IP電話機能を備えた携帯電話機「FOMA N900iL」の登場から1年半。最近は,無線LANを利用したIP電話システムを導入する企業ユーザーが増えているらしい。無線IP電話システムでは,とかく音質や使い勝手が話題になることが多い。しかし,企業ユーザーが無線LANを運用するに当たって最も問題となるであろう,セキュリティに関連した話題はあまり聞かない。そこで今回は,無線IP電話と無線LANセキュリティの関係について考えていきたい。
オフィス利用の無線LANに浸透するIEEE802.1X認証
無線LANはセキュリティに問題があるとよく言われる。ケーブル配線なしで使える無線LANは,便利な半面,電波をキャッチされると盗聴や不正利用される危険性がある。このため,家庭で利用する場合でも,無線LANは暗号化の設定が必須となっている。オフィスで無線LANを利用する場合はさらに,IEEE802.1Xという認証技術を採用するケースが多い。
IEEE802.1X認証とは,ユーザーを認証してLANの利用の可否を決める技術。社内に設置した無線LANアクセス・ポイント(以下AP)を第三者に使わせないようにする。IEEE802.1Xを利用すればさらに,ユーザーごとに異なる暗号鍵(の基となるデータ)を配布できるので,盗聴防止にも役立つ。
IEEE802.1Xは,端末に実装するクライアント・ソフト「サプリカント」と,認証処理をする「認証サーバー」,認証の結果によりネットワークへの接続を制御する「認証装置」で構成する。端末上で動くサプリカントが認証装置に認証データを送ると,認証装置はそれを認証サーバーへ転送して認証処理を行う。認証装置はその結果を認証サーバーから受け取り,端末をLANに接続するかしないかを制御する。無線LANで認証装置の役割を果たすのはAPだ。
実は,このIEEE802.1X認証が無線IP電話の使い勝手を悪くしている。
無線IP電話との併用に難あり?
オフィス内で無線LANを利用する場合,オフィスのどこでも無線LANが利用できるように,チャネル(無線LANの通信に使う電波の周波数帯)が重ならないように複数のAPを設置して面的にエリアを広げる必要がある。こうした無線LANシステムで,携帯電話のように歩きながら無線IP電話を利用すると,ハンドオーバーが起こる。
ハンドオーバーとは,APがカバーするエリアをまたいで無線LAN端末が移動するとき,端末が電波をやりとりするAPを切り替えること。無線LAN端末はまず,自分のいるエリアをカバーするAPと通信を始める。通信したまま移動してそのエリアを外れて別のAPがカバーするエリアに入ると,チャネルを切り替えて近場のAPを相手に通信を継続する。これがハンドオーバーだ。
ところが,IEEE802.1X認証を採用していると,このハンドオーバーに秒単位の時間がかかる場合があるという。単にチャネルを切り替えるだけでなく,新しいAPを介したIEEE802.1Xの再認証が必要となるためだ。この結果,無線IP電話の通話が途切れてしまう。
先の説明のとおり,802.1X認証は認証装置(AP)の部分でネットワークへの接続の可否を判断している。そのAPが切り替わるのだから,どうしても再認証が必要になるのである。
こうした問題から,「無線LANのセキュリティを甘くして使い勝手を優先させる」という考え方も出てくるだろう(そもそも802.1X認証に対応していない無線IP電話機もある)。しかし,それでは根本的な解決にはならない。
独自技術で無線IP電話の問題に対処
ハンドオーバー時の音切れ問題を解消するために,これまで無線LANベンダーやシステム・インテグレータはいろいろと知恵を絞ってきた。
例えば,米国の無線LANベンダーMeru Networksは,無線LANコントローラ装置とAPを組み合わせて,複数のAPが同じチャネルを使うことでハンドオーバーを発生させない「バーチャル・セル」という仕組みを持つシステムを製品化した。複数のAPの電波出力状況を無線LANコントローラが一元管理し,各APで発生する電波干渉を抑えることで,複数のAPをあたかも1台のAPのように扱うわけだ。ハンドオーバーが発生しないので,802.1X認証を採用していても再認証の必要がなくなり,音切れを防げる。
ほかにも,802.1X認証の代わりにMACアドレス認証を採用し,甘くなるセキュリティは,無線LANコントローラが備えるファイアウォール機能でカバーするといった手法を採用するシステム・インテグレータもある。どちらも,ベンダーの独自技術を利用して無線IP電話の音切れを防ぐという対策だ。
標準技術で可能となる高速ハンドオーバー
その一方で,こうした独自のしくみを使わずとも,標準規格で高速ハンドオーバーに対応する製品が登場し始めている。というのも,無線LANセキュリティの標準規格であるIEEE802.11iでは,オプションとしてIEEE802.1X認証を利用する場合の高速ハンドオーバー技術を2種類規定しているのだ。それは「事前認証」(pre-authentication)と「PMKキャッシュ」(pairwise master key cache)である。
事前認証は,無線IP電話が移動しながら通信しているとき,ハンドオーバーが起こる前に次のAPと802.1X認証を済ませてしまうという技術。ハンドオーバーが発生した時点ではすでに認証が完了しているので,切り替えがスムーズになる。すでに,米Extreme NetworksのAPなどが事前認証に対応済みだ。
一方のPMKキャッシュは,IEEE802.1Xの認証手順の途中で生成された情報をAP間で共有することで手順の一部を省略する技術。認証の手順の後半でやりとりされるPMKという暗号鍵の基となる情報を複数のAPで共用する。こちらの技術は,沖電気工業のAPがすでに対応している。
ただ,こうした技術を利用するには,APだけでなく無線IP電話機側の対応も求められる。残念なことに,冒頭で紹介したIP電話機能を持つ携帯電話機「FOMA N900iL」は,802.1X認証には対応しているものの,これらの高速ハンドオーバー機能には未対応だという。
セキュリティと使い勝手の兼ね合いが課題に
使い勝手の問題は無線IP電話に限った話ではない。IEEE802.1X認証といった無線LANセキュリティ対策を施すとパソコンの使い勝手が悪くなるケースもある。
そもそもWindows XPに標準添付の802.1X用サプリカント・ソフトの使い勝手がよくないという話や,Windowsネットワークの認証手順と802.1X認証の連携がうまくいかずにWindowsネットの利用に支障が出るという話はよく聞く。サード・ベンダーのサプリカントは多機能だが,米国製のソフトだったりすると設定画面がすべて英語表記になっていたりして,とても「ユーザー・フレンドリ」とは言えない。
運用管理する側の負荷も大きくなる。認証サーバーとしてRADIUSサーバーを運用しなければならない。さらに,電子証明書を利用する方式を採用するとなると,自社で電子証明書を発行するCA局の運用もしなければならない(もちろん,パブリックのCA局に電子証明書を発行してもらうこともできるが,運用コストが跳ね上がる)。
オプション扱いとはいえ標準規格を活用することで,パソコンを使う場合のみならず無線IP電話を利用する環境でも,強固な無線LANセキュリティを実現できるようになった。あとは,使い勝手との兼ね合いだ。
セキュリティをガチガチに固めてしまうことで使い勝手が悪化し,結果としてユーザーに使われなくなってしまっては意味がない。無線LANセキュリティの今後の課題は,いかに使い勝手を損なうことなく高度なセキュリティを確保するかという点になる。
標準技術で高度なセキュリティ対策が可能になれば,ベンダー間の競争で,製品の使い勝手はよくなっていくだろう。すでに,高度なセキュリティを確保しても使い勝手が損なわれないことを無線LAN製品の“ウリ”にするベンダーも増えている。
ただし,こうした記事で「使い勝手」に関する情報を正確に伝えるのは難しい。そこで日経NETWORKでは,2月1日~3日に東京ビッグサイトで開催される「NET&COM 2006」において,「ネットワーク最前線:無線LANセキュリティ・ホットステージ」というコーナーを設置することにした。展示会の来場者の方々に,最新の無線LANセキュリティ・ソリューションのデモを行うものである。さまざまな無線LANセキュリティの技術が集合する。「百聞は一見にしかず」。ぜひ会場に足を運んで最新のソリューションを体験していただきたい。
