真鍋 浩氏 日本IBM ネットワーク・サービス事業部 技術推進
Windows95端末は認証の対象外
IEEE802.1xは,クライアントの認証手順に「EAP」(extensible authentication protocol)方式を採用し,認証サーバーを使うことを規定している。これによって,認証だけでなく,秘密鍵を動的に生成することも可能だ。C社は,認証サーバーとしてRADIUSを導入するつもりだったため,この点はコスト面でも運用面でも問題はなかった。しかし,使用中のクライアントOSがIEEE802.1x導入の障壁となった。C社の社内ネットワークにはWindows95を使うクライアントが多数残っていたのだ。
現状では,EAPを標準でサポートするOSはWindowsXPしかない。また,米マイクロソフトは「Windows98以降のWindows OSは,EAPをサポートする計画がある」と告知しているが,Windows95は対象外である。
手間がかかるPKIの導入を避ける
C社は,Windows XPが採用した認証方式「EAP-TLS」にも抵抗を感じた。EAP-TLSは,ディジタル証明書を使って相互認証をする方式であり,RADIUSサーバーとすべての無線LANクライアントにディジタル証明書機能を導入しなければならない。
C社は,ディジタル証明書の利用に必要なPKI(公開鍵基盤)環境を構築していなかった。無線LANを導入するためだけにPKIを導入することは,運用負荷やコストの面から敷居が高い。PKIの導入には,CA(認証局)を自前で運用するか,ベリサインなどの外部サービスを使う必要がある。
結局C社は,米シスコ・システムズのIEEE802.1x対応製品「Aironet」を採用することにした(写真3[拡大表示])。Aironetは,Windows95以降のすべてのWindows OSをサポート。認証方式としては,EAP-TLSのほかに,シスコ・システムズが開発した「LEAP」(lightweight EAP)も利用できる(図2[拡大表示])。LEAPは,認証情報としてユーザーIDとパスワードを使用する。つまり,PKIは必要なく,LEAPに対応したRADIUSサーバーさえ導入すれば済む。
このようにIEEE802.1x規格は,認証に使う情報の種類までは規定していない。現在,IEEE802.1x準拠をうたう製品が続々と登場しつつあるが,認証方式として何を採用しているかを考慮して選ぶ必要がある。