「Networks as Platforms」 　〜Mobility/セキュリティ スイッチシリーズ〜 有線／無線に一貫したセキュリティを実現した シスコシステムズ製品のIEEE 802.1X対応機能

　ネットワークを通じた情報利用は、多くのオフィスで日常業務の前提となってきています。フリーレイアウトのオフィスでの業務はもちろんのこと、会議室や共有スペースでの打ち合わせにも、ネットワークが使えなければ不便を感じることが珍しくなくなってきました。アクセスポイントさえあれば、社内のどこにいても自分のPCからすぐにネットワーク接続することのできる無線LANが、企業でこれほど急速に浸透してきたのも無理はありません。企業としても、無線LANはオフィススペースの効率的な利用や、レイアウト変更に伴うコストの低減につながることからも、積極的な活用に値する技術でしょう。

　しかし、どこでもすぐにつながることの便利さは、そのまま新たなセキュリティ上の懸念を意味しています。ネットワークケーブルを使った有線LANに比べ、無線LANではだれがどこでネットワーク利用をしているのかが、視覚的につかみにくいという問題点があります。また、せっかくインターネットとの間にファイアウォールを配置し、日々メンテナンスを怠ることなく不正アクセスやアタックを防いでいるのに、セキュリティ対策の不十分な無線LANアクセスポイントが乱立していたのでは、玄関に鍵はかけても裏口が開いたままになっている家のようなものです。

　以前、多くの企業で社員が勝手にダイヤルアップアクセスサーバを外線に接続し、家庭などから社内ネットワークにアクセスしてしまうことが、セキュリティホールとして大きな問題になりました。現在では、社員が自分で手に入れた無線LANアクセスポイントを、勝手に社内LANに接続してしまうのはもっと簡単です。これを放置することは企業にとって、セキュリティ上の重大な脅威をもたらします。情報システム部の管理の下に無線LANアクセスポイントを設置する場合でも、注意を怠ると隣り合った別の企業のオフィスが伝送距離範囲内に入ってしまうことがあり得ます。さらに、自社を訪れている他社の社員に、無線LANで自由に社内ネットワークへアクセスされてしまうこともあるのです。

　無線LAN利用に伴うこうした新たな課題を克服する効果的なユーザー認証技術として、利用が進みつつあるのがIEEE 802.1Xです。ダイヤルアップリモートアクセスなどでインターネットサービスプロバイダや一部企業では以前から使われてきた、ユーザー認証システムであるRADIUSサーバを利用し、接続時のユーザー認証を行うのです。

図1 IEEE 802.1Xにより、より早い段階で不正なアクセスを遮断することができる

　これに必要な要素は、IEEE 802.1Xと、これが使用するEAPと呼ばれる拡張認証プロトコルに対応したRADIUSサーバ、無線LANアクセスポイント、そして無線LANクライアントソフトウェアです。ユーザーの端末が無線LANへの接続を試みると、通常無線LANアクセスポイントがEAPでユーザーの識別情報を要求し、同じく端末からEAPによる返答をRADIUSのフレームにくるみ、RADIUSサーバに渡すという仕組みになっています。

　つまりネットワークユーザーは、無線LAN接続の接続をしようとした時点でユーザーIDとパスワードの入力を求められ、認証に失敗すると、無線LANそのものが利用できません。こうして社内ネットワークの入り口の部分で、利用の可・不可を制御することができるのです。

　無線LANアクセスポイント製品では、これまでセキュリティ手段として、WEPキー（暗号化）による暗号化とMACアドレスによるフィルタリングが利用されてきました。しかし、これは、ユーザー認証と呼べるようなものではありません。ユーザー全員が同じWEPキーを使い続けることで、暗号を解読されるという危険性がかなり前から指摘されています。またMACアドレスではユーザーを識別することができないという問題もあります。さらにWEPによる暗号化もMACアドレスによるフィルタリングも運用管理が煩雑で、現実として暗号化もMACアドレスのフィルタリングも設定されていないアクセスポイントが非常に多いのです。

　IEEE 802.1Xは、こうした背景から無線LANにおけるユーザー認証のための標準規格として急速に広まってきており、無線LANアクセスポイント製品や無線LANクライアントソフトウェアの対応も進んでいます。

　シスコシステムズは、自社の無線LANアクセスポイントおよび無線LANアダプタの製品群であるAironetシリーズや、認証サーバ製品のCisco Secure Access Control Serverで、IEEE 802.1Xをサポートしています。802.1Xで用いられる認証方式としては、EAP-TLS、EAP-CISCO（LEAP）、PEAP（Cisco方式およびマイクロソフト方式）とさまざまですが、Cisco Aironetシリーズでは、これらすべての認証方式に対応しています。

　実は、IEEE 802.1Xは元来、無線LANのために作られた規格ではありません。有線LANにおけるポートのON/OFF制御を目的に作られたものを、無線LANに応用して有名になったものであり、技術的には有線LAN／無線LAN双方に対して適用できます。

　シスコシステムズでは、有線のLANスイッチ製品全般（Catalyst 6500、4500、3750、3550、2950）に、IEEE 802.1Xへのサポートと関連拡張機能を組み込んでいます。これを使うと、イーサネットケーブルからのスイッチを経由してネットワークにアクセスしようとするユーザーは、無線LANの場合と同様、ユーザーIDとパスワードをまず入力しなければなりません。ここで認証されなければ、そのユーザーが接続しようとしているスイッチのポートは開かれず、物理的にデータパケットをネットワークとやり取りすることができません。

　では、無線LANアクセスポイントだけでなく、LANスイッチもIEEE 802.1Xに対応させることにどういうメリットがあるのでしょうか。

　まず、社員が事前承諾なしに無線LANアクセスポイント設置することを防ぐことです。これは重要であると分かっていても、情報システム部のスタッフが毎日手分けをして、無線LAN用のパケットモニタで全社を調べ回るわけにもいきません。不正アクセスポイントの防止を徹底させることは、現実にはそう簡単ではないのです。しかし、いくらユーザーが勝手にアクセスポイントを社内のイーサネットケーブルにつないだとしても、その奥にあるスイッチがポートが開かなければ、社内ネットワークは守られるのです。

　ネットワークレベルで端末だけでなく、その端末を使うユーザーが認識できるようになることの意味は、セキュリティの観点からも非常に大きいものです。もともとネットワークの世界ではMACアドレスやIPアドレスといった情報で端末を識別します。

　例えばファイアウォールは基本的に、外部からアクセスしてくる端末のIPアドレスと、この端末が要求するサービスをもとにパケットをふるい分けることで、「社内」のネットワークを「社外」から守ります。しかし、これだけでは、物理的に社内に入り込んでしまえば、どんな人でも自由に社内LANを利用できてしまいます。外部の者が社内の端末にトロイの木馬プログラムなどを仕掛け、攻撃や不正アクセスを試みる可能性もあるのです。

　社内の端末からのアクセスであっても、この端末を利用している人が正しいユーザーであるのかどうかを見極めないと、厳格なセキュリティ対策は難しいといえます。アプリケーションだけでなく、社内LANへの接続についても、必ずユーザー認証が必要です。さらに、有線／無線いずれのアクセスにおいても、ユーザー認証を正しく行うことで、ユーザーは社内のどこからでも、どのスイッチポートからでもネットワークへのアクセスが可能になります。これは仕事の連続性と効率化を実現し、生産性の向上につながっていくのです。

　ここでシスコシステムズのスイッチや、無線LANアクセスポイントに搭載された拡張機能が意味を持ってきます。

　その拡張機能とは、RADIUSサーバとの連動による、ユーザーグループ単位のバーチャルLANです。つまり、社内の人を、立場や役割に応じてグループ分けし、RADIUSサーバにユーザー属性情報として格納しておきます。そして802.1Xによるユーザー認証時に、スイッチや無線LANアクセスポイントがRADIUSサーバからユーザーの属するグループ情報を受け取り、これを基にバーチャルLANを割り当てるのです。

図2 無線LANアクセスポイントを介したRADIUSサーバとディレクトリサーバとの認証の流れ

　これにより、社内ネットワークへのアクセスをきめ細かく制御することができます。例えば、派遣社員は、特に理由のないかぎり、部門サーバのあるネットワークセグメントとインターネットしか利用できないようにしたり、経営情報データベースがあるネットワークセグメントには、経理部のスタッフと各部署の管理職だけがアクセスできるようにすることなどが可能となるのです。

　従来のネットワークでは、物理的に経理部内にいる人だけが、経理部のネットワークセグメントにアクセスできるといった仕組みを作ることはできました。しかし、別部署にいるユーザーのうち、経営情報データベースを利用しなければならない立場にある人が、このデータベースの置かれているネットワークセグメントへアクセスできるような仕組みを作ることは非常に難しかったのです。このため、一般的な企業においては、社内ユーザーであれば誰でも、少なくともどんな業務サーバに到達できるようになっているのが現状です。つまり、業務システムのセキュリティは、アプリケーションにおけるユーザー認証だけで支えられているのです。

　しかし、802.1X対応によるユーザー認証とユーザーグループ単位のバーチャルLANを適用することで、アプリケーションレベルのセキュリティをネットワークレベルのセキュリティで補完することができます。さらに従来からCatalystシリーズに搭載されているACL（アクセスコントロールリスト）を併用することも可能で、他段階のセキュリティ対策を実現することができるのです。

　企業で無線LANを導入するのであれば、IEEE 802.1Xを使ったセキュリティ対策を避けて通ることはできません。とはいえ、無線LANセキュリティのためだけにRADIUSサーバのユーザーデータベースを運用・管理していかなければならないとすると、情報システム部の負担は大きいといえます。しかし、同じRADIUSサーバをLANスイッチにも適用して、IEEE 802.1Xに基づくユーザー認証を実施し、有線／無線にかかわらず、一元的なユーザー認証による社内ネットワークへのきめ細かなアクセス制御を可能にすれば、この投資は非常に効果的なものになります。これは全社的なネットワークインフラのセキュリティ強化に直結します。後ろ向きの負担と思われていたことを逆手にとって、生産性と両立するインテリジェントなセキュリティ基盤に変身させることができるのです。

　セキュリティ対策は断片的なものであってはなりません。包括的かつ統合的なものでなければならないのです。そして複数のレイヤにわたる対策が求められます。企業ネットワークの構成は複雑化していますが、IEEE 802.1Xサポートのように、企業ネットワークのエッジを支える機器に、同一のインテリジェントなセキュリティメカニズムを適用できることは、利便性がセキュリティを犠牲にすることを防ぐという観点から、非常に重要なことだといえます。

Networks as Platforms 　 企業の生産性向上とコスト削減を実現するインフラへと進化するネットワーク 　 IPテレフォニーが新たなワークスタイルを生む 　 単なるオールインワンを超えたセキュリティアプライアンス 有線／無線に一貫したセキュリティを実現したシスコシステムズ製品のIEEE 802.1X対応機能 　 ネットワークインフラをビジネスインフラに変える第3世代のCatalyst 6500