真鍋 浩 日本IBM ネットワーク・サービス事業部 技術推進
無線LANを企業ネットで利用する場合,設定・運用方法に工夫を凝らす余地がある。自社の使い方に合わせて設定を最適化することで,安全性だけでなくエンドユーザーの使い勝手も高められる。今回は,アクセス元に応じたセキュリティ確保の方法や,認証とログイン操作を同時に実現する方法を紹介する。
無線LANを導入する企業は,運用方法や設定を決める際に,エンドユーザーの使い勝手を考慮することも重要である。もし,無線LANアクセス・サービスからの接続を許しているなら,同じような操作で社内の無線LANも使えるようにしたくなる。しかしセキュリティ上,好ましくない。
社員の使い勝手は,クライアントや認証サーバーの設定の工夫で高められる。無線LANの認証処理と社内ネットワークへのログイン処理を簡素化できる。
安全性確保にIPsec採用
部門サーバーが危険に
企業内で無線LANを使う場合,IEEE802.1x方式などでセキュリティを確保するのが一般化しつつある。ところが,インターネットVPNを使ったリモート・アクセス環境を運用している企業の場合,社内の無線LANでも,インターネットVPNでセキュリティを確保できると考えるケースがある。だが,そこには落とし穴がある。社内LANに危険なセグメントが出来てしまうのだ。
出版社のA社は2カ月前から,社内に無線LANを導入する計画を立て,必要機器の洗い出しや運用方法の検討を進めていた。部門単位に無線LANのアクセス・ポイントを設置し,既存のLANに接続する構成だ。
A社はまず,セキュリティを確保する方法を検討した。候補に挙がったのは二つ。(1)IEEE802.1xを使う方法,(2)インターネットVPNを使う方法――である。
A社は,このうち,インターネットVPNを選ぶことにした。この方法は,IPsecと呼ぶプロトコルを使って,クライアントと社内ネット上のVPN装置との間に第三者の盗聴から守る仮想的な専用パスを張るというもの。パケットを暗号化するため盗聴の恐れがない。あらかじめ許可されたユーザーでなければ,VPNトンネルを張れないため,不正アクセスも防止できる。
