安全な企業ネットワークの構築に不可欠な無線LAN認証。第1回は、「PSK(Pre-Shared Key/事前共有鍵)」とMACアドレス認証のリスクについて、第2回は、企業ではWPA2エンタープライズを利用すべきこと、そして電子証明書を用いた認証が有用だと説明した。今回は、電子証明書を使った無線LAN認証環境の導入と円滑な運用のためのポイントを整理していこう。

電子証明書は「使いやすさ」と「セキュリティ」を両立できる

電子証明書という言葉を聞いて、まず何を思い浮かべるだろうか。多くの人は、「ID/パスワードと比べてなんだか難しそう」、「ユーザーに説明するのが面倒そう」、「運用が大変になりそう」といった感想を持つだろう。しかし、これは大きな誤解で、近年では電子証明書による無線LAN認証環境の導入や運用は想像以上に簡単なものとなっている。認証環境に必要な機器は、RADIUSサーバーと認証局(CA)の2つだが、かつては各サーバーを立てたうえで、データベース(Active Directory/LDAP)の連携を行う必要があるなど、管理に手間がかかった。しかし現在では、これらの機能がアプライアンスとして提供されている。つまり、既存環境に専用アプライアンス機を追加導入するだけで、電子証明書を使った無線LAN認証環境がすぐに構築できるのだ。

ソリトンシステムズが提供するネットワーク認証アプライアンス「NetAttest EPS」による構築例を「【連載特別企画】今さら聞けない「無線LANセキュリティの基本 第2回 無線LANの認証環境を構築する」で画面キャプチャとあわせて詳しく説明している。ぜひこちらもチェックしてほしい。

安全で簡単な証明書配布を実現する「Soliton KeyManager」

一般的に、電子証明書のインストールはp12ファイル(PKCS#12標準に準拠する、秘密鍵と公開鍵証明書をともに保存するファイルフォーマット)を安全な手段でユーザーの端末に受け渡し、端末上でウィザードを使って端末の証明書ストアにインストールすることになる。電子証明書をインストールした経験のある人はわかると思うが、クリックしてインストールを進めるだけとはいえ、「p12ファイルとは何か」「どこにどうインストールするのか」など、聞いただけではよくわからないことが多い。逆に、ITに興味がある人であれば、p12ファイルを複製して私物のスマートフォンなどにインストールし、スマートフォンからも無線LANにアクセスできるようにするといった不正行為(シャドーIT)を行える可能性がある。

このほかにも、本当にイントールしてよい端末なのか、配布したp12ファイルが途中で誰かに盗まれていないか、不正にコピーされていないかなど、電子証明書の配布においてチェックしなければならない項目は多い。たとえば、セキュリティを考慮すると、メールのような暗号化されない環境で不特定多数に拡散するリスクが高い配布手段はとることができないのだ。

こうした課題を解決するのが、ソリトンシステムズが提供する電子証明書配布ソリューション「Soliton KeyManager」だ。Soliton KeyManagerを使えば、電子証明書のインストールをユーザー自身で簡単・安全に行うことが可能となる。たとえば、WindowsやmacOSのPC版では以下のような手順を踏むだけで、電子証明書をインストールできる。

Windowsでの「Soliton KeyManager」画面

macOSでの「Soliton KeyManager」画面

またSoliton KeyManagerは、スマートデバイス版のアプリケーションも提供している。なお、iOSで無線LAN認証用に電子証明書を取得する場合は、Safariから電子証明書配布ページ(KeyManagerページ)にアクセスする。

ここで大きなポイントになるのが、電子証明書の窃取や不正コピーの防止についてだ。Soliton KeyManagerでは、電子証明書の秘密鍵は発行要求時に端末内で自動生成し、電子証明書のインストール中、一切端末外に出さない方式をとっている。また組織が許可する端末の識別コードを、予めサーバーに登録しておくことで、不許可端末からの発行要求を受け付けない運用も可能となる。そのため、電子証明書が盗まれたり、不正に取得されたりする危険がないのだ。

Soliton KeyManagerによる電子証明書配布は、NetAttest EPSとNetAttest EPS-apを組み合わせることで利用可能となる。詳細の流れを「【連載特別企画】今さら聞けない「無線LANセキュリティの基本 第3回 証明書の発行と配布の実際」で説明しているので、チェックしてほしい。

電子証明書の「失効」も簡単

NetAttest EPSとSoliton KeyManagerは、運用面でも大きな効果を発揮する。

端末を紛失したり有効期限が切れたりした場合、電子証明書を失効したり、再発行する必要がある。PSKの再設定ほどではないにしろ、ユーザーや管理者にとっては大きな負担になりかねない。

ユーザーは端末を紛失したことをIT部門に伝え、連絡を受けたIT部門は、当該端末に発行されている電子証明書を発行履歴から特定し、速やかに失効しなければならない。近年では、一人が複数台の端末を業務利用することも珍しくないため、IT部門では、利用者と端末の組合せ毎にどの電子証明書を発行したのか、履歴を管理しておくことも必要となる。端末紛失してしまったユーザーが新たに端末を購入した場合も、電子証明書再交付の履歴を管理していかなければならないだろう。

しかし、NetAttest EPSとSoliton KeyManagerを使えば、こうした運用管理も極めて簡単となる。一人が複数台の端末を業務利用している場合でも、サーバー側で発行済み端末の情報を自動収集し、ユーザーと紐づけて管理している。端末紛失時には、ユーザー名を検索するだけで、発行済み端末の情報を即座に確認し、当該端末の特定と失効を速やかに行うことが可能だ。

失効運用のイメージ図

また、電子証明書の有効期限切れが近づいていることをユーザーへ自動通知することもできる。通知を受けたユーザーは、Soliton KeyManagerを利用し、IT部門に問合せることなく、自身で電子証明書を再取得することができる。サーバー側では、ユーザーが再取得した時点で、従前に発行された電子証明書の自動失効と端末情報の再収集が自動実行される。このように、電子証明書を利用するための環境構築と運用は、多くの管理者やユーザーが想像する以上に簡単なものとなっている。

*  *  *

クラウドやモバイルの普及とあわせ、無線LANは企業ネットワークの標準的な環境となった。そのような中、電子証明書を使って、安全性と利便性を両立した無線LAN認証を整備することは必須の状況だ。企業における無線LANセキュリティに悩んでいる人や不安がある人は、今回紹介したソリトンシステムズのNetAttest EPSのような製品を使い、簡単かつ安全に無線LANの環境整備に取り組んでほしい。

(マイナビニュース広告企画:提供 ソリトンシステムズ)

[PR]提供:ソリトン