LANケーブルで社内LANに接続する有線LANの場合,物理的に経路を断ち切らない限り,不正侵入を完全に防止できない。IEEE802.1x準拠のLAN機器を使えば,不正侵入を試みた端末を機器内部で切り離せる。ただし,ポートやバーチャルLANの設定によっては逆効果となり,注意が必要だ。

 社内のユーザーは,システム部の利用許可がなくても,パソコンとLANスイッチをケーブルでつなぐだけで社内LANを利用できる。強固なセキュリティを確保するには,ケーブルの接続だけでは社内LANを利用できない仕組みが必要になる。

 この仕組みを実現した機器が,ポート単位でユーザーのアクセスを制御できるIEEE802.1x対応のLANスイッチだ。このLANスイッチは,ディジタル証明書を使ったPKI認証サーバーと連携できる。両者を組み合わせることで,社内LANのセキュリティを強固にすることが可能になる。

IEEE802.1xで物理的に遮断
スイッチのポート設定があだに

IEEE802.1x対応のLANスイッチを導入すれば,端末から社内LANへの不正アクセスを防止できる。ただし,LANスイッチのポートに設定するアクセス方式の選択に注意が必要だ。

 コンサルティングを手がけるA社は,顧客情報など社外秘の情報を多く扱っている。これらの情報が不正アクセスなどによって漏れることを防ぐため,事前に登録した端末でしか社内LANにアクセスできないようにセキュリティ対策を立てていた。具体的には,パソコンなど端末のLANポートが持つ固有の識別子「MACアドレス」で認証する方法だ。

 A社は,MACアドレス認証に対応したDHCPサーバーを導入。あらかじめDHCPサーバーに全社の端末のMACアドレスを登録した。DHCPサーバーは,登録済みのMACアドレスを持つ端末がIPアドレスの割り当て要求を送信してきた場合にだけ,アドレス情報を返信する。

 ところが,A社が採用したセキュリティ対策には見落としがあった。端末に固定でIPアドレスを設定してしまえば,DHCPサーバーからIPアドレスを割り当てられなくても社内LANにアクセスできてしまうことだ。どのIPアドレスを端末に設定するかは,不正侵入者がLANケーブルでパソコンを社内LANにつなぎ,LAN上を流れるIPパケットをキャプチャすることで推測できる。A社は,現状の対策では不十分と判断。さっそく新しい対策を検討し始めた。