ビジネスとワイヤレスはIPNでつながる！ IPN-W100APが実現する 手軽でセキュアな無線LAN

　無線LANの便利さが浸透し、導入を考える企業が増えている。しかし、セキュリティ確保のためにはコストや技術力が必要で、簡単には踏み切れない場合も多い。現在、一般的に利用されているIEEE 802.11iにおける、さまざまな課題を解決する技術として登場した、トリニティーセキュリティーシステムズのIPN Wireless LANソリューションを紹介しよう。

IEEE 802.11iよりも安価でシンプルに 　無線LANのセキュリティを確保する

　ケーブルの敷設が不要で、自席以外に移動してもネットワークを利用できる無線LANは、企業での利用にもメリットは大きい。ただし、物理的にケーブルを接続しなくても受信できる電波を通信媒体としているため盗聴に弱いという特性を持ち、セキュリティの確保が重要な課題となっている。

　無線LANのセキュリティ確保のための仕組みとして登場したWEP（Wired Equivalent Privacy）は、通信を暗号化することでこの問題に対処したものだが、企業で利用するには安全性が十分とは言えないことが広く知られるようになっている。脆弱性は、暗号技術自体ではなく通信相手が正規の相手かどうかを認証する部分にある。WEPでは通信相手を特定するための暗号鍵の盗聴やそれを元にした通信の解読が簡単にできる点が問題なのである。

　現在、この問題を解決する仕組みとして一般的に導入されているのが、IEEE 802.11iである。RADIUSなどの認証サーバと証明書を発行する認証局により構築されたIEEE 802.1xの認証システムと、AESなど強度の高い暗号化を連携させたものだ。

　クライアントがアクセスポイントに接続すると、まずアクセスポイント経由で認証サーバへアクセスし、ここで事前に申請し発行されている証明書によって認証を行う。アクセスポイント経由で認証サーバから鍵の交付が交付されて初めて、クライアントはアクセスポイントを経由したネットワークへのアクセスを許可されるという仕組みである。

図1　IEEE802.11iによる無線LANセキュリティ

　これにより、無線LANの安全性は確かに確保されている。しかし、図1を見てもらえば明らかなように、

• 無線クライアントとアクセスポイント以外に、認証サーバや認証局、無線LANスイッチなどの高価な機器が必要
• セキュリティの設定が煩雑で難しいため、高度な技術を持った管理者が必要

といった問題がある。システムを構成する要素や機器が多ければそれだけメンテナンスコストも発生するし、設定が難しいとミスが発生しやすく、管理者は原因の特定に奔走することになる。

　これらの問題を完全に排除する、まったく新しいセキュリティプロトコルが、IPN（Identified Private Network）だ。トリニティーセキュリティーシステムズが提唱するIPNの技術的背景については「IPNによるウルトラセキュリティ」に詳細があるが、これを無線LANの機器に実装することで、IEEE 802.11iで課題となる内容をすべてクリアできる。

新しい認証アルゴリズムSAS-2で 　セキュアで確実な相互認証を実現

　トリニティーセキュリティーシステムズでは、有線通信向けのIPNソリューションに加えて、IPNの機能を実装した無線LANアクセスポイント「IPN-W100AP」と無線LANカード「IPN-W100CB」を、無線通信向けソリューションとして提供する。

無線LANアクセスポイント「IPN-W100AP」と無線LANカード「IPN-W100CB」

　IPN-W100APは、IEEE 802.11a/b/g対応無線LANアクセスポイントにIPN機能を追加したもので、IPN-W100CBはIPNクライアントとなるCardBus対応の無線LANカードである。これらを導入することで、認証サーバや認証局なしに安全な認証の仕組みと盗聴不可能な暗号化を実現する。

図2　IPNによるセキュアな無線LAN

　IPNの特徴は

1. 処理負荷が軽い
2. セキュアで確実

の2つだ。その中心となる技術が、相互認証のアルゴリズムSAS-2（Simple And Secure password authentication protocol, ver.2）である。

　SAS-2では、処理負荷の高いハッシュ計算の回数を減らし、排他的論理和演算を併用しているため動作が軽く、各種プロトコルスタックに実装できる。つまり、専用の認証サーバや認証局なしに認証できるのである。また、乱数を用いた暗号鍵を動的に変化させることで、盗聴による脆弱性を排除した。これにより万が一暗号鍵を盗聴されても解読には利用できず、確実な認証が可能だということである。この動作の詳細については、「日本からの挑戦！セキュアな無線LANを構築する技術を求めて」を参照してほしい。

　さらに、IEEE 802.11iでは認証シークエンスに十数ステップ必要なのに対し、SAS-2では2回のやりとりで認証が完了する。シークエンスのステップ数が少ないということは、接続に待たされることがないというメリットとともに、アクセスポイントをまたがるローミングも高速で行えるということにもなる。

　無線LANでは、不正なクライアントが接続しているかどうかもさることながら、自分が接続しているアクセスポイントが正規のものかという点も重要な問題だ。通常の認証システムでは、クライアントは認証するものの、アクセスポイント側は認証していない。悪意のあるものが正規のアクセスポイントになりすまして、クライアントPCからの情報を盗むことが可能なのである。しかし、SAS-2は2ウェイハンドシェークを１回行うだけで簡単に相互認証が可能なため、アクセスポイント側の不正による危険性も排除することができる。

企業向け無線LAN機能をフル装備 　IPNの部分的導入が可能

　高価な機器を使う複雑な認証の仕組みが不要で、アクセスポイント側の認証も簡単に行い、しかも高速なローミングが簡単だとしても、すでに構築している無線LANネットワークを一度にすべて入れ替えるのはハードルが高い。そのような場合には、IPNの部分的導入が可能だ。

　IPN-W100APは、IEEE 802.11a/b/g対応の普通の無線LANアクセスポイントとしても使用できる。つまり、既存のネットワークのアクセスポイントだけを入れ替えても、エンドユーザーにとってはそれまで通りのネットワーク利用が可能なのである。しかも、ローカルRADIUSを搭載しておりWPA-Enterprise方式をサポートしているので、中小規模のネットワークでWPA-PSK方式で無線LAN環境を構築している場合は、アクセスポイントをIPN-W100APに置き換えるだけでIEEE 802.11i相当へとセキュリティ強度が上がることになる。

図3　IPN-W100AP/CBの利用イメージ IPNベースのクライアントと既存の無線LANクライアントが共存できる

　それに加えて、特に高いセキュリティが必要な部署のクライアントPCにIPN-W100CBを装着すれば、その部署だけの部分的なIPNベースのネットワークが利用できる。これは、その部署だけが安全なVLAN（Virtual LAN）を利用しているのと同じことになる。

　もちろん、社内のすべてのクライアントがIPNに対応すれば、すべての無線LAN通信が高いセキュリティを持ったものとなる。社内の無線LANをIPNで構築して、アルバイトや短期の契約社員、あるいは来客者は通常の無線LANを経由しインターネットのみをアクセス可能とするような、ネットワークのセグメント分けも可能だ。

　また、すでに認証局や認証サーバを運用している大規模ネットワークの場合でも、既存のアクセスポイントをIPN-W100APに置き換えることができる。この場合は、IPN-W100APは外部の認証サーバを利用するので、それまで通りのネットワーク運用が可能だ。無線LANカードであるIPN-W100CBも通常の無線LANアクセスの機能を搭載しているので、部分的にアクセスポイントを入れ替えた部署にだけIPNを利用するといった導入方法でも支障はない。

企業利用を助ける構築支援や 　複数アクセスポイントの管理

　IPN-W100APは、企業向けアクセスポイントとして、さまざまな機能を搭載している。そのなかで特徴的なものをいくつか挙げておこう。

　企業において無線ネットワークを構築する際に大きな課題となるのがセル設計だ。電波干渉を避けつつ複数のアクセスポイントを設置するのは、電波が目に見えないだけに苦労する点である。IPN-W100APは、常に電波環境をモニタして動的な調整を行う。チャネル調整やセル設計を自動で行うため、ネットワーク構築の際に電波干渉を意識する必要はない。

　運用を開始してからも、複数のアクセスポイント同士が互いの電波状況に関する情報を交換しあって最適な電波状態を作る。さらに、近くで干渉を起こす電波源が発生した場合には、その干渉を避けるようにアクセスポイントが自動的に調整を行うとともに、その電波源がなくなれば元の状態に戻すといったことを自律的に行う。例えば、電子レンジを使った時にその干渉を避けるように動的にセルの状態を変えるといったことである。

　また、BSSID（Basic Service Set Identifier）やSSIDごとに異なるVLANを割り当てるマルチSSIDにも対応している。この機能を利用すると、インターネットの参照のみが可能なゲストアクセスと、社内へのアクセスを1台のアクセスポイントで実現できる。

　さらに、企業、病院などでのWi-Fi 携帯電話を使った内線利用にも対応できるようにVoiceだけでなく、マルチメディアの優先制御（WMM：Wi-Fi Multimedia)を標準でサポートしており、映像や、音声、データーの有効活用を可能にする。

　そのほかにも、不正アクセスポイントの検出機能など企業利用で必要な機能はほとんど搭載しており、アクセスポイントの一括設定やSNMPによる一括管理が可能だ。

　価格は、IPN-W100APが128,000円（税別）でIPN-W100CBが9,800円（税別）。企業で求められる高度なセキュリティとさまざまな機能を提供するものとしては、かなり低価格である。新たに無線LANを構築する場合にはもちろんのこと、部分導入が可能なので順次入れ替えていくにもお勧めのソリューションである。