企業の無線LANや社内ネットワークに必要なセキュリティの3要素を確保

無線LANセキュリティで3つの要素を整備するには

本連載の第1回では、無線LANセキュリティの基本に立ち返るために、情報セキュリティの3要素（CIA）を紹介した。機密性（Confidentiality）、完全性（Integrity）、可用性（Availability）の3つを示しており、これらの要素に沿って無線LAN環境を整備することで、より強固なセキュリティを確保できるようになる。

前回も書いたように、企業ネットワークは重要インフラであり、いまやビジネスのライフラインといってよい存在だ。今回はソリトンシステムズの「NetAttest EPS」「NetAttest LAP」「NetAttest D3」といった製品がこれらの要件をどう満たすのか、具体的に見ていこう。

「機密性」を高めるオールインワンの認証アプライアンス

まずNetAttest EPSは、ネットワークの入り口を守ってくれるオールインワンの認証アプライアンスだ。無線LANセキュリティにおける「機密性」と「完全性」を確保するための中核となる製品として位置づけられている。

• NetAttest EPS

無線LANは、企業に蓄積された機密情報へアクセスするための入り口になるだけに、決められた人、決められた端末だけが、接続できるようにカギをかけておく（＝認証する）ことが重要となる。ただ、このような環境を実現するためには、さまざまな機能を組み合わせた認証サーバを用意する必要があり、管理が面倒になってしまうという課題もあった。

NetAttest EPSは、この運用面での課題を解決する製品である。無線LANへの接続時にユーザーや端末を特定するためのネットワーク認証において必要な機能をまとめ、これ1台で認証を済ませられるよう設計されている。具体的には、RADIUSサーバ機能、プライベートCA機能、ワンタイムパスワード発行という大きく3つの機能をオールインワンで備える。

RADIUSサーバは、企業向け無線LANの標準とされているIEEE802.1X EAP認証に必要なサービスで、ID/Password認証（EAP-PEAPなど）や電子証明書認証（EAP-TLS）などに対応する。NetAttest EPSは認証情報として内部データベースだけでなく、外部データベースや認証サーバとも連携可能で、たとえばWindows Active Directory上の情報を利用したり、外部のRADIUSへ転送したりすることもできる。既存システムと連携することで、アカウントの二重登録や二重管理を防ぐことができるのだ。

• NetAttest EPSならRADIUSサーバの構築が容易に行える

また、利便性が考慮された使い勝手のよい機能とUIが備わっていることも特徴だ。管理画面は日本語GUIで、誰でも簡単に設定を施すことができる。たとえばアカウントを管理する場合、外部データベースとの連携や一括登録機能を用いることで、苦もなく設定が可能となる。また、一時的なゲストアクセスを許可する必要がある場合は、来訪者に対応する社員が認証アカウントの登録を行ったり、それを来訪者自身に任せたりするといったこともできる。

既存環境を電子証明書認証とワンタイムパスワードで強化

NetAttest ESPが持つプライベートCA機能は、電子証明書の発行・管理を劇的に簡素化してくれる。CA（Certificate Authority）とは電子証明書を発行・管理を行う認証局のことを指すが、従来の構築手法だと運用には高度で専門的な知識が求められ、運用負荷も高いといわれてきた。

NetAttest EPSはそうした専門知識を要求しないプライベートCAを標準で搭載する。本来は難解なCAの構築・運用のハードルを下げることで、ようやく電子証明書を利用した安全なユーザー認証や端末認証が簡単に行えるようになったのだ。

運用面での課題を解決したプライベートCAが、企業にもたらす恩恵は大きい。たとえば、電子証明書の有効期限、発行や失効のタイミングを企業ポリシーに即して運用することができる。設定を行う際は、Webの管理画面でユーザーを一覧表示し、必要な値を入力して「発行」ボタンを押すだけだ。電子証明書が管理端末にダウンロードされるので、あとはクライアント端末に展開するのみである。

• Webの管理画面から電子証明書を簡単に発行できる

より安全で効率的な電子証明書の展開を望む場合は、申請・承認ワークフローを利用することもできる。電子証明書のインポートの対象が大量にあったり、遠隔地に設置していたりするケースだと、システム管理者が個々の端末に証明書を展開していくことは"骨の折れる"作業となるし、インストールまでに電子証明書が紛失したり盗まれたりするリスクも考えなければならない。

この点が課題となる場合には「NetAttest EPS-ap」という製品の採用を検討したい。NetAttest EPS-apは、利用者からネットワーク経由でなされた証明書の取得申請を受け、対象のスマートデバイスなどへ証明書を展開してくれる。このとき、システム管理者は申請内容を確認し、承認処理を行うだけでよい。

• NetAttest EPS-ap

NetAttest EPS は強固な認証として証明書認証のほか、ワンタイムパスワード（OTP）認証にも対応している。リモートアクセス環境での認証で用いられることの多い同認証は、VPNゲートウェイなどの既存システムと連携し、既存環境をそのままOTP認証環境にできる点がメリットとなる。OTPの表示器としては物理的なトークンのほか、iOS/Android/Windowsデバイスを使ったトークンを選択できる。独自アルゴリズムの採用により高い認証強度を誇るほか、二要素認証がなりすましによるリスクを払拭してくれる。

「完全性」を強化する不正デバイスの可視化・ブロック製品

NetAttest EPSの導入により、無線LAN環境における入り口を鉄壁にしても、企業ネットワークの構成によっては、シャドーITなどの不適切な端末が侵入し、その結果として会社の内部から思わぬリスクにさらされることがある。単純に許可されていないスマートフォンなどを社内ネットワークにつなごうとした場合、NetAttest EPSでアクセスをブロックできるはずだが、実際は抜け穴を作られる可能性が否定できないのだ。

たとえば、社員が私物の無線アクセスポイントを社内に持ち込み、これを有線LANに接続して「野良Wi-Fi」を立てるといったケースが挙げられる。また、IoTなどの取り組みの活発化にともない、そもそも（無線アクセスポイントとNetAttest EPSが提供する）IEEE 802.1X EAP認証に対応できない端末も増えてくるだろう。

こうした無線LANだけではなく、有線LANに潜む抜け穴の悪用に対抗できるのが、NetAttest LAPという製品だ。社内ネットワークに接続されるすべての機器を可視化し、必要に応じて検知・ブロックしてくれる。ネットワーク通信を常に監視し、端末を発見すると自ら確認しにいく機能を備えており、IoTデバイスのような接続情報を自身で発行しないような機器も含めてサポートできる。

• NetAttest LAP

NetAttest LAPは許可されていないデバイスを検知すると、OSやデバイス種別などの現状を把握できるようにし、必要であればネットワーク接続をブロックするところまでを自動化する。分散配置・統合管理も可能で、セキュリティ面で手薄になりがちな複数拠点にわたる環境に対してもITガバナンスを行きわたらせられるというわけだ。

NetAttest EPSとNetAttest LAPの組み合わせは、セキュリティの"抜け穴"を埋めるために有効で、ネットワーク全体でのなりすましを防ぎ、「完全性」をより強固にしてくれる。

• NetAttest EPSとNetAttest LAPの組み合わせが「完全性」をより強固にする

「可用性」を高めるネットワーク基盤構築のアプライアンス

企業ネットワークを電気やガス、水道と同じように、日々の業務に欠かせないライフラインとして考えると、ここまで述べてきた「機密性」と「完全性」を確保することは当然である。しかしそれだけでは不十分で、最後の要素「可用性」が揃ってはじめて合格点となる。そのライフラインの信頼性の根幹を支えているのが、ネットワークのコアサービスといえるだろう。

ネットワークの利用に不可欠なコアサービスとは、具体的にはデバイスにIPアドレスを払い出す「DHCP」や、ドメインの名前解決を行う「DNS」を指す。これらのサービスは、その重要さに比して軽視される傾向にあり、たとえばActive Directoryやネットワーク機器に付属する"おまけ"機能のように扱われることが多かった。その結果、近年のネットワーク機器の急増とあいまって、ネットワークの遅延といったトラブルも目立ちはじめている。その背景としてはDHCPやDNSの性能の劣化が関わっていると考えられ、DHCP/DNSサービスの軽視が、コアサービスの信頼性を低下させ、ネットワーク基盤の「可用性」を損ねているといえる。

こうした無線LANを含むネットワークインフラの「可用性」の課題を解決するのが、DHCP/DNSアプライアンスのNetAttest D3となる。その特徴は、法人向けの超高速DHCPであること、日本語GUIで簡単にDNSの導入・運用ができること、障害時にも迅速に復旧可能なアプライアンスであることだ。専用アプライアンスとしてDHCP/DNSを運用することが、ライフラインとしての企業ネットワークに「安全」をもたらしてくれる。

• NetAttest D3

このように、NetAttest EPS、NetAttest LAP、NetAttest D3は、情報セキュリティの3要素を満たしながら、無線LANを含めた企業ネットワークに「安心」「安全」を提供できる製品群となる。これらの製品が実際にどのようにユーザー企業にメリットをもたらすのか……次回はそうした事例を紹介していこう。

[PR]提供：ソリトンシステムズ