社内外から社内ネットにアクセスしたい――“認証”の運用が明暗を分ける正規の端末だけを「社外」からも受け付ける

堅固なネットワークを実現しようとしたとき、基本となるのは“認証”だ。BYOD(Bring Your Own Device)やスマートデバイス活用が注目される現在、ますます認証が課題となっている。「社内ネットワークには許可したデバイス以外は存在しない」という状態を、当たり前に実現しなければならないからだ。“認証”の選択を誤るとネットワーク全体の使い勝手を損なうばかりか、最悪の場合には機能しなくなる。そうならないよう、確実に動作する専用アプライアンスの導入などを検討すべきだ。

» 2018年09月18日 10時00分 公開
[PR/@IT]
PR

無線LANの本格導入やオフィス移転、ネットワークの見直しでまず考えるべきことは?

 「無線LAN」が社内ネットワークの主役となっている企業は珍しくない。単なる有線LANからの置き換えではなく、モバイルPCやスマートデバイス利用による働き方改革を支える役目を担うようになった。企業が無線LANを整備することはもはや当たり前になり、社用携帯電話がスマートフォンに変わりつつあることも含め、受け手側の企業内ネットワークも変化に対応しなければならない状況なのだ。

 無線LANは、「家庭向けが先に普及した」技術ともいえる。従業員はそれぞれの家庭で無線LAN環境を構築しており、その便利さを企業にも求める。実はここに、ちょっとした落とし穴がある。家庭向けならば許容できたリスクも、オフィスではしっかりとした対策が必要だからだ。

 家庭向けの無線LANでも、アクセスの際には何らかの制御や暗号化が必要だという認識が広まっている。危険なWEPを止め、より安全な「WPA2パーソナル」などの暗号化設定を行っているはずだ。これに対して企業向けにも「WPA2エンタープライズ」という規格が存在する。企業に必要な安全性を提供するこの規格は、「認証」の仕組み(認証サーバ連携)により、ネットワーク内で正しい端末、正しい利用者からの接続を許可する。その認証の仕組みこそが、企業内ネットワークで「正しくつながる」ための重要なピースなのだ。

重要なピースは目立たないが……

 認証部分は、ネットワークにおいて極めて重要なコンポーネントだ。例えば家庭向けのWPA2パーソナルでは、認証の鍵として無線LANのSSIDとともにパスワードを入力する。このとき使用するパスワードは、ネットワークを利用する全ての端末で共通の文字列である。人や端末の出入りが少ない一般家庭では十分なセキュリティと言えるかもしれないが、これを企業環境に採用してしまうと問題が起きる。例えば従業員が退職した場合、パスワードを変更するまで接続可能な状態が続く。企業としては、そのような状況を避けるために直ちにパスワードを変更すべきだが、退職者が出るたびに全ての端末の設定を変える負担は重く、作業完了までネットワークを利用できない端末も出てしまう。

 もちろん対策はある。単一のパスワードを鍵にするのではなく、端末ごと、利用者ごとに接続するための“鍵”を設定すればよいのだ。ネットワーク接続をオフィスビルに例えると、入り口にゲートがあり、従業員一人ひとりに配られた社員カードを使って入館を許可するというイメージだ。WPA2エンタープライズの採用する手法はまさにこれだ。人物や端末を個別に識別して認証するこの方式であれば、ピンポイントでの接続制御が可能になる。

 このような個別認証を行うための「認証サーバ」は、RADIUS認証や証明機関(CA)など、さまざまな技術要素で構成される。オープンソースのソフトウェアを導入して機能を組み合わせ、無料で立ち上げることもできる。しかしこれらの要素の組み合わせは複雑であり、難易度は高い。また、セキュリティの性質上「認証部分が止まるとネットワーク全体が止まる」ことも忘れてはならない。無線LANは企業のインフラとして稼働し続けなければならないため、認証関連サーバではサイバー攻撃からの防御だけでなく、二重化、バックアップ、故障対策も不可欠だ。

 認証部分は、企業ネットワークの根幹部分だと言えるだろう。「正しく動いて当たり前」な部分であり、優秀なエンジニアを昼夜問わず張り付けて運用するよりも、「堅固な製品に任せる」ことが正しい選択ではないだろうか。

インフラだからこそ「正しく動くアプライアンス」を

 ソリトンシステムズはまさにその「堅固な製品」を提供している。NetAttestシリーズの認証アプライアンス「NetAttest EPS」だ。

図1 図1 NetAttest EPSは認証の核として機能する ネットワーク機器と連携し、正規の端末と認めたユーザー以外は社内ネットワークに接続できない安全な環境をシンプルに実現する

 NetAttest EPSはRADIUSやプライベートCA、ワンタイムパスワードなど、ネットワーク認証に必要な機能を1台にまとめたアプライアンス製品であり、ネットワークの入り口を守る機能が凝縮されている。2002年のリリース後、現在までさまざまな改良を繰り返した。運用保守を考え、ハードウェアの信頼性にもこだわり、その二重化にも対応している。インフラという縁の下の力持ちにふさわしく、長期間、動作し続けるための工夫を凝らした製品だ。

 ハードとソフトが一体化しているため、構築が容易であることはもちろん、万が一のときの復旧も考えやすい。故障時にはセンドバックやオンサイトを含む複数の保守レベルに合わせた対応が可能だ。ほとんどの場合は壊れた機械を取り換えるだけ。あらかじめ取得しておいたバックアップファイルを読み込ませ、最短10分で再開できる。認証部分を二重化しておけば、故障時にもネットワークが停止することはないだろう。

 インフラ部分は止まってしまうと悪い意味での存在感が出てしまうもの。信頼でき、動き続け、ストレスのないITシステムが求められており、それを実現するのがNetAttest EPSである。

図2 図2 導入工数が少ないNetAttest EPS オールインワンアプライアンスであるため、RADIUSサーバを構築する場合と比較して、半分以下の工数で、ネットワーク認証機能を実現できる

無線LANとセットで導入、「認証部分は独立して持ちたい」というニーズにも応える

 NetAttest EPSはオールインワンの認証アプライアンスとして、無線LAN導入と同時に採用する企業が多いという。無線LANという人の目からは見えづらいネットワークの入り口では、決められた人、決められた端末だけが接続できる環境が求められているためだ。

 実は、認証の仕組みは各社無線LANのコントローラーに内蔵されていることも多い。「もしかしたら内蔵機能で済むのでは」と考えている読者も多いだろう。なぜ多くの企業が、内蔵された機能を利用しないのだろうか?

 昨今は「働き方改革」の旗印の下、BYOD(Bring Your Own Device)やリモートオフィス、フリーアドレスなどのニーズが規模を問わずさまざまな企業で高まっている。その際、共通して課題になるのが適切で柔軟な「認証」だ。

 例えば出先のカフェでノートPCを開き、そこから企業内ネットワークにつなぐためには、リモートアクセスシステムを通じて従業員だけを認証する必要がある。自宅のPCから接続する場合も同様だ。その時、認証機能がオフィス内の無線LANだけで閉じていては都合が悪い。企業システムとして従業員を認証するためには、(無線LANに“従属”したものではなく)独立性の高い専用アプライアンスに任せるほうが合理的で、今後の拡張性も高いのだ。

 実際、このような将来を見据えた場合にNetAttest EPSの評価が特に高いという。ネットワーク認証に伴う機能を集約しているため、無線LANの端末認証だけでなく、リモート経由での認証にも利用できる。日本企業の製品であるため、管理画面はもちろん完全日本語化されており、直感的な操作が可能。英語にも変更できるので、グローバル対応への課題も少ない。国内に流通する有線LANや無線LAN製品、VPN機器との連携の実績が多く、これまでに投資した機器と組み合わせる場合の安心感が大きい。これも選定される理由の一つだ。

 企業以外にも病院や学校、公共機関などの「厳格にリスクを管理し、セキュリティはかくあるべし」という運用管理を望む組織に選ばれているという。特に病院では無線に対するニーズが高く、多様な端末が接続する環境を守るために認証は欠かせない。

手軽な導入に“クラウド”活用も

 ソリトンシステムズは無線LANのネットワーク認証に特化した「NetAttest EPS Cloud」も提供する。許可した機器だけを無線LANにつなげるという「当たり前」を実現するサービスだ。クラウド上に設置した証明書配布と認証の機能を、1ユーザー当たり月額100円で提供する。手軽に、堅固な認証機能を導入したい企業には朗報だ。

 企業内のネットワークは、どのような業種であっても止まってはならない重要なインフラだ。無線LANのアクセスポイントが多数稼働している環境ならば、認証部分もしっかりとしたものを導入すべきだ。新たに無線LAN環境を導入する場合や、オフィスの移転などでネットワーク構成の見直しを考えている場合、セキュアでシンプル、堅固な「認証アプライアンス」も併せて検討したい。

 簡単な操作で「組織が承認した機器だけをネットワークにつなげる」という“当たり前”の機能を手に入れたいならば、NetAttest EPSをぜひ検討リストの中に入れていただきたい。

関連ホワイトペーパー

正規利用者の私物端末接続を食い止める、+αの有線/無線LANセキュリティ

ビジネスの最重要インフラとなったネットワークには、有線/無線を問わず不正アクセスのリスクが常に存在する。リスクは外部のみならず、正規利用者が無自覚に持ち込むケースも多い。現行+αで簡便に組織を守る方法はあるだろうか?


あるとこんなに違う 法人向け無線LANにおける認証サーバの重要性

企業インフラの一部ともいえるネットワーク環境。現在の主流である無線LANは攻撃者のターゲットになりやすく、安定性の面で劣るといわれてきた。この課題を解消し、「信頼」と「安心」を確保するソリューションはあるだろうか?


Copyright © ITmedia, Inc. All Rights Reserved.


提供:株式会社ソリトンシステムズ
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2018年10月18日

関連ホワイトペーパー

ビジネスの最重要インフラとなったネットワークには、有線/無線を問わず不正アクセスのリスクが常に存在する。リスクは外部のみならず、正規利用者が無自覚に持ち込むケースも多い。現行+αで簡便に組織を守る方法はあるだろうか?

企業インフラの一部ともいえるネットワーク環境。現在の主流である無線LANは攻撃者のターゲットになりやすく、安定性の面で劣るといわれてきた。この課題を解消し、「信頼」と「安心」を確保するソリューションはあるだろうか?

関連特集

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。