ID/パスワードはもう限界!? 電子証明書によるネットワーク認証のススメ

いまや企業に不可欠なインフラとなった無線LAN。ケーブルに縛られず快適なデータ通信を実現してくれる無線LANだが、その認証設定を間違えると取り返しのつかない事態に陥る。前回はプリシェアードキー(PSK)のリスクと、MACアドレス認証が無線LANにおいては用をなさないことを説明した。今回は、企業無線LANの標準であるエンタープライズ認証について理解を深めていきたい。

企業無線LANには「WPA2エンタープライズ」を

無線LANには、家庭向けとして広く利用される「WPA/WPA2パーソナル」と、企業向けで利用が推奨されている「WPA/WPA2エンタープライズ」がある。なお、WPAとWPA2の違いは暗号化にTKIPを用いるかAESを用いるかの違いだ。本稿ではAESによるWPA2の利用を前提とする。

WPA2パーソナルは、接続先となるアクセスポイント名を示す「SSID」と、「PSK(Pre-Shared Key/事前共有鍵)」と呼ばれるパスフレーズを用いた認証方式だ。この方式では複数のユーザーが事前に同じフレーズ(文字列)を共有するため、認証情報が外に漏れるリスク高まるうえ、万が一漏れた場合にすべてのユーザーとアクセスポイントでパスフレーズを再設定するといった大変な作業と、その間のネットワーク停止が発生してしまう。また、そういった安全面や運用面の弱点に対して、ネットワーク機器に割り当てられたMACアドレスを用いたデバイス認証が有効だと考える人もいる。

しかし実際には、MACアドレス認証は悪意をもった攻撃者にとっては無意味である。通信するための情報であるMACアドレスは暗号化されておらず、しかも簡単に偽装(変更)することができるのだ。

数人規模の企業であれば、家庭向けのWPA2パーソナルのリスクを理解し、管理負荷も許容したうえで運用するという選択肢もある。だが、数十人規模以上の企業であれば、危険と隣あわせのWPA2パーソナルの採用は控えるべきだろう。

そこで、企業向けの方式として推奨されているのが、WPA2エンタープライズだ。同方式は「IEEE 802.1X EAP認証」を採用しており、大きく分けて下記の2つがある。

(1) IDとパスワードを用いて認証するタイプ
(2) 電子証明書を用いて認証するタイプ

特に近年では、クライアントPCを有線LANで接続する機会が急速に減る一方、無線LANの普及が急速に進み、社員が利用するデバイスもモバイルPCやタブレット、スマートフォンが主流になってきた。こうした流れもあり、WPA2エンタープライズの環境を整備し、社内の無線LAN環境を強固なセキュリティで保護する必要性もさらに高まっている。

IDとパスワードによるセキュリティと"限界"

まずWPA2エンタープライズのうち、EAP-PEAPに代表される「IDとパスワードを用いて認証するタイプ」がWPA2パーソナルとどう違うのかを整理してみよう。

WPA2パーソナルでは、共通のパスフレーズ(PSK)で認証を行う。PSKを知っているユーザーのみがアクセスを許可される仕組みはパスワード認証と同様であるが、共通のフレーズを使用するため認証情報が外部に漏えいした場合の影響は大きい。一方、WPA2エンタープライズでは、ユーザーごとに異なるIDとパスワードを用いる。認証情報を秘密として管理し易く、いつ、どのユーザーがアクセスしたのかを把握することも可能だ。

また、運用面でのメリットも大きい。IDとパスワードが漏えいした場合でも、該当ユーザーのアカウントを停止するだけで済むため、WPA2パーソナル環境で見られた全ての端末・アクセスポイントを対象とした再設定作業は必要ないし、その間のネットワーク停止も発生しないのだ。

一見、WPA2エンタープライズにしさえすれば手軽に安全を確保できるように思えるが、セキュリティ要件によっては適さない場合がある。今後、導入を検討する場合には注意したい。それは、「IDとパスワードを用いて認証するタイプ」はユーザーごとの認証であり、デバイスごとの認証はないということだ。

「シャドーIT」を野放しにしておくのは危険!

ユーザー認証を厳格に実施していたにも関わらず、不正なアクセスを見逃してしまうケースは決して特異な例ではなく、企業無線LANでも十分に起こりうる問題だ。その原因のひとつとして「シャドーIT」がある。シャドーITとは、社員が会社の許可を得ずに持ち込んだ私物のデバイスや、それらが業務で利用されている状態を指す。管理外のデバイスが無秩序に社内LANに接続され、インターネットなどの外部ネットワークにアクセスすることで、ウイルス感染や情報漏えいなど、思わぬトラブルつながるのだ。

有線LANが主役であった時代、「持ち込みPC対策」としてネットワーク接続できるクライアントを制限する目的で、不正なPCが接続された際にはすみやかに検知できる仕組みを導入した企業は多くあった。小型で高性能、オフィスに持ち込まれる頻度が桁違いのスマートフォンを対象とする無線LANでは、より一層の注意が必要なのである。

上記を踏まえて、IDとパスワードによる認証環境を考えてみよう。社員は自身のIDとパスワード知っている。この状況で社内イントラ上の業務情報を今すぐ確認したくなった場合、手元には使い慣れた私物のスマートフォンやタブレットがあり、パスワードを入力すれば簡単に接続できるとすればどうだろう。社員本人の悪意の有無とは別にして、社内データを私物のスマートフォンやモバイルPCにコピーし、自宅に持ち帰って作業したり、個人端末からインターネット上のファイル共有サービスにデータをアップロードしたりするといった事態が起こることが容易に想像できるだろう。

電子証明書を用いてセキュアな無線 LAN 環境を実現

無線LAN認証という観点から、こうしたシャドーITの問題に対応するのが、EAP-TLSと呼ばれる「電子証明書を用いて認証するタイプ」だ。電子証明書は現実の世界における運転免許証やパスポートのようなもので、対象を正しく認証・特定するインターネット上の身分証明書だ。電子証明書を導入した端末のみがアクセスできるようにすることで、シャドーITへの対応はもちろん、デバイスの紛失や盗難時においても、デバイスを社内LANにアクセスさせないという対策を迅速にとることができる。

今回は、企業無線LANにおける「WPA2エンタープライズ」と、その中でも特に電子証明書を用いた認証の有用性について説明してきた。

すでにWPA2パーソナルで運用している場合でも、法人向けアクセスポイントを導入しているのであれば、WPA2エンタープライズにも対応している可能性が高いので、この機会に確認いただくと良いだろう。

また、電子証明書を使った無線LAN認証では、外部の認証サーバなどが必要になるため、構築や運用が面倒だと思う人も多いかもしれない。しかし、無線LAN環境の普及と企業ニーズの高まりを受け、簡単に環境を構築できるようになってきている。とはいえ、実際に構築し運用する段階で気をつけるべきポイントがある。たとえば、100台を超える多種多様なデバイスが全国各地に分散しているような場合、電子証明書をどう配布するかといった課題がある。電子証明書を配布する際に途中で盗まれないような工夫も必要だ。

次回は、電子証明書を使った無線LAN環境の構築のポイントと対策を具体的に紹介していこう。

(マイナビニュース広告企画：提供 ソリトンシステムズ)

[PR]提供：ソリトン