綿貫一樹 |
現在多くの企業で無線LANを導入している、もしくは導入したいと考えていながらも、セキュリティーに対して不安を持っているのではないでしょうか。また、今後はユビキタス社会になり、携帯電話やPDA、ノートPCなどでインターネットVPNを利用して社内にアクセスすることも増えてくるでしょう。そこでもやはり問題となってくるのが、認証の安全性やセキュリティーの確保などの問題です。
こうした問題に関して、ユニアデックスでは「アプライアンスPKI認証ソリューション」という最適なソリューションを提供しています。今回は、このソリューションがもたらす効果やメリットなどについて、同社ネットワークインテグレーション部アドバンステクノロジー室長
綿貫一樹よりご説明いたします。 |
現状の無線LANやインターネットVPNにおけるセキュリティーには、どのような問題点があるのでしょうか?
無線LANの場合、MACアドレスフィルタリング、WEP暗号化といったセキュリティー機能を利用しています。そしてインターネットVPNの場合には、ID/パスワードによるユーザー認証と、共通のプリシェアードキーを併用するかたちが一般的です。しかし、こうしたセキュリティー対策や認証方式では簡単になりすまされたり、情報が漏えいしてしまったりするため、とても万全とはいえません。 |
| ▼無線LANにおけるセキュリティーを確保するには? |
無線LANは、無線通信というその性格上、しっかりとしたセキュリティー対策がなされていないと不正侵入や情報漏えいがすぐに起こってしまいます。これを防止するために、多くの場合はMACアドレスフィルタリング、WEP暗号化といったセキュリティー機能を利用しています。
しかし、MACアドレスは簡単に成りすましが可能であり、WEP暗号化も数時間盗聴すれば鍵を解読することが可能です。そこで無線LAN製品への実装が進んでいるのが「IEEE802.1x/EAP技術」です。 |
 |
 |
|
|
| IEEE802.1xは、認証の結果によりポートの開閉を制御する仕組みで、EAPと呼ばれる認証方式が使用されています。このEAPにより、従来では実現できなかったクライアントとサーバーの相互認証やWEPKeyの動的更新が可能となり、より安全な無線LAN環境を構築することが可能となります。 |
 |
| EAP認証は、有線/無線を問わず汎用的に使用することのできるプロトコルで、大きく5種類の認証方法があります。なかでも、もっともセキュリティーレベルが高いのが「EAP-TLS」という方法です。この認証方法では、クライアント/サーバー相互で証明書を用いた認証が可能となり、セキュリティーレベルを高めながらもユーザーがID/パスワードを覚える必要がなくなるといったようなメリットがあります。しかし、証明書を管理・発行するCA局が必要となり、運用管理は容易ではありませんでした。 |
 |
|
|
|
|
| ▼インターネットVPNにおけるセキュリティーを確保するには? |
インターネットVPNの場合、セキュリティーを確保するために使われているのがID/パスワードによるユーザー認証と、共通のプリシェアードキーを併用する方法です。しかし、これだけではVPN装置のなりすましが可能であったり、プリシェアードキーを多数のユーザーが知っていることで、鍵としての意味をなさないといったような問題があります。
このため、より強固な相互認証の仕組みが必要となり、それを実現するのがPKI認証技術です。
|
 |
そうすると、無線LAN・インターネットVPNどちらの場合もPKI認証によってセキュリティー上の問題は解決できるように思えますが?
確かに、セキュリティー上の問題はPKI認証によって解決することができます。しかしPKI認証を実現するには、認証サーバーやCA局の導入・運用に大きな負荷がかかるという問題が残ります。こうした問題をも解決するのが、今回ご紹介する「アプライアンスPKI認証ソリューション」です。 |
「アプライアンスPKI認証ソリューション」では、EAP対応RADIUSサーバー機能とCA局の機能を兼ね備えたアプライアンス製品「Net’AttestEPS」を採用。これを採用することにより容易なPKI認証環境構築を実現し、無線LAN、インターネットVPN環境でのセキュリティーを従来より簡単に強化することができます。
機能面では、サーバー/クライアント証明書の発行、証明書の失効リストの発行が1台で行え、ユーザーごとにRADIUSのセッション・タイムアウト値を設定することなども可能。アプライアンス型のため、OSに依存することなく簡単に導入でき、経験のない人間でも数時間でプライベートCA局を立ち上げることができます。 |
 |
 |
| ユーザーはこれまで、システム管理者に利用申請をするとともに、CA局へ証明書の発行申請を行うなど、証明書発行にはいろいろと手間がかかっていました。しかし、「アプライアンスPKI認証ソリューション」の導入によりその手間を軽減。気軽に証明書を利用できるようになります。 |
|
 |
 |
 |
|
|
 |
証明書の有効期限の設定や失効リストの適用など、すべての作業をシステム管理者がWebベースで行えます。このため、導入企業のシステム要件やセキュリティーレベルに応じた最適な運用が行えます。また、各種手続きを簡単に処理できることから、有効期限切れや失効された証明書を利用したアクセスをすぐさま拒否できるなど、運用の適正化にも貢献します。
|
<拡大図はこちら> |
|
|
|
 |
| 冗長化機能により、さらに信頼性の高い認証環境を構築することができます。基本的にすべての作業はマスター側で行われ、その更新がスレーブ側に自動的に反映されます。このため、冗長化構成を気にすることなく信頼性の高い運用が可能となります。 |
|
 |
|
|
アプライアンス製品を利用することで、PKI認証環境の構築を容易にしているのですね。では、実際に無線LAN環境やインターネットVPN環境に適用すると、どのようなメリットがあるのでしょうか?
「アプライアンスPKI認証ソリューション」を導入することにより、クライアント/サーバー双方のなりすましを防止したり、ワンタイムパスワードなどと比較して運用管理が容易になるなど、セキュリティーレベルの向上と運用の容易性を両立することが可能です。これに加えて、シスコシステムズ社のCatalystシリーズを用いることで、「Net’AttestEPS」のユーザーに関連付けされているVLAN名をCatalyst側で制御するダイナミックVLAN機能を利用することも可能です。 |
 |
例えば、アクセスポイントとしてシスコシステムズ社のAironet、認証サーバーに「Net’AttestEPS」を使用してクライアント証明書を各ユーザーに発行することにより、証明書を用いた相互認証が可能となります。また、証明書による認証を行うためユーザーがID/パスワードを覚える必要がなくなり、無線のWEPKeyとユーザーの再認証を自動で行えるため、安全な無線通信を実現することができます。
また、ユーザー毎に異なるVLANに収容するダイナミックVLANの併用も可能です。 |
 |
|
 |
|
 |
| 例えば、ユーザー端末にVPNソフトウェアと「Net’AttestEPS」で発行したクライアント証明書を入れ、シスコシステムズ社のVPN3000シリーズにサーバー証明書をインポート。これにより、ID/パスワードによる証明に加えて証明書を用いた相互認証が可能となり、サーバー側のなりすましに対応。自宅や外出先から安全に社内へアクセスすることができるようになります。 |
 |
|
 |
 |
|
|
 |
| 「アプライアンスPKI認証ソリューション」のひとつとして、シスコシステムズ社のCatalystシリーズを用いて、「Net’AttestEPS」のユーザーに関連付けされているVLAN名をCatalyst側で制御するダイナミックVLAN機能を利用することも可能。これにより、PCをどこのCatalystスイッチに接続しても同じVLANがユーザーに割り当てられるため、ユーザーごとの制限・管理を簡単に行えます。 |
 |
|
|
|
| 従来の無線LANやインターネットVPNは、場所を選ばない快適さを提供する反面、セキュリティー上の問題がありました。しかし、今回ご紹介した「アプライアンスPKI認証ソリューション」の導入により、安全なセキュリティー環境を実現することができ、アプライアンス化によるシステム構築の簡素化を図ることができます。また、証明書の運用構築の煩雑さを解決することにより、運用管理費の削減も実現できます。ユニアデックスでは、このソリューションのご提案から保守に至るまでトータルに提供することができますので、お悩み等がありましたらお気軽にご相談ください。 |
|
 |
Copyright(C)2003.UNIADEX, Ltd. All Rights Reserved. |
|
