パスワード管理が面倒
証明書を使って負荷を軽減
ディジタル証明書を使えば,パスワードの入力なしで強固なユーザー認証ができる。複数のパスワードを管理するのは大変というユーザーにもPKIの導入効果はある。
製造業のB社では,業務や人事,メールなど複数のシステムを運用している。業務システムと人事システムはWebベースで,Windows2000 Server上で稼働する。メール・システムは,Linuxのメール・サーバーで構築した。
社員が利用するユーザーIDはすべてのシステムで統一している。ただし,パスワードは各システムごとに別。システム間は連携していないので,社員は使うシステムごとに別のパスワードを入力しなければならない。
パスワードの変更は,社員の自主性に任せているため,多くの社員が一度設定したパスワードを変更することなく使い続けていた。例えば,Webベースの業務システムと人事システムは,Webブラウザのパスワード保存機能で入力の手間を省く社員が大半。メールは,メール・ソフトの機能でパスワードを保存する。
パスワード管理はセキュリティを落とす
そんな中B社では,社員のデスクトップ・パソコンのリース切れを機に,全社員を対象に無線LANカード内蔵のノート・パソコンを導入することにした。セキュリティを確保するために,ユーザー認証が必須の要件だった。
当初は,ユーザーIDとパスワードで認証するEAP-MD5方式を検討した。しかし,情報セキュリティ管理部門からEAP-MD5はセキュリティ上好ましくないという意見が出た。今でさえ複数のパスワードがあるのに,無線LAN用のパスワードを増やすと,パスワードの管理は複雑になる。社員がメモをモニターに張るようなことをすればセキュリティ・レベルはさらに下がる。
また,EAP-MD5にはデータを暗号化するWEP鍵の自動更新機能がない。全社員が同じWEP鍵を設定するため,一度WEP鍵が破られると,全ての通信が盗聴されることになる。B社では,EAP-MD5ではセキュリティ・レベルを下げかねないとして採用を見送った。
EAP-TLS方式の採用を決断
|
|
図3 B社はディジタル証明書でユーザー認証してパスワード管理の問題を解決 無線LANをユーザーID/パスワードで認証すると,社員にとってはいくつものパスワードを使い分けなければならず煩わしい。 |
EAP-TLSのシーケンスはこうだ。まず,ノート・パソコンの電源をONにするなどで無線LANの使用を開始。するとAP経由で,クライアント・パソコンと認証サーバーの間で,双方の持つディジタル証明書を照らし合わせて互いを認証する。その後,自動で設定される暗号鍵で,安全な無線LAN通信が実現する。ユーザーIDやパスワードの入力は不要となる。
また,EAP-TLSならば暗号化に使うWEP鍵も自動更新される。通常は,APとクライアント・パソコンに同じWEP鍵を固定で設定するため,数時間でWEP鍵が解読できることが知られている。EAP-TLSでは,WEP鍵がユーザー認証ごとに自動的に変更されるうえ,しかも短時間で再認証が行われて次々とWEP鍵が書き換わるので,暗号を解読することはまず不可能。無線LANを盗聴の危険から守ることができ,B社の要求するセキュリティ・レベルを確保できる。
ディジタル証明書の発行などにかかる運用コストは,CA局とRADIUSサーバーが一体になったアプライアンス製品を使用して安価に抑えた。
