スマートカードが機能せず
無線LAN設定ソフトの相性が原因

無線LANでは暗号化に加えて認証のセキュリティを高めることも重要。社員にスマートカードを携帯させる方法がその一つだ。ただし無線LANの接続と認証に使うサプリカントがうまく動作しないことがあるので注意が必要だ。

 製造業のB社は,無線LANを全社に導入することにした。セキュリティを高めるため,無線LANデータをIEEE802.1xのEAP-TLSを使って暗号化することにした。EAP-TLSは認証にディジタル証明書を使う。

 B社では,以前から「Windowsドメイン」を運用していた。社員はWindowsネットワークに接続する際,Windowsドメインにログオンしなければならない。また社員のパソコンのセキュリティ・ポリシーを強制的にそろえるため,ユーザーのログオン時に「ログオンスクリプト」と呼ぶプログラムをユーザーのパソコンに読み込ませてセキュリティの初期設定を実行していた。

 これらの理由から,B社では新たに無線LAN環境を構築すると,無線LANを使うユーザーに無線LANの認証のほかWindowsドメインへログオンするための認証が必要だった。さらにログオンスクリプトが正常に実行されることが要求された。

 B社はこれまでWindowsドメインの認証には,ユーザーIDとパスワードだけを使っていた。今回,無線LANの認証に使うディジタル証明書を,Windowsドメインの認証にも流用することにした。

 ディジタル証明書は,社員のパソコンにインストールしておくのではなく,スマートカードに記憶して社員に持ち歩かせるようにした。スマートカードは,鍵データを取り出すことが技術的に非常に困難で,パソコンのハード・ディスクに鍵が保存させるより安全性が高いからだ。

図2 B社はWindows XPの認証機能の仕様によりトラブルに遭遇
スマートカードの証明書で無線LAN認証とWindowsログオンの両方を実現することが理想だったが,ログオンスクリプトがうまく動作しないケースがあると判明した。

サプリカントの設定を誤解

 B社は,Windows XP標準の無線LAN接続用ソフトである「サプリカント」の認証に関する設定を「自分のスマートカードを使う」にして運用を開始した。この設定は,スマートカードの証明書を使って無線アクセス・ポイントで認証するためのものである。

 Windowsドメインへのログオンには「スマートカードログオン」と呼ぶWindowsが持つサプリカントとは別の機能を利用する。

 このほか,スマートカードのベンダーが提供する認証用ソフトウエアを社員のパソコンにインストールする必要がある。B社もこのソフトウエアを,あらかじめ社員のパソコンにインストールしておいた。

 以上の設定で,本来ならばスマートカードで無線LANとWindowsドメインの両方を利用できるはずである,とB社は考えていた。ところが運用を開始してすぐに,社内ユーザーから「Windowsネットワークにログオンできないことがある」というクレームが来るようになった。

 検証を重ねた結果,10回に1~2回の割合でログオンスクリプトが実行されず,ネットワークが使えないケースがあることを確認した(図2[拡大表示])。しかし,その原因は分からなかった。