真鍋 浩氏 日本IBM ネットワーク・サービス事業部 技術推進
|
|
写真3 米シスコ・システムズのIEEE802.1x対応の無線LAN製品「Aironet」 AironetのIEEE802.1x機能は,ユーザーIDとパスワードを入力するだけで秘密鍵を動的に生成できる認証方式「LEAP」に対応。LEAPは,シスコ・システムズが開発した。 |
|
|
図2 C社は,PKIの導入負荷を避け,米シスコ・システムズの無線LAN製品 「Aironet」を採用 相互認証と秘密鍵の動的生成には,Windows XPのIEEE802.1x機能の場合,ディジタル証明書が必要な認証方式「EAP-TLS」を使う。一方,AironetのIEEE802.1x機能なら,ディジタル証明書を使わない認証方式「LEAP」(lightweight EAP)も利用できる。PKIを導入していなかったC社にとっては,LEAPの方が導入しやすい。また,LEAPはWindows 95以降のすべてのWindows OSをサポートする点も,C社の採用理由である。 |
Windows95端末は認証の対象外
IEEE802.1xは,クライアントの認証手順に「EAP」(extensible authentication protocol)方式を採用し,認証サーバーを使うことを規定している。これによって,認証だけでなく,秘密鍵を動的に生成することも可能だ。C社は,認証サーバーとしてRADIUSを導入するつもりだったため,この点はコスト面でも運用面でも問題はなかった。しかし,使用中のクライアントOSがIEEE802.1x導入の障壁となった。C社の社内ネットワークにはWindows95を使うクライアントが多数残っていたのだ。
現状では,EAPを標準でサポートするOSはWindowsXPしかない。また,米マイクロソフトは「Windows98以降のWindows OSは,EAPをサポートする計画がある」と告知しているが,Windows95は対象外である。
手間がかかるPKIの導入を避ける
C社は,Windows XPが採用した認証方式「EAP-TLS」にも抵抗を感じた。EAP-TLSは,ディジタル証明書を使って相互認証をする方式であり,RADIUSサーバーとすべての無線LANクライアントにディジタル証明書機能を導入しなければならない。
C社は,ディジタル証明書の利用に必要なPKI(公開鍵基盤)環境を構築していなかった。無線LANを導入するためだけにPKIを導入することは,運用負荷やコストの面から敷居が高い。PKIの導入には,CA(認証局)を自前で運用するか,ベリサインなどの外部サービスを使う必要がある。
結局C社は,米シスコ・システムズのIEEE802.1x対応製品「Aironet」を採用することにした(写真3[拡大表示])。Aironetは,Windows95以降のすべてのWindows OSをサポート。認証方式としては,EAP-TLSのほかに,シスコ・システムズが開発した「LEAP」(lightweight EAP)も利用できる(図2[拡大表示])。LEAPは,認証情報としてユーザーIDとパスワードを使用する。つまり,PKIは必要なく,LEAPに対応したRADIUSサーバーさえ導入すれば済む。
このようにIEEE802.1x規格は,認証に使う情報の種類までは規定していない。現在,IEEE802.1x準拠をうたう製品が続々と登場しつつあるが,認証方式として何を採用しているかを考慮して選ぶ必要がある。
