常識3MACアドレスでの端末認証も不十分、デジタル証明書の利用を
会社が一部の管理を行う前提で従業員に利用を認めるBYODでなく、従業員が勝手に持ち込んで利用する「シャドーIT」への対策も、スマートフォンと無線LAN環境の普及に伴って顕在化してきた問題だ。セキュリティレベルの低い、もしかすると不正なプログラムが(ユーザーがそれと知らなかったとしても)仕込まれているかもしれない端末が、自由に社内ネットワークを利用するような状況は、何としても避けたい。前述のようなPSKではシャドーITを防止することはできない。端末を識別するための仕組みが不可欠だ。
ネットワーク上の端末識別としては、古くからMACアドレスが用いられてきたが、これは実は、もともと認証のためのものでなく単なる通信経路上の宛先情報に過ぎない上に、容易に変更できるものとなっている。従業員の中に知識と悪戯心を持つ者がいれば、会社から許可されていない端末を正規に許可された端末の代わりにMACアドレス認証を通して接続させることも容易だ。
これらの手段に対し、不正接続を防止する効果を備え、かつ汎用性が高い手段として挙げられるのが、デジタル証明書だ。管理者が確実に管理でき、例えば紛失/盗難時にも失効や再発行といった手続を適切に行うことが可能だ。
無線LAN接続において電子証明書を用いた認証を行う場合、前述の「IEEE 802.1X EAP認証」の方式のひとつ「EAP-TLS」を選択すれば良い。
常識4複数機器の運用は手間がかかる。専用アプライアンスで解決を
家庭向けのアクセスポイントでPSK、MACアドレス認証の管理に慣れている方にとっては、セキュリティや品質を高めるためとはいえ、法人向けアクセスポイントによる外部認証サーバ連携やデジタル証明書の導入はハードルの高いと感じるかもしれない。しかし実際、これらは標準化された認証技術であり、企業向けアクセスポイントの多くが標準で対応しているもので、導入そのものは難しくない。
ただし、標準技術であるとはいえ、をそれぞれ個別のソリューションとして採用すると、その後の管理に負担が生じる可能性がある。例えば可用性を向上させるためのサーバ冗長化や、障害発生時の問題の切り分け・問い合わせ、またそれぞれ個別に提供されるセキュリティパッチの適用、管理者およびエンドユーザー向けのマニュアルなど、いくつかの課題に直面することが考えられる。こうした問題も、認証専用のアプライアンスなら解決することが可能だ。
オールインワンの認証アプライアンス「NetAttest EPS」
ネットワーク認証専用アプライアンスを選定する上では、信頼性が高く、豊富な実績を有するものが望ましい。ソリトンシステムズのオールインワン認証アプライアンス「NetAttest EPS」は、認証サーバとして必要なRADIUS認証、CA証明書管理、LDAPデータベースの3つの機能を1台で提供するアプライアンス製品だ。無線LANだけでなく有線LANやリモートアクセスにも利用でき、多種多様な他社の認証環境とも連携するため、さまざまな企業のネットワーク認証を一手に担うことができる。
図:無線LANだけでなく有線もリモートも対応するオールインワン認証アプライアンス
また幅広いモデルを用意しており、100ユーザー程度の小規模環境から、10万ユーザーにも及ぶ大規模環境まで対応する。堅牢設計により安定稼働を実現し、ハードウェア2台による冗長構成なども可能で、認証不能な状態を極限まで減らすことが可能。2002年の発売依頼、シリーズ累計1万5000台以上の出荷実績があり、様々な業種・規模の組織で採用されている。
ソリトンシステムズでは、電子証明書を安全かつ効率的に配布するためのオプション製品「NetAttest EPS-ap」も提供している。
こうしたソリューションを適切に選定することで、ユーザーにもIT部門にも大きな負担なく導入でき、効果的なセキュリティ管理を実現できるようになるはずだ。
