特集:エンタープライズ・ワイヤレスLANでは、第1回では、「いまの無線LANアクセス・ポイントがダメな理由」と題して、WEP+IEEE 802.1x/EAP+RADIUS認証サーバを用いた大規模無線LANネットワークの必要性と構築ポイントを解説した。第2回「安定稼働しない無線LANセキュリティの課題」では、WEP+IEEE 802.1x規格での問題点と課題をお伝えした。
後編となる今回は、社内に認証無線LANを導入しようとする担当者の純粋な疑問解消の助けとなるよう、以下のQ&A形式で進めたい。 今回はWEP+IEEE 802.1x/EAP+RADIUS認証サーバを用いた大規模無線LANネットワークを構築する際の基本的な内容を中心に、次回は一歩踏み込んだ、コストや運用管理について解説していく。
Q: エンタープライズ・ワイヤレスLANにおいて、WEP+SSID+MACアドレスフィルタリングによるセキュリティ対策では、本当に不十分なのか?
A: 企業向けとしては不十分
今回の取材を通して各ベンダやSIerのほとんどすべてに、この基本的な質問を投げかけたのだが、その解答は全員が全員、判で押したように「不十分」と口をそろえた。その理由もほぼ同じで、まず、WEP暗号の解読方法がネットなどを通じて広く知れ渡ってしまっているという点を挙げる。また、TKIPを導入して周期的に暗号化キーを変更する場合でも、「高速に解読すれば破ることも可能なので根本的な解決にはならない」(日本アルカテルeビジネスネットワーキング事業部ネットワーキングインフラストラクチャービジネスユニットテクノロジーマーケティングアジアパシフィックディレクター・桑田正輝氏)と言い切る。
また、SSIDを利用したアクセス制御にしても、SSIDそのものはセキュリティ機能を持つものではないということを認識しておこう。これは、アクセスポイントとクライアントの帰属をグループ分けするために設定する一種の"合言葉"のようなものだからだ。現にSSIDを空欄、あるいは「ANY」としておくことですべてのSSIDで通信が可能となる設定になっている。ちなみに、アクセスポイントの側で「ANY」による接続を拒否する設定やSSIDの隠ぺいを施すこともできる。
最後のMACアドレスフィルタリングにしても、「知識を有したものであれば、アドレスを偽造し、なりすましによる不正なアクセスを行うことも可能であり、ユーザーを特定することができない点が問題」(シスコシステムズ・マーケティングアドバンストテクノロジー本部ワイヤレスネットワーク部部長・大金日出夫氏)と、セキュリティ対策としては十分ではないと指摘する。また、何にも増して、WEP+SSID+MACアドレスフィルタリングによるセキュリティが、多数のクライアントが利用するエンタープライズ・ワイヤレスLANにおいては、「保守・運営・管理」の面で煩雑で非常に非効率的である点も大きな問題であろう。
Q: EAP各方式はどれを選べばいいのか?
A: 現状ではすべての場合において誰もが納得する方式はない
EAPの選択方法については、これがオススメ! という一発回答を得ることが難しい。それは、個々のネットワーク環境やクライアントに使われているWindowsのバージョンの違いといった部分で、いずれの方式においても導入コスト、手間、管理などの面で一長一短が発生するためだ。
例えば、クライアントのOSのバージョンといった視点から考えてみよう。クライアントにWindows 2000とXPを利用している場合、この両OSが標準でサポートしているEAP方式、PEAP(Protected EAPTransport) または、TLS(Transport Layer Security)がその第一候補として挙がるだろう。OSが標準でサポートしているとクライアントへのサプリカント導入コストや手間が大幅に軽減できるというメリットがあるからだ。
では、PEAPあるいはTLSのどちらを選んでも同じなのかという疑問も起きよう。これら2者の最大の違いは、認証サーバやクライアントのなりすましを防止する電子証明書の有無にある。PEAPの場合サーバによるクライアント認証は、IDとパスワードによって行われるため、クライアント側の設定等の手間は少なくて済む。
一方のTLSは、クライアントとサーバの双方で証明書による認証が行われる。これはセキュリティ対策としては申し分ないのだがクライアントに証明書を持たせる作業が必要となる。「大規模な無線LANシステムともなると、クライアントに証明書を持たせる作業に膨大な工数が発生する」(NEC企業第1ソリューション事業部 ソリューションビジネス推進部 エキスパート 佐々木康隆氏)そうだ。また、導入時だけでなく、証明書の期限が訪れるたびにこの作業が必要になることも忘れてはならない。ただし、IDとパスワード認証のみのPEAPと比較するとより強力なセキュリティを構築することも可能だ。
その一方で、Windows 98などEAPをサポートしていないクライアントを使用する場合は、サプリカントの導入が必要となる。例えば、米FUNK社が提案するTTLS(Tunneled TLS)を例に挙げると、同社へのライセンス料(サプリカント料金)やクライアントへの導入作業が発生し、大規模な無線LANを構築する場合はその辺りにも十分配慮した方がいいだろう。
Copyright © ITmedia, Inc. All Rights Reserved.