「MACアドレス認証」に関する危険な誤解
「端末認証」について「『MACアドレス認証』で接続できる端末を制限しているので、デジタル証明書を使わなくてもセキュリティは守られている」「『デジタル証明書認証』は難しそうだから『MACアドレス認証』にする」といった話を聞くことがある。残念ながら、これは大きな「誤解」だ。
MACアドレスとは、ネットワーク機器のひとつひとつに割り振られている固有の識別番号である。無線LANルータなどに搭載されている「MACアドレス認証(MACアドレスフィルタリング)」機能は、この番号を見て、ネットワークへの接続の可否を判断する。
「機器に固有の情報で認証を行うなら、デバイスも特定できるだろう」と思うかもしれないが、このMACアドレスは、ソフトウェアレベルで容易に「偽装」できてしまうことが知られている。さらに、MACアドレスには「データパケットの送り先を示す」という役割があるため、暗号化されていない。つまり通信経路上で容易に取得されてしまう。「悪意を持った本気の不正接続」を試みる相手に対して、MACアドレス認証は意味がないのである。
こうした「悪意を持った不正接続」に対しては、MACアドレス以外での「認証」の仕組みや秘密のキーワード(PSK)による「暗号化」で対抗することになる。しかし、そもそも他の「認証」を行っていなかったり、暗号化方式として強度の面で問題がある「WEP」を採用したままになっていたりするような場合、簡単に侵入を許してしまう。
MACアドレス認証には、あくまでも不正接続を「抑止」する効果を期待して導入するものであり、積極的に無許可デバイスの接続を「防止」したい場合には、「デジタル証明書」のような他の仕組みを採用する必要があることを覚えておいてほしい。
企業に必要な「認証システム」をワンボックスで提供する「NetAttest EPS」
高品質なネットワーク環境を実現するために有効な「外部認証」の仕組みを、効率的に導入、運用したいと考えている企業に対して、ソリトンシステムズは「NetAttest EPS」という「認証アプライアンス」を提供している。
NetAttest EPSは、ネットワークへの接続時に、ユーザーや端末の認証を行う仕組みを実現する製品だ。企業内の有線ネットワークだけでなく、VPN、リモートアクセス、無線LANアクセスポイントなど、さまざまな「入口」からの接続要求に対する認証を統合管理できる。国内ベンダーの製品として10年以上の歴史を持ち、導入実績も多い。
認証関連の機能としては、IEEE802.1X環境で利用するEAP(RADIUS)といった業界標準の認証プロトコルに対応。ID/パスワード認証のほか、デジタル証明書、ワンタイムパスワード(オプション)など、必要なセキュリティレベルに応じた幅広い認証方式に対応する。デジタル証明書については、プライベートCA機能を標準搭載しており、大規模な導入に際しても、効率的にクライアント証明書の発行、配布、運用が行える。
※クリックすると拡大画像が見られます
現在のネットワーク環境を大きく変えずに、強力な認証システムを取り入れられる点も特長だ。ユーザー情報については、既存のActive Directory、LDAP(X.500準拠)などとの連携も可能となっており、導入時のユーザー登録や運用時の管理の手間も省くことができる。
認証サーバとして必要なハードウェアとソフトウェアを最適化してパッケージングした「アプライアンス」形式で提供されるため、「故障」が少なく耐障害性が高い点もポイントだ。より高い耐障害性、可用性を求める場合は、複数台のNetAttest EPSを用いた冗長構成、分散構成をとることも可能になっている。合わせて、設定情報の自動バックアップ機能を備えるため、万一障害が起きた場合も復旧が容易におこなえる。メーカーでは「最短10分」での復旧が可能と発表している。
※クリックすると拡大画像が見られます
文字どおり、ネットワークの「入口」となる認証サービスの安定性、可用性は、ユーザーの利便性だけでなく、ビジネスの継続性という観点でも重要な要素である。その点でも、NetAttest EPSは企業のニーズに十分応えられる性能を持っていると言えるだろう。
ユーザーの意識や環境の変化に応じてネットワークの「再検討」を
無線LANの大衆化、スマートデバイスの大規模な普及といった近年のIT環境の変化に合わせて、企業のネットワークに「あたりまえ」に求められる品質も変わってきていること。特に「セキュリティ」の面では、「デバイスの認証」「管理性」など、企業ならではの要素を十分に考慮することが、ユーザーが言外に求めている「ネットワークの品質」を実現するために必要となっていることが理解していただけただろうか。
ソリトンシステムズの「NetAttest EPS」には、今回紹介したもの以外にも、「認証」を軸に企業ネットワークの「安全性」「可用性」「運用性」を高めるためのさまざまな機能、オプションが用意されている。ユーザー規模やITの利用形態、求められるセキュリティレベルに応じて、リーズナブルに導入が可能なラインアップ、ライセンス体系が存在するので、ネットワーク環境の再構成を考える場合には、ぜひ「認証システム」の選択肢のひとつとして検討してほしい。
