真鍋 浩 日本IBM ネットワーク・サービス事業部 技術推進
安全性確保の方法を統一したかった
A社がインターネットVPNの利用を決めた理由は,主に二つある。一つは,高価なIEEE802.1x対応製品を買わずに済むこと。インターネットVPNなら,低価格な個人ユーザー向けのアクセス・ポイントやクライアント用無線カードを利用できる。
セキュリティ確保の方法をリモート・アクセスと共通にしたかったことが2番目の理由だ。A社は,VPN装置を導入し,リモート・アクセスの環境をインターネットVPNで構築。このVPN装置は,社員が自宅からADSL(asymmetric digital subscriber line)を使って,社内ネットにアクセスする際にも使っていた。社員が自宅から,インターネットを介して社内LANにアクセスできるようにしていたのである。中には,無線LANアクセス・サービスから社内LANを利用する社員もいた。
拡大表示])。社員は場所にかかわらず,どこでも同じ操作で社内ネットを利用できるのに加え,無線LAN向けのセキュリティの運用管理を一元化できる。社内からの不正アクセスを防げない
ところが実際にネットワークの設計を進めていくと,セキュリティ上,重大な問題があることに気が付いた。
それは,無線LANのアクセス・ポイントを直結するLANセグメントがぜい弱性のあるWEPでしか守れないこと。無線LANのアクセス・ポイントは各部門単位で設置する予定だったため,このセグメントには部門サーバーが接続される可能性がある。
このLANセグメントがぜい弱なのは,A社が設置しようとしたVPN装置が,無線LANアクセス・サービスや社内のアクセス・ポイントからのアクセスをセンター1カ所で受け付ける仕組みだったからだ。
これでは,WEPの暗号鍵が何者かにクラッキング・ツールで解読されてしまうと,社内のアクセス・ポイントに不正に接続して部門サーバーにまで簡単にアクセスできてしまう。
IPsecにはユーザーを認証する機能がある。しかしIPsecを使う場合,不正アクセスを防げる場所はVPN装置の先となる。このVPN装置の先のネットワークにアクセスする際は認証がかかるが,社内のアクセス・ポイントからVPN装置までの無線LAN用セグメント上のサーバーへのアクセスには,IPsecの認証は不要である。
この問題は,VPN装置をアクセス・ポイントの直近に設置するようにネットワーク設計を変更することで解決できる。しかしこの場合,ローミングができない。またアクセス・ポイントの数だけVPN装置が必要になる。
A社の計算では,アクセス・ポイントにVPN装置のコストを加えると,IEEE802.1x対応無線LANアクセス・ポイントが1台買えてしまう。IEEE802.1xで必要になる認証サーバーのコストを加えても,IEEE802.1xの方が割安だった。
社内ではIEEE802.1x認証を利用
結局A社は,インターネットVPNに統一する方法をあきらめた。社外からのアクセスには従来通りインターネットVPNを使い,社内の無線LANではIEEE802.1xを採用することにした。
IEEE802.1xを利用する場合,社内ネットへの不正アクセスを防ぐ場所はアクセス・ポイント。IEEE802.1xの認証サーバーで認証されない限り,社内の無線LANは使えないことになる。不正ユーザーが,無線LAN用セグメント上に侵入できない上に,ローミングにも支障はない。