インターネットVPNのセキュリティを高める上で,有効な手法がPKI(公開鍵認証基盤)を構築すること。しかし接続クライアントのなりすましは防げても,正規ユーザーであることの保証にはならない。PKIに必要な認証局(CA)を自ら運用する場合は,外部からのアクセスにできる限りさらさない工夫が必要になる。
社外からのリモート・アクセスや,拠点間接続の手段として,インターネットVPNを採用する企業が急速に増えている。ディジタル証明書を使って通信相手を認証するPKIは,インターネットVPNのセキュリティを高める手段としても有効だ。
PKIを構築するには,接続を許可するユーザーや拠点にディジタル証明書を発行するためのCA局(認証局)を導入する。最近は,IDとパスワードを認証するためのRADIUSと一体化したアプライアンス型製品も登場。企業が導入する敷居も下がった。しかしPKIを導入しただけでは,必ずしも十分なセキュリティは確保できない。
|
|
図1 A社はディジタル証明書を使ってインターネットVPNを導入 セキュリティを高めるため,ディジタル証明書によるクライアント認証に加え,XAUTH(extended authentication within IKE)に基づくユーザーID/パスワードの認証も導入した。しかし運用開始から1カ月の間に,サーバーに不正アクセスを試みた多数の形跡を発見。不正ユーザーがVPN接続に成功したと見られるケースもあった。 |
自宅PCから不正アクセス
USB型「証明書」などで解決
PKIは,接続を許可するクライアントや装置を認証するだけで,「正規のユーザーか否か」までは保証しない。PKIを導入しても,ユーザー認証の運用がずさんだと,セキュリティ・ホールを作りかねない。
生命保険のA社は,営業部門の社員や契約外交員を対象に,社外から社内LANにアクセスする手段として,インターネットVPNの導入を決めた。営業時に持ち歩くノート・パソコンや自宅のパソコンから顧客の契約情報や商品情報を参照・入力できるようにして,営業活動の効率化を図るためだ。
A社の情報システム部は,インターネットVPNの導入に当たって,PKIを導入してセキュリティを高めることにした。スタッフ1人につき,ノート・パソコンか自宅のパソコンにディジタル証明書を発行し,社内LANにアクセスできる機器を限定する。
さらに2重にセキュリティ・チェックを行うため,ユーザーIDとパスワードを使ったXAUTHによる認証も取り入れることにした。
PKIとID/パスワードで二重の認証
インターネットVPNでPKIを導入する場合は,まずCA局から,クライアントにクライアント証明書,VPN装置にはサーバー証明書を発行する。クライアントがVPN装置との間でVPNトンネルを張るまでの手順は次の通り。まず,クライアント側のパソコンでVPNソフトを立ち上げると,VPN装置がクライアント証明書が有効かどうかをCRLを使って確認した上で,両方の証明書が相手を相互に認証。次に画面上でユーザーIDとパスワードの入力を促し,XAUTHによる認証を行う。この手続きが終わると,VPNソフトとVPN装置が秘密鍵を交換して,VPNトンネルを張る。
しかしA社の運用担当者が運用開始から1カ月後に接続ログを調べたところ,VPN装置に不正アクセスを試みた多数の形跡を発見した。PKIの認証は通過したが,XAUTHで間違ったパスワードを入力して接続に失敗している記録が多数残っていたのだ(図1[拡大表示])。
