で制御するダイナミックVLAN機能を利用することも可能です。

無線LANへの適用
例えば、アクセスポイントとしてシスコシステムズ社のAironet、認証サーバーに「Net’AttestEPS」を使用してクライアント証明書を各ユーザーに発行することにより、証明書を用いた相互認証が可能となります。また、証明書による認証を行うためユーザーがID/パスワードを覚える必要がなくなり、無線のWEPKeyとユーザーの再認証を自動で行えるため、安全な無線通信を実現することができます。
また、ユーザー毎に異なるVLANに収容するダイナミックVLANの併用も可能です。
イメージ
btm

インターネットVPNへの適用
例えば、ユーザー端末にVPNソフトウェアと「Net’AttestEPS」で発行したクライアント証明書を入れ、シスコシステムズ社のVPN3000シリーズにサーバー証明書をインポート。これにより、ID/パスワードによる証明に加えて証明書を用いた相互認証が可能となり、サーバー側のなりすましに対応。自宅や外出先から安全に社内へアクセスすることができるようになります。
イメージ
拠点間VPNへの適用
イメージ
btm

ダイナミックVLANへの適用
「アプライアンスPKI認証ソリューション」のひとつとして、シスコシステムズ社のCatalystシリーズを用いて、「Net’AttestEPS」のユーザーに関連付けされているVLAN名をCatalyst側で制御するダイナミックVLAN機能を利用することも可能。これにより、PCをどこのCatalystスイッチに接続しても同じVLANがユーザーに割り当てられるため、ユーザーごとの制限・管理を簡単に行えます。
イメージ
btm


従来の無線LANやインターネットVPNは、場所を選ばない快適さを提供する反面、セキュリティー上の問題がありました。しかし、今回ご紹介した「アプライアンスPKI認証ソリューション」の導入により、安全なセキュリティー環境を実現することができ、アプライアンス化によるシステム構築の簡素化を図ることができます。また、証明書の運用構築の煩雑さを解決することにより、運用管理費の削減も実現できます。ユニアデックスでは、このソリューションのご提案から保守に至るまでトータルに提供することができますので、お悩み等がありましたらお気軽にご相談ください。

TOPSpecial TalkSide StoryBreak!Back Number


UNIADEX
Copyright(C)2003.UNIADEX, Ltd. All Rights Reserved.