10月30日に赤坂プリンスホテルにて、シスコシステムズ株式会社の主催による「NETWORKERS 2003」が開催され、マイクロソフト株式会社のエンタープライズサーバービジネス本部 マネージャ、小川英輝氏が「Windows XP ProfessionalとWindows Server 2003によるセキュアな無線LANの構築」と題し、講演を行った。
■ WEPだけでは不足している、無線LANのセキュリティ
|
マイクロソフト エンタープライズサーバービジネス本部 マネージャ 小川英輝氏
|
小川氏によれば、現在広く使用されている無線LANのセキュリティはWEPであるが、これには構造的な脆弱性があると言われており、同じキーで長時間利用し続けると、危険だという。また、「認証の仕組みを持っていないため、それも別に考える必要がある」。
無線LANを使わないという選択肢もあるにはあるが、それではユーザーの生産性向上、配線コストの削減という無線LANのメリットを最初から放棄してしまい、ビジネスチャンスの喪失になってしまう。
では、無線LANを使っていく際にはどのようなセキュリティが必要なのだろうか。IEEE 802.11の基本的なセキュリティだけでは、用いるのは簡単でも、WEPは前述のように脆弱性を持つし、MACアドレスでのフィルタにも管理が煩雑、偽装が可能という欠点があり、十分とはいえない。VPNを利用すれば安全にはなるが、VPNサーバーに負荷がかかりすぎて、ネットワークのボトルネックになる危険性を持っている。
■ 無線LANのセキュリティに最適なのは「IEEE 802.1x」
「こういった現状をふまえた場合、認証を受けたユーザーにのみ通信を許可する、IEEE 802.1xが最適なものといえるのではないだろうか」と小川氏は述べる。IEEE 802.1xは、証明書を利用するのか、パスワード認証だけなのか、など認証方式を選べること、標準化されているオープンな技術であること、有線でも利用が可能な技術のため、無線だけを切り離して考える必要がないこと、など長所はいくつもある。
しかし、同技術には導入が難しいというイメージがあり、敬遠されがちなのが実情。「確かにRADIUS認証やユーザー管理のデータベースが必要であるし、認証に証明書を使う場合はPKIも利用することになり、環境構築や運用に不安を感じるケースが多いのは事実だが、マイクロソフトはこれらをトータルに提供することで敷居を下げる」とした。
|
|
|
IEEE 802.1xソリューション概念図
|
IEEE 802.1xソリューション概念図(詳細)
|
認証が完了すると、「認証成功」の文字が現れる
|
Windows XPには最初からIEEE 802.1xの認証方式の1つEAP-TLSなどが最初からサポートされている。またWindows 2003 ServerにはRADIUS認証サーバーであるInternet Authentication Services(IAS)やPKI環境を構築できる機能が用意されており、これらの機能はアクティブディレクトリのユーザー、グループ情報を参照して動く。「こうした機能を利用すれば、サードパーティのソフトを別に準備しなくても、セキュアな無線LAN環境が構築できる」と、小川氏はアピールを行った。
「EAP-TLS方式で証明書ベースの認証を行えば、無線でアクセスポイントにアクセスしようとしても、証明書を持っていないユーザーは接続ができない。またWEPキーは定期的に変更されるようになるので、WEPが有効に機能するようになる」(同氏)。こうした状態が構築できれば、セキュリティに不安を感じることなく、無線LANのメリットを十分に生かすことが可能だ。
また小川氏は、現在策定中のセキュリティ規格IEEE 802.11iと、そのサブセットであるWPAにも触れ、「将来の標準化動向を見ながら、現在使える最適なものを使うのが理想。マイクロソフトでは、それらも視野に入れて、セキュリティ機能を順次提供していく」と述べていた。
■ URL
マイクロソフト株式会社
http://www.microsoft.com/japan/
NETWORKERS 2003
http://www.cmarket.jp/networkers2003/
■ 関連記事
・ マイクロソフト吉川氏「適切な技術と製品を選べば無線LANは安全」(2003/10/23)
( 石井 一志 )
2003/10/30 19:04
|