• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

1週間で学ぶネットワークの要点

手間をかけないPKI認証導入法(1) 第3回

アプライアンスなら導入は簡単
ユーザーIDとパスワードは危険

池上公也 2004/01/09 日経コミュニケーション
出典:2003年8月11日号144ページ
(記事は執筆時の情報に基づいており、現在では異なる場合があります)
目次一覧

パスワード管理が面倒
証明書を使って負荷を軽減

ディジタル証明書を使えば,パスワードの入力なしで強固なユーザー認証ができる。複数のパスワードを管理するのは大変というユーザーにもPKIの導入効果はある。

 製造業のB社では,業務や人事,メールなど複数のシステムを運用している。業務システムと人事システムはWebベースで,Windows2000 Server上で稼働する。メール・システムは,Linuxのメール・サーバーで構築した。

 社員が利用するユーザーIDはすべてのシステムで統一している。ただし,パスワードは各システムごとに別。システム間は連携していないので,社員は使うシステムごとに別のパスワードを入力しなければならない。

 パスワードの変更は,社員の自主性に任せているため,多くの社員が一度設定したパスワードを変更することなく使い続けていた。例えば,Webベースの業務システムと人事システムは,Webブラウザのパスワード保存機能で入力の手間を省く社員が大半。メールは,メール・ソフトの機能でパスワードを保存する。

パスワード管理はセキュリティを落とす

 そんな中B社では,社員のデスクトップ・パソコンのリース切れを機に,全社員を対象に無線LANカード内蔵のノート・パソコンを導入することにした。セキュリティを確保するために,ユーザー認証が必須の要件だった。

 当初は,ユーザーIDとパスワードで認証するEAP-MD5方式を検討した。しかし,情報セキュリティ管理部門からEAP-MD5はセキュリティ上好ましくないという意見が出た。今でさえ複数のパスワードがあるのに,無線LAN用のパスワードを増やすと,パスワードの管理は複雑になる。社員がメモをモニターに張るようなことをすればセキュリティ・レベルはさらに下がる。

 また,EAP-MD5にはデータを暗号化するWEP鍵の自動更新機能がない。全社員が同じWEP鍵を設定するため,一度WEP鍵が破られると,全ての通信が盗聴されることになる。B社では,EAP-MD5ではセキュリティ・レベルを下げかねないとして採用を見送った。

EAP-TLS方式の採用を決断

図3 B社はディジタル証明書でユーザー認証してパスワード管理の問題を解決
無線LANをユーザーID/パスワードで認証すると,社員にとってはいくつものパスワードを使い分けなければならず煩わしい。
 そこで,ユーザーID/パスワードでの認証の代替手段として,ディジタル証明書を使うEAP-TLS方式を採用することにした(図3[拡大表示])。ディジタル証明書がユーザーID/パスワードの代わりとなり,パスワードの入力が不要になるからだ。

 EAP-TLSのシーケンスはこうだ。まず,ノート・パソコンの電源をONにするなどで無線LANの使用を開始。するとAP経由で,クライアント・パソコンと認証サーバーの間で,双方の持つディジタル証明書を照らし合わせて互いを認証する。その後,自動で設定される暗号鍵で,安全な無線LAN通信が実現する。ユーザーIDやパスワードの入力は不要となる。

 また,EAP-TLSならば暗号化に使うWEP鍵も自動更新される。通常は,APとクライアント・パソコンに同じWEP鍵を固定で設定するため,数時間でWEP鍵が解読できることが知られている。EAP-TLSでは,WEP鍵がユーザー認証ごとに自動的に変更されるうえ,しかも短時間で再認証が行われて次々とWEP鍵が書き換わるので,暗号を解読することはまず不可能。無線LANを盗聴の危険から守ることができ,B社の要求するセキュリティ・レベルを確保できる。

 ディジタル証明書の発行などにかかる運用コストは,CA局とRADIUSサーバーが一体になったアプライアンス製品を使用して安価に抑えた。

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る