• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

今週のSecurity Check

イントラネットからの情報漏えいを防ぐ~不正なパソコンを接続させない方法~

谷川智彦 2004/01/19 ITpro

 社内であればどの部屋からでもLANに接続できる環境を用意している企業は多い。床や壁に用意されたLANのポートにマシンを接続すれば,社内サーバーにアクセスできてしまう。利便性は高いものの,セキュリティが問題である。正当なアクセス権限を持たない人物でも,人目につかない場所に用意されたLANポートに,持ち込んだノート・パソコンを接続すれば,社内の情報にアクセスできる。実際,このような形で社内情報が持ち出された事件がある。そこで今回の記事では,不正なマシンをLANに接続させない方法について考えてみたい。

認証VLANとIEEE802.1X認証

 権限がないユーザーによるLAN接続を防ぐには,LANに接続する際にユーザー認証すればよい。代表的な認証方式(技術)が,認証VLANとIEEE802.1X認証である。認証VLANでは,認証機能を備えたスイッチを使用する。認証機能を備えたスイッチにつないだマシンを起動すると,まずは仮(デフォルト)のVLANに接続させられ,DHCPサーバーからは仮のIPアドレスが付与される。このIPアドレスを使ってスイッチに対して認証を行う。適切なID/パスワードを入力するなどして認証が成功すれば,正規のVLANに接続するためのIPアドレスがスイッチから与えられる。

 IEEE802.1X認証は,IEEE802.1X規格(Port-Based Network Access Control)に従った認証方式である。認証VLANと同様に,スイッチのポート単位でのアクセス制御だが,認証VLANとは異なり,IP通信による認証ではない。このため,「サプリカント」と呼ばれるクライアント機能をマシンが備えている必要がある。

 認証VLANとIEEE802.1X認証のいずれを使う場合でも,ネットワークを構成するネットワーク機器(スイッチ)が備える認証機能を使ってアクセス制御を行う。このため,現状の機器をそれぞれに対応した機器に置き換える必要がある。コストや手間を考えると,容易には実施できないだろう。そこで,ネットワーク機器を置き換えることなく不正なパソコンをLANに接続させない方法を考えてみたい。

DHCPサーバーを使う

 多くの企業では,自動的にIPアドレスを割り振るDHCPサーバーを運用している。このDHCPサーバーを使って,不正なマシンをつながせない方法がある。具体的には,接続を許可したマシンのMACアドレスをDHCPサーバーに登録しておく。そして,未登録のMACアドレスを持つマシンへはIPアドレスを割り振らないように設定しておく。ほとんどのDHCPサーバーでこの設定が可能だ。DHCPサーバーを運用している企業では,コストをかけずに導入できる。

 ただし運用は大変である。まずは,社内のすべてのマシンのMACアドレスをリストアップする必要がある。さらに,リストをメンテナンスし続ける必要がある。加えて,MACアドレスで認証することになるので,ユーザー単位で認証することはできない。

 しかし,現在ではこのデメリットを解消したDHCPサーバーが登場している。例えば,「NEC WebSAM VitalQIP」などである。この製品は,認証機能と「VLAN振り分け」機能を備えている。

 認証機能やVLAN振り分け機能を備えたDHCPサーバを使う認証を「認証DHCP」と呼ぶ。認証DHCPを使って正規のVLANへ接続するまでの手順は認証VLANと似ている。まず,マシンを起動すると,認証DHCPサーバーから仮のIPアドレスが与えられる。これでアクセスできるのは,仮(デフォルト)のVLANだけである。次に,仮のIPアドレスを使って認証DHCPサーバーへアクセスし,ID/パスワードを入力するなどして認証を行う。認証が成功すれば,認証DHCPサーバーから,正規のVLANへアクセスできるIPアドレスが付与される。

 認証VLANと同等の利用環境が実現できるにもかかわらず,スイッチなどを置き換える必要はない。DHCPサーバー・ソフトだけ置き換えればよい。ブラウザで認証する場合にはクライアントに何もインストールする必要はない。Windows環境へのログオンと認証DHCPへのログオンを同時に行うシングル・サインオンを実現したい場合には,認証VLANと同様に,認証ソフトをクライアントにインストールしておく必要がある。認証ソフトをインストールしている場合には,指紋認証やICカード認証用のデスクトップ・セキュリティ製品と連携させて,指紋やICカードで認証DHCPへログオンすることも可能だ。

 最近では,比較的導入が容易な認証DHCPは「検疫システム」を構築するために用いられている。検疫システムを構築すれば,企業のポリシーに反するようなマシンのLAN接続を防止できる。検疫システムの機能やその構築方法などについては,次回の記事で紹介したい。

 一般的にDHCPサーバーを運用すれば,マシンごとに固定アドレスを付与する必要がなくなるので,ネットワーク運用は容易になる。半面,前述のようなMACアドレスによるアクセス制御を施していない限り,どのようなマシンでもLANに接続できるので,セキュリティ上問題があると言われてきた。しかしながら,ここで述べたような認証DHCPサーバーを利用すれば,固定アドレスを使ったネットワークよりも,セキュリティ・レベルが高いネットワークを構築できる。

不正接続を検知する製品もある

 ネットワーク機器を置き換えたり,ネットワーク構成を変えたりすることなく不正なLAN接続を防止する方法としては,「不正接続検知製品」を使う方法もある。例えば「NEC WebSAM SecureVisor」などがこの製品に該当する。また,SNMPに対応したネットワーク機器を使っている環境では「NetInsightII-PD」でも不正接続検知が可能である。

 今回の記事では不正接続検知製品の詳細は割愛するが,例えばSecureVisorでは,登録されていないMACアドレスに関するARPパケットを検知すると,「偽装ARPパケット」を送信して不正接続を防止する。

セールス・トークには注意

 今回の記事では認証DHCPに焦点を当てて紹介したが,将来的には認証VLANやIEEE802.1X認証を利用することが主流となるだろう。このため,現状では認証DHCPや不正接続検知製品を利用するにしても,スイッチなどを置き換える際には,これらに対応した製品を選択すべきだろう。

 ただ,現在では認証機能を備えたスイッチやIEEE802.1X対応スイッチは,その多くが海外ベンダーの製品である。そのため,国内でのサポート体制などを十分吟味した上で購入すべきだろう。

 また,ベンダーのセールス・トークには乗せられないようにしたい。例えば,認証VLANはベンダーによって仕様が異なるのに対して,IEEE802.1X認証はIEEE802.1X規格にのっとっているので「標準ベースの認証システム」として紹介される場合が多い。「標準」という言葉に敏感なユーザーを狙った売り込みだ。しかしながら,IEEE802.1X対応製品でも,ポート認証以外の機能はベンダーの独自仕様が多く,実装に差があるのが現状である。導入する際にはセールス・トークに乗せられることなく,製品自体をよく吟味することをお勧めする。


谷川 智彦 (TANIKAWA Tomohiko)
tanikawaアットマークmxc.nes.nec.co.jp
NECソフト株式会社 静岡支社 ITソフトウェアビジネス部
マネージャー


 IT Proセキュリティ・サイトが提供する「今週のSecurity Check [一般編]」は,セキュリティ全般の話題(技術,製品,トレンド,ノウハウ)を取り上げる週刊コラムです。システム・インテグレーションやソフト開発を手がける「NECソフト株式会社」の,セキュリティに精通したスタッフの方を執筆陣に迎え,分かりやすく解説していただきます。

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

  • 【IoTで快適オフィス】

    二酸化炭素濃度まで見える化、IoTで「快適空調」

     トイレや会議室と並んで、社員の不満が出やすいオフィス設備の一つが空調機器だ。温度や湿度など空気の状態は部屋の人数や動きによって変化しやすく、感じ方も人によって異なる。IoTの技術を使って空気の状態などを見える化し、空調設備などの制御を最適化するシステムの開発が活発になってきた。

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る