• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
  • PR

  • PR

  • PR

  • PR

  • PR

1週間で学ぶネットワークの要点

今すぐできる無線LANのセキュリティ強化術(3)第3回

Windows標準設定では危険なことも
証明書は不正利用がないよう配布

山原崇・駒津典生 2004/07/08 日経コミュニケーション
出典:2004年2月9日号128ページ
(記事は執筆時の情報に基づいており、現在では異なる場合があります)
目次一覧

証明書を不正入手されると危険
手間でも管理者が扱うべき

ディジタル証明書を使った認証方法は,IDとパスワードによる認証よりもセキュリティ・レベルを高くできる。しかしディジタル証明書そのものが正規ユーザー以外の手に渡ってしまうと,セキュリティ・レベルは大幅に下がってしまう。

 セキュリティに対する意識の強いB社は,全社的に無線LANを導入するタイミングに合わせて,今後セキュリティの標準になる802.11iを見据えた環境を構築することを決定。802.1x認証を導入することにした。

 802.1xの認証プロトコルは,MS-PEAPとTLSのどちらを採用するかを検討した。TLSはディジタル証明書を利用しセキュリティ・レベルが高い。証明書は,ユーザーのパソコンにインストールする必要があるが,その後は存在を意識せず使える。ベンダーに依存しないのも特徴である。

 一方のPEAPは,米マイクロソフトと米シスコ・システムズが提唱した認証プロトコル。クライアント証明書を利用しないため,配布の手間はないが,認証のセキュリティ強度はTLSよりも若干劣る。ただ,Windowsドメインとの連携,親和性が高い点が特徴だ。

 検討の結果,B社はセキュリティ強度に加えてベンダーに依存しない点を考慮してTLSを採用することにした。

図2 B社は無線LANのユーザー認証に使う証明書のインストール方法に問題を発見
CAから証明書ファイル(PKCS#12ファイル)を配布してユーザーにインストールさせる方法だと,証明書ファイルをアクセスが許されていないユーザーもコピーにより入手できてしまうことが分かった。

証明書“ファイル”は複製可能

 TLSを安全に運用するためには,ユーザーを証明するディジタル証明書である「クライアント証明書」を適切な方法で配布することが必要である。

 クライアント証明書の配布方法は一般的に,(1)標準の証明書ファイル(PKCS #12ファイル,P12ファイルと呼ぶこともある)を使用してユーザーのパソコンにインストールする,(2)USB(universal serial bus)キーなどの外部デバイスに証明書を格納してユーザーに配布する――の2通りである。

 二つの方法のうち(2)は,デバイスのコストがかさむため見送った。USBキーの価格が下がってきているとはいえ,ディジタル証明書を格納できる製品になるとまだ数千円する。

 B社はまず,ある部署で(1)の方法を試してみた。P12ファイルを社員各自がダウンロードしてパソコンにインストールするよう依頼してみたのである。

 その結果,P12ファイルはほかのファイルと同様に簡単に複製できてしまうことが分かった(図2[拡大表示])。むろん,P12ファイルを介して秘密鍵などをいったんPCにインストールしてしまえば,鍵は取り出せない。つまり,P12ファイルの状態のままユーザーに渡してしまったことが問題だったわけである。

 ユーザーに悪意がなくても,コピーしたファイルを会社のパソコン以外に,私物のモバイル用のパソコンにもインストールしてしまった社員がいた。その結果,正規ではないパソコンを社内ネットワークに接続されてしまうケースが発覚した。

あなたにお薦め

連載新着

連載目次を見る

今のおすすめ記事

ITpro SPECIALPR

What’s New!

経営

アプリケーション/DB/ミドルウエア

クラウド

運用管理

設計/開発

サーバー/ストレージ

クライアント/OA機器

ネットワーク/通信サービス

セキュリティ

もっと見る