社内ネットワークでは,様々な場所でユーザー認証が必要になる。なりすましやデータの盗聴に対処するためにも,認証機関にディジタル証明書を発行させて認証する仕組み「公開鍵認証基盤」(PKI:public key infrastructure)を構築するのが理想的だ。今回から4回にわたって,PKIを使いこなすノウハウを解説する。

 ユーザー認証が必要なネットワークとして,真っ先に挙げられるのが無線LAN。ノート・パソコンに無線LANカードを挿せば,誰もが簡単に社内LANにアクセスできる。ただし,便利な半面,セキュリティの確保が必須。手っ取り早く安全性を高められるのが,SS-IDと呼ぶ識別子を使う方法だ。無線LANのアクセス・ポイント(AP)とクライアント・パソコンそれぞれでSS-IDを設定。両者が一致すればアクセスができるようになる。

 しかし,これだけでは部外者などが簡単に社内LANにアクセスできてしまう。そこで威力を発揮するのがPKIだ。無線LANの“利用許可証”である「ディジタル証明書」の所有者しかアクセスさせない。データの暗号化と併用すれば,なりすましや不正アクセス,データの盗聴を未然に防げる。敷居が高いイメージがあるかもしれないが,専用装置(アプライアンス)を使えば,PKIの導入自体は簡単だ。

SS-IDの設定だけでは危険
専用装置で安くPKIを導入

SS-ID認証だけの無線LANでは,部外者に簡単に不正アクセスされてしまう。アプライアンス型のサーバーを利用すれば運用負荷やコストを抑えてPKI認証を導入できる。

 流通業のA社は,打ち合わせのたびに配布していた資料のペーパーレス化を図るため,会議室に無線LAN環境を構築した。各自がノート・パソコンを持ち寄り,サーバーに置いた資料を参照しながら打ち合わせをするためだ。

 A社のネットワーク管理者は,無線LANの導入には,データの盗聴や不正アクセスの危険があることを認識していた。そこで最初に考えたのが,無線LANのAPに設定するSS-IDの値を,工場出荷時のものから推測されにくい文字列に変更するという方法だ。SS-IDの値は,パソコン側でも設定できる。パソコン側のSS-IDをAP側のSS-IDに合わせればアクセスできてしまう。しかし,SS-IDを部外者が知らない文字列にすれば簡単にはアクセスされないと考えたのだ。

 無線LAN機器の設置は滞りなく完了し,無線LANカードを入れたノート・パソコンから社内ネットワークにアクセスできることを確認した。

図1 A社の無線LANはSS-IDの設定だけだったので,他社の人間もアクセスできてしまった
ユーザー認証なしでは,部外者がアクセスできてしまう。そこでPKIによるユーザ認証をアプライアンス型の認証サーバーを使って実現した。Windows 2000 Serverで自社構築するよりも簡単だ。

SS-IDを自動的に見つけ出してしまう

 運用を始めてしばらくたったある日,次期業務システムの打ち合わせのため来社したX社の営業担当者から,今まで考えもしなかったことを指摘された。

 X社の営業担当者はプレゼンテーションのために,無線LANカード内蔵のノート・パソコンを持参しており,A社の無線LANに簡単にアクセスできてしまうというのだ(図1[拡大表示])。

 実は,営業担当者のノート・パソコンはA社のSS-IDを自動検出し,自身のSS-IDをAPと同じ値に書き換えていのだ。パソコンにインストールしたOSがWindows 2000以前のバージョンでは,SS-IDの手入力が必須である。だが,Windows XPの標準機能「ワイヤレスネットワーク接続」は,使用可能な無線LAN環境のSS-IDを自動検出する。つまり,SS-IDの設定だけでは,アクセスしようと思えば誰でもできてしまう。

 そこでA社では,部外者からの不正アクセスを防ぐために,SS-IDだけでなくIEEE802.1xが規定するユーザー認証を導入することにした。802.1xは,複数のユーザー認証の仕組みを規定している。ユーザーIDとパスワードを使う「EAP-MD5方式」,米シスコ・システムズが開発した「LEAP方式」,PKIを組み合わせて使う「EAP-TLS方式」などである。