• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

1週間で学ぶネットワークの要点

今すぐできる無線LANのセキュリティ強化術(3)第2回

Windows標準設定では危険なことも
証明書は不正利用がないよう配布

山原崇・駒津典生 2004/07/07 日経コミュニケーション
出典:2004年2月9日号128ページ
(記事は執筆時の情報に基づいており、現在では異なる場合があります)
目次一覧

ポリシーに合うのは有償の別売り製品

 A社は当初,様々な認証プロトコルの中からMS-PEAP(PEAPはprotected EAP)を使う予定だった。MS-PEAPであれば,米マイクロソフトのWindows XPを購入するかWindows2000にサービスパックを適用すれば,追加のコスト負担なしにサプリカントを使えるためである。

図1 A社はセキュリティ・ポリシーに反しない認証方法を模索
Windows XPに含まれるサプリカントでは初回に認証した際の情報を保持してしまうことが問題だった。
 ところが結局,A社はこの予定を変更せざるを得なかった。Windows標準のサプリカントを使うと,A社が規定している「認証に使用する情報はコンピュータに記憶させてはならない」という同社のセキュリティ・ポリシーに反するためである(図1[拡大表示])。

 問題は,Windows標準のサプリカントが初回のPEAP認証成功時に入力したIDとパスワードをパソコンのレジストリ内に保存することである。一度保存されたアカウント情報はレジストリを直接編集する以外に削除できず,保存を無効にするオプションもない。

 確かに認証情報を保管する機能があることで,一度入力したIDとパスワードを2回目以降の認証時に再入力する手間を省ける。パスワードを忘れて困ることがなくなり利便性が増す点では有効だ。ただしパソコンを紛失すると,レジストリにIDやパスワードが登録されているため正規ユーザーでなくてもネットワークを使えてしまう。これはセキュリティ上大きな問題である。

 そこでA社は,Windows標準のサプリカントを使用せず,有償のPEAP対応サプリカントを採用することにした。市販のサプリカントは,導入企業のセキュリティ・ポリシーに合わせた設定が可能だ。例えば,クライアント側で強制的に再認証をするように設定した上でインストールできる。これにより,不正ユーザーはネットワークに入りにくくなる。

 選択肢としては,Cisco-PEAPやEAP-TTLSといったベンダー独自仕様のEAP認証方法がある。これらの認証方法も,RADIUS(remote authentication dial-in user service)サーバー側にサーバー証明書を使うことでMS-PEAPと同等の安全性を実現する。

 A社は現在認証手段とサプリカント製品を選定中。有償のソフトウエアを必要とするため製品価格も検討の対象になる。現在国内で販売中のWindows標準以外のサプリカントは極めて少ない。価格は1本当たり4000円から5000円程度。無線LANカードに付属するサプリカントもある。

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

  • 【FPGAって何?】

    FPGAは普通のプロセッサと何が違うのか

     数年前から、FPGAに高い関心が集まりつつある。FPGAそのものは1980年代に初めて製品が登場しているから、もう30年ほどの歴史になるが、人気が上がり始めたのは2010年あたりからになる。これにはいくつかの理由がある。今回はFPGAの特徴と、利用が広がった理由を解説する。

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

ネットワーク/通信サービス

セキュリティ

もっと見る