無線LANカードの対応で制限あり

 A社では当初,LEAPを検討した。EAP-TLSはセキュリティ面では非常に優れているが,認証に使うディジタル証明書の発行のコストが高いからだ。

 しかし,A社にはLEAPが使えない理由があった。無線LANのAPはLEAPに対応していたが,クライアント・パソコン用の無線LANカードが対応していなかったのである。LEAP対応の無線LANカードはシスコ製などに限られる。A社では一部を除いて多くの社員が国内メーカーの無線LANカードを利用しているため,LEAPは諦めざるを得なかった。

 そこでA社では,EAP-TLS方式の採用を決めた。ディジタル証明書をユーザー側とサーバー側の双方で持ち,正当なサーバー,正当なユーザーであることを互いに証明する。ディジタル証明書は偽造が不可能なので,なりすましを防げる。偽造が可能なユーザーID/パスワードよりも,強固なセキュリティが確保できるわけだ。

 EAP-TLS認証の採用は決めたものの,必要となるディジタル証明書を発行するCA局と,認証用のRADIUSサーバーをどう確保するのかという問題が発生した。

 CA局には,証明書発行サービスを提供する米ベリサインなどの商用CA局と,自社で構築するプライベートCA局がある。商用CA局のサービスで社員一人ひとりに証明書を発行すると,コストが非常に高く手続きも煩雑だ。

図2 A社はエンドユーザーにPKIを意識させないように運用方法を選んだ
PKI認証に必要なCA局機能とRADIUS機能を一体化したアプライアンス型の認証サーバーを使うことで実現した。

プライベートCA局で手間を減らす

 検討の結果,A社ではプライベートCA局を自社で用意することにした。自社内にCA局を置くと,社員の手間も軽減できる(図2[拡大表示])。

 商用CA局を使う場合,社員は管理者に対して無線LANの利用を申請しなければならないのに加え,CA局にも証明書の発行を申請する必要がある。証明書の発行には,個人情報の入力などが欠かせないため,システム管理者に代行させられないからだ。

 プライベートCA局ならば,社員は管理者に利用申請をし,管理者から配布される証明書を自分のパソコンにインストールするだけで済む。アクセスするたびに,煩雑なユーザーIDやパスワードの入力も不要だ。PKIに関する専門知識を持たないA社でも,運用負荷を抑えつつ,セキュリティの強固な無線LAN環境を構築できる。

 ただし,Windows 2000 ServerにCA局用のソフトウエアをインストールするのではなく,CA局の機能とRADUISサーバーが一体化したアプライアンス製品を使うことにした。PKIに対する専門知識やOSのメンテナンスが不要なことが決め手になった。プライベートCA局の運用には,構築後もぜい弱性に対するパッチを当てるなどの作業が継続的に発生する。別途RADIUSサーバーも必要だ。アプライアンスならば,こうした問題も一挙に解決できるというわけだ。