社内であればどの部屋からでもLANに接続できる環境を用意している企業は多い。床や壁に用意されたLANのポートにマシンを接続すれば,社内サーバーにアクセスできてしまう。利便性は高いものの,セキュリティが問題である。正当なアクセス権限を持たない人物でも,人目につかない場所に用意されたLANポートに,持ち込んだノート・パソコンを接続すれば,社内の情報にアクセスできる。実際,このような形で社内情報が持ち出された事件がある。そこで今回の記事では,不正なマシンをLANに接続させない方法について考えてみたい。

認証VLANとIEEE802.1X認証

 権限がないユーザーによるLAN接続を防ぐには,LANに接続する際にユーザー認証すればよい。代表的な認証方式(技術)が,認証VLANとIEEE802.1X認証である。認証VLANでは,認証機能を備えたスイッチを使用する。認証機能を備えたスイッチにつないだマシンを起動すると,まずは仮(デフォルト)のVLANに接続させられ,DHCPサーバーからは仮のIPアドレスが付与される。このIPアドレスを使ってスイッチに対して認証を行う。適切なID/パスワードを入力するなどして認証が成功すれば,正規のVLANに接続するためのIPアドレスがスイッチから与えられる。

 IEEE802.1X認証は,IEEE802.1X規格(Port-Based Network Access Control)に従った認証方式である。認証VLANと同様に,スイッチのポート単位でのアクセス制御だが,認証VLANとは異なり,IP通信による認証ではない。このため,「サプリカント」と呼ばれるクライアント機能をマシンが備えている必要がある。

 認証VLANとIEEE802.1X認証のいずれを使う場合でも,ネットワークを構成するネットワーク機器(スイッチ)が備える認証機能を使ってアクセス制御を行う。このため,現状の機器をそれぞれに対応した機器に置き換える必要がある。コストや手間を考えると,容易には実施できないだろう。そこで,ネットワーク機器を置き換えることなく不正なパソコンをLANに接続させない方法を考えてみたい。

DHCPサーバーを使う

 多くの企業では,自動的にIPアドレスを割り振るDHCPサーバーを運用している。このDHCPサーバーを使って,不正なマシンをつながせない方法がある。具体的には,接続を許可したマシンのMACアドレスをDHCPサーバーに登録しておく。そして,未登録のMACアドレスを持つマシンへはIPアドレスを割り振らないように設定しておく。ほとんどのDHCPサーバーでこの設定が可能だ。DHCPサーバーを運用している企業では,コストをかけずに導入できる。

 ただし運用は大変である。まずは,社内のすべてのマシンのMACアドレスをリストアップする必要がある。さらに,リストをメンテナンスし続ける必要がある。加えて,MACアドレスで認証することになるので,ユーザー単位で認証することはできない。

 しかし,現在ではこのデメリットを解消したDHCPサーバーが登場している。例えば,「NEC WebSAM VitalQIP」などである。この製品は,認証機能と「VLAN振り分け」機能を備えている。

 認証機能やVLAN振り分け機能を備えたDHCPサーバを使う認証を「認証DHCP」と呼ぶ。認証DHCPを使って正規のVLANへ接続するまでの手順は認証VLANと似ている。まず,マシンを起動すると,認証DHCPサーバーから仮のIPアドレスが与えられる。これでアクセスできるのは,仮(デフォルト)のVLANだけである。次に,仮のIPアドレスを使って認証DHCPサーバーへアクセスし,ID/パスワードを入力するなどして認証を行う。認証が成功すれば,認証DHCPサーバーから,正規のVLANへアクセスできるIPアドレスが付与される。

 認証VLANと同等の利用環境が実現できるにもかかわらず,スイッチなどを置き換える必要はない。DHCPサーバー・ソフトだけ置き換えればよい。ブラウザで認証する場合にはクライアントに何もインストールする必要はない。Windows環境へのログオンと認証DHCPへのログオンを同時に行うシングル・サインオンを実現したい場合には,認証VLANと同様に,認証ソフトをクライアントにインストールしておく必要がある。認証ソフトをインストールしている場合には,指紋認証やICカード認証用のデスクトップ・セキュリティ製品と連携させて,指紋やICカードで認証DHCPへログオンすることも可能だ。

 最近では,比較的導入が容易な認証DHCPは「検疫システム」を構築するために用いられている。検疫システムを構築すれば,企業のポリシーに反するようなマシンのLAN接続を防止できる。検疫システムの機能やその構築方法などについては,次回の記事で紹介したい。

 一般的にDHCPサーバーを運用すれば,マシンごとに固定アドレスを付与する必要がなくなるので,ネットワーク運用は容易になる。半面,前述のようなMACアドレスによるアクセス制御を施していない限り,どのようなマシンでもLANに接続できるので,セキュリティ上問題があると言われてきた。しかしながら,ここで述べたような認証DHCPサーバーを利用すれば,固定アドレスを使ったネットワークよりも,セキュリティ・レベルが高いネットワークを構築できる。

不正接続を検知する製品もある

 ネットワーク機器を置き換えたり,ネットワーク構成を変えたりすることなく不正なLAN接続を防止する方法としては,「不正接続検知製品」を使う方法もある。例えば「NEC WebSAM SecureVisor」などがこの製品に該当する。また,SNMPに対応したネットワーク機器を使っている環境では「NetInsightII-PD」でも不正接続検知が可能である。

 今回の記事では不正接続検知製品の詳細は割愛するが,例えばSecureVisorでは,登録されていないMACアドレスに関するARPパケットを検知すると,「偽装ARPパケット」を送信して不正接続を防止する。

セールス・トークには注意

 今回の記事では認証DHCPに焦点を当てて紹介したが,将来的には認証VLANやIEEE802.1X認証を利用することが主流となるだろう。このため,現状では認証DHCPや不正接続検知製品を利用するにしても,スイッチなどを置き換える際には,これらに対応した製品を選択すべきだろう。

 ただ,現在では認証機能を備えたスイッチやIEEE802.1X対応スイッチは,その多くが海外ベンダーの製品である。そのため,国内でのサポート体制などを十分吟味した上で購入すべきだろう。

 また,ベンダーのセールス・トークには乗せられないようにしたい。例えば,認証VLANはベンダーによって仕様が異なるのに対して,IEEE802.1X認証はIEEE802.1X規格にのっとっているので「標準ベースの認証システム」として紹介される場合が多い。「標準」という言葉に敏感なユーザーを狙った売り込みだ。しかしながら,IEEE802.1X対応製品でも,ポート認証以外の機能はベンダーの独自仕様が多く,実装に差があるのが現状である。導入する際にはセールス・トークに乗せられることなく,製品自体をよく吟味することをお勧めする。


谷川 智彦 (TANIKAWA Tomohiko)
tanikawaアットマークmxc.nes.nec.co.jp
NECソフト株式会社 静岡支社 ITソフトウェアビジネス部
マネージャー


 IT Proセキュリティ・サイトが提供する「今週のSecurity Check [一般編]」は,セキュリティ全般の話題(技術,製品,トレンド,ノウハウ)を取り上げる週刊コラムです。システム・インテグレーションやソフト開発を手がける「NECソフト株式会社」の,セキュリティに精通したスタッフの方を執筆陣に迎え,分かりやすく解説していただきます。