スマートフォンやタブレットの本格導入に当たり、重要になるのが無線LANのセキュリティ対策だ。その理由を示しつつ、無線LANの安全性を手間なく高める具体策を示す。
iPhoneやiPad、Android端末といったスマートデバイスの普及で、企業内端末の多様化が急速に進む。そうした中、企業にとってますます大きな問題となりつつあるのが、会社が認めていない端末からLANへの無許可な接続だ。
会社が認めていないスマートデバイスの接続を防止したい。ただし、導入コストや運用・管理負荷は最小限に抑えたい。そうした企業の課題に応える、具体的な解決策を紹介しよう。
企業向けの無線LAN製品には、さまざまなセキュリティ機能が備わる。また、スマートフォンやタブレットといったスマートデバイスのほとんどは、無線LAN機能を標準搭載しており、端末側にもさまざまなセキュリティ機能が備わっている。例えば、アクセスする端末を認証する基本的な仕組みである「IEEE 802.1X」を利用可能なスマートデバイスは多い。こうしたセキュリティ機能を適用した無線LAN環境を構築することで、無線LANの安全性を強化できるはずだ。
だが、「固定値として設定した共通のパスフレーズによる認証だけで運用されている無線LANはいまだに多い」と、ソリトンシステムズ プロダクトマーケティング部の竹谷修平氏は、現状を明かす。竹谷氏は、こうした状態のままではリスクが大きいと指摘する。「共通のパスフレーズだけでアクセス制御をしていると、退職した従業員であっても無線が届く範囲に入ればLANにアクセスできてしまう可能性が否定できない。退職など人事変更のたびにパフフレーズを変更するとしても、変更したパスフレーズを都度全員に通知しなければならず、運用が煩雑になる」(同氏)
IEEE 802.1X認証を利用することで、ユーザーを特定するID/パスワードを利用した認証や端末を特定するデジタル証明書による認証が可能だ。これにより、不正なユーザーや不正な端末からの無線LANアクセスを排除できる。だが、ユーザー認証だけの場合、ユーザーが正規の従業員であっても、会社が把握していない端末からのアクセスは防ぐことができない。従業員による持込端末の無許可な接続を防ぐ場合は、端末認証を行わなければならない。私物端末の業務利用(BYOD)を進める際には、こうした制御ができるかどうかが重要な要素になる。デジタル証明書認証が可能な端末の種類は幅広く、Android端末やiOS端末も標準で対応している。
セキュリティの強化に有効なデジタル証明書だが、課題もある。その代表例は、デジタル証明書を発行、運用するには認証局(CA)が必要であることだ。「認証局の運用管理負荷は、発行数の増加と比例して大きくなる。運用管理の負担を最小限に抑えながら安全性を担保することは、管理者にとって急務だ」
運用負荷を最小限に抑えつつ、デジタル証明書によるセキュリティ強化を図りたい。こうしたニーズに応えるのが、ソリトンシステムズの「NetAttest EPS」である。NetAttest EPSは、RADIUS機能やワンタイムパスワード認証機能、プライベートCA機能の全てを備えたアプライアンスだ。
RADIUS機能は、ID/パスワードやMACアドレス、ワンタイムパスワード、デジタル証明書による認証を実現する。ユーザーデーターベースには、LDAPやActive Directory、ローカルデータベースなどを利用できる。RADIUSプロキシ機能も搭載しており、認証要求を既存のRADIUSサーバに転送することも可能だ。
ワンタイムパスワード認証機能では、トークンを用いたワンタイムパスワード(一度限り有効なパスワード)の認証が可能だ。トークンは、ハードウェアトークンに加え、WindowsやiOS、Android用のソフトウェアトークンも利用できる。リモートアクセス(VPN)の認証においては、デジタル証明書を利用した端末認証と組み合わせることで、より安全な接続を実現する。
特筆すべきは、デジタル証明書を簡単に発行、運用できるプライベートCA機能である。初期設定は、ウィザードに従って操作すれば数ステップで完了。最短2クリックでクライアント証明書を発行できる。
さらに、オプションの拡張CA機能を導入すれば、従業員がWindowsマシンのWebブラウザからデジタル証明書を申請し、管理者の承認を経てデジタル証明書を取得・更新することができる。管理者の負担を減らすだけでなく、必要な端末へデジタル証明書を確実に配布することが可能だ。
NetAttest EPSだけでも、スマートデバイスのセキュリティ対策は十分効率化できる。ただし、企業内で利用されるスマートデバイスが増え続ければ、デジタル証明書の発行や運用の負荷は大きくなる。こうした負担を軽減するのが、NetAttest EPSの有償オプションである「NetAttest EPS-ap」である。
NetAttest EPS-apは、スマートデバイスの利用申請をワークフローシステムとして提供し、スマートデバイスのビジネス利用時における導入・運用作業を支援する。従業員が、専用のWeb画面から端末登録を申請。管理者が承認すると、申請された端末に対してデジタル証明書を発行する。パスコードポリシーやWi-Fi/VPNクライアントの設定に加え、業務上の利用が不適切な各種機能の制御を可能にする「構成プロファイル」の配布機能もある。
2012年9月にリリースした新バージョンでは、リモートワイプやリモートロックなどのモバイルデバイス管理(MDM)機能を提供する。また、従業員の端末が持つIMEI(端末識別番号)を事前登録しておくと、未許可端末からの申請を防止することができる。
リモートワイプやリモートロックは、管理者だけでなく従業員自ら実行できるようにしている。「端末を紛失したとき、すぐにロックしたいと思っても、夜間や週末などで管理者が不在だと実行できない。盗難や紛失に気付いた瞬間に、迅速に対処できれば情報漏えいのリスクは小さくなる」
現バージョンで管理可能な端末数は最大で2000台だが、新バージョンのリリースと同時に、5万台管理可能な大規模モデルも投入した。スマートデバイスのパイロット導入から本格導入へ向けて、大規模モデルの導入を検討しているユーザーも既にいるという。
スマートデバイスから無線LANへアクセスさせる際の安全性を効率的に高める手段として、NetAttest EPSとNetAttest EPS-apの組み合わせは、有力な選択肢となるだろう。
iPhoneやiPad、Android端末といったスマートデバイスの普及で、企業内端末の多様化が進む中、より一層重要になってきているのが、無線LANやVPNなど、LANの入り口で「利用者」や「端末」を認証することだ。その具体策を解説する。
| ホワイトペーパーのダウンロードページへ (TechTargetジャパン) |
今や避けては通れないスマートデバイスの導入。新しい分野であるため数年先の状況がつかみづらく、導入計画の策定が困難な場合が多々ある。本資料では段階的に導入できる認証アプライアンス「NetAttest EPS」を例に導入を進めるための手順を紹介する。
| ホワイトペーパーのダウンロードページへ (TechTargetジャパン) |
提供:株式会社ソリトンシステムズ
アイティメディア営業企画/制作:TechTarget編集部/掲載内容有効期限:2012年10月26日
ITmediaはアイティメディア株式会社の登録商標です。
NetAttest EPS
NetAttest EPSのWeb管理画面。各ユーザーに配布したデジタル証明書の状態を確認できる
NetAttest EPS-apの管理画面。端末のリモートロックやリモートワイプを実行可能