認証済みのクライアントなら、無線LAN接続後は自由に社内のネットワークを利用できる、というようでは問題だ。認証した方式やクライアントの種別などに応じたアクセスコントロールを実施したい(図3-4)。

図3-4●接続方法やクライアントの種別に応じた制御が必要
図3-4●接続方法やクライアントの種別に応じた制御が必要
無線LANを導入することで、様々なクライアントがLANに接続できるようになる。誰が使っているかや、どのようなセキュリティ対策が実施されているかなどにより、LANでどのように制御すべきかを決める必要がある。
[画像のクリックで拡大表示]

 VLANやAPのアクセス制御機能を使って制御する。例えば、電子証明書で認証した業務用クライアントなら、有線クライアントと同様に、業務サーバーへのアクセスを許可する。BYODやゲストアクセスのクライアントは、インターネットへのアクセスだけを許可する、といった具合だ。

 無線LANクライアントを有線と同様に扱うのは抵抗がある、という企業もまだ多い。もし既に、インターネットを経由したリモートアクセスの仕組みを用意しているなら、無線LANクライアントを同じポリシーで制御するのも方法の一つだ(図3-5)。無線LANに接続したクライアントを、インターネット経由と同じように強制的にVPNゲートウエイにアクセスさせて管理する。

図3-5●無線LAN経由のアクセスをインターネット扱いに
図3-5●無線LAN経由のアクセスをインターネット扱いに
無線LAN接続のリスクを測りかねる場合は、従業員が自宅や外出先からインターネット経由でアクセスする場合と同じポリシーを適用する。いったんVPNゲートウエイに誘導し、インターネット経由で社内LANに接続するクライアントと同じ仕組みで、アクセス先や利用アプリケーションを制限する。
[画像のクリックで拡大表示]
▼VLAN
Virtual LANの略。LANスイッチを使ってレイヤー2でネットワークを仮想的に分割する。
▼VPNゲートウエイ
クライアントとの間にVPN(Virtual Private Network)を構築するための通信装置。認証機能やアクセス制御機能を備えるものが多い。