認証サーバ+IEEE802.1xを使った大規模無線LAN構築方法〜いまのアクセスポイントがダメな理由〜特集:エンタープライズ・ワイヤレスLAN(1)

» 2004年01月21日 00時00分 公開
[山崎潤一郎@IT]

無線LANの危険な現状に警鐘をならすベンダ各社

大規模無線LAN構築方法

  1. 危険な現状に警鐘をならすベンダ各社
  2. WEP+SSID+MACアドレスフィルタリングによる 対策では不十分
  3. WEP+IEEE 802.1x/EAP+RADIUS認証サーバによる認証で強固なセキュリティを実現する
  4. IEEE 802.1xという技術と認証手順
  5. EAPによる認証
  6. EAP認証方式の種類
  7. EAPの方式はどれを選べばいいのか
  8. RADIUS認証サーバについて
  9. RADIUS認証サーバの導入
  10. RADIUS認証サーバ導入後の日々の運用について

 今回取材した無線LAN製品を開発・販売する担当者のすべてが開口一番「企業ユーザーは、無線LANのセキュリティにもっと関心を持つべき」と、無線LANの現状に警鐘を鳴らす。ただ便利だという理由だけで、市中で購入した無線LANのアクセスポイントを、セキュリティ対策を施さないまま使用している企業が多過ぎる、というのがその一致した意見だ。

 確かに、アットマーク・アイティが昨年の末に調査した「第11回読者調査結果〜無線LAN/ギガビットイーサネットの導入状況は?〜」においても、「WEPによる通信の暗号化」「SSID(ESS-ID)の隠ぺいやANY接続の拒否」「MACアドレスによるアクセス制限」という、IPA(独立行政法人

情報処理推進機構)が『無線LANのセキュリティに関する注意』で推奨している最低限の対策を施している例は、52〜66%にとどまっている。裏を返せば4〜5割の無線LANアクセスポイントが、無防備のままいまも“開放”されているわけで、データの漏えいや不正アクセスの危険にさらされていることになる。

WEP+SSID+MACアドレスフィルタリングによる対策では不十分

 では、最低限のセキュリティ対策といわれるWEP+SSID+MACアドレスフィルタリングだが、企業での利用に際してそのセキュリティ効果はどの程度なのだろうか。

写真1 シスコシステムズ・マーケティングアドバンストテクノロジー本部ワイヤレスネットワーク部部長・大金日出夫氏 写真1 シスコシステムズ・マーケティングアドバンストテクノロジー本部ワイヤレスネットワーク部部長・
大金日出夫氏

 「家庭で利用するのであればいいが、企業のセキュリティ対策としては不十分」(シスコシステムズ・マーケティングアドバンストテクノロジー本部ワイヤレスネットワーク部部長・大金日出夫氏)と切り捨てる。その理由はこうだ。

 WEP(Wired Equivalent Privacy)と呼ばれる暗号化技術は、端末とアクセスポイントが共通のWEPキーを持つことで、同じ鍵を持ったもの同士だけが、アクセスポイントに接続して安全に通信できる仕組みだが、その解読ツールや方法がネットを通じて広く出回っていることが大きな問題となっている。

 従って、現在では「WEPを設定しておけば安心という時代ではない」(バッファロー・ブロードバンドソリューションズ事業部ソリューションマーケティング第二グループリーダー・門脇洋之氏)という認識が必要なのだ。

 また、SSID(Service Set ID)は、特定のネットワークを指定するための“合い言葉”のようなものであり、単なる“文字列”にすぎない。従って、不正なアクセスを防ぐためのセキュリティを確保するという性格のものではない点を認識しておくべきだろう。

写真2 バッファロー・ブロードバンドソリューションズ事業部ソリューションマーケティング第二グループリーダー・門脇洋之氏 写真2 バッファロー・ブロードバンドソリューションズ事業部ソリューションマーケティング第二グループリーダー・門脇洋之氏

 MACアドレスによるセキュリティ設定は、アクセスポイントに接続する無線クライアントのMACアドレスを登録し、それ以外のクライアントからのアクセスを拒否する機能だ。

 だが、MACアドレスは「知識を有したものであれば、アドレスを偽造し、なりすましによる不正なアクセスを行うことも可能であり、ユーザーを特定することができない点が問題」(シスコシステムズ・大金氏)と指摘する。このように、WEP+SSID+MACアドレスフィルタリングによるセキュリティ対策では、機能的に十分とはいえない現状をご理解いただけたと思う。

 加えて言えば、このセキュリティ対策が企業利用に適さない理由に、管理の煩雑が挙げられる。アクセスポイントの中には、複数のWEPキーを設定して、曜日により使い分けることで、WEPの弱点を補う使い方が可能なものもある。しかし、アクセスポイントのWEPキーを変更すると無線LANクライアント側のWEPキーもたちまち変更する必要がある。頻繁にWEPキーを変更するとなると、利便性が下がるばかりでなく、サポートなど管理上の問題も発生するであろう。社員数(クライアント数)が多い企業では、非現実的な方法だ。

WEP+IEEE 802.1x/EAP+RADIUS認証サーバによる
認証で強固なセキュリティを実現する

 このような背景もあり、企業での無線LAN利用に適したセキュリティ対策が早急に求められていた。そこで登場したのが、無線LAN製品の業界団体Wi-Fiアライアンスが提唱するWPA(WiFi Protected Access)と呼ばれる規格。ただし、注意しなければいけないのは、WPAが単体の技術によって成立するセキュリティ規格ではないという点。複数の技術を集めて構築するセキュリティ規格の総称という位置付けになる。

 WPAの中で提案されているセキュリティのひとつとして、IEEE 802.1xと呼ばれる認証技術にEAP(Extensible Authentication Protocol)という認証プロトコルを組み合わせたセキュリティ確保の方法がある。前述の暗号化技術WEPとユーザー認証を組み合わせることで、より強固なセキュリティを構築しようというわけだ。

 このセキュリティ対策のポイントは、ズバリ、

1 ユーザーID、パスワード、電子証明書などを利用したクライアント認証によるアクセス制御
2 WEPキーを定期的に自動生成することで、暗号解読を困難にする

という2点に尽きる。

 現在、無線LAN機器のベンダやSIerたちは、企業向けの無線LANセキュリティ対策として、ユーザー企業に対しこの方法を積極的に売り込んでいる。

 では、ここで登場した「IEEE 802.1x」「EAP」「RADIUS認証サーバ」という技術や方式について、それぞれの詳細を説明しよう。

IEEE 802.1xという技術と認証手順

 IEEE 802.1xという技術は、 有線/無線を問わない認証方式であり、簡単に言ってしまうと、スイッチポートを開けるかどうかをチェックするための仕組みということになる。正しいユーザーと認証されれば、ポートが開き通信が可能となる。そして、その後ろ側で実際のユーザー認証作業を行うのが、後述する「RADIUS認証サーバ」だ。そして、認証を行う際のプロトコルに、IEEE 802.1xで定義されている「EAP」を利用する。

 以下は、クライアントがアクセスポイントに接続して通信が行われるまでの手順である。

図1 RADIUS認証サーバ+EAPのネットワーク構築例 図1 RADIUS認証サーバ+EAPのネットワーク構築例
  • 手順その1
    アクセスポイントがクライアントの接続要求を受け取ると、EAPのデータだけを受け付け、それをRADIUS認証サーバに流す。
  • 手順その2
    RADIUS認証サーバは、ユーザーID、パスワード、電子証明書などから正しいクライアントかどうかを判断し、問題がなければWEPキーなどの接続に必要な情報をクライアントに返す。
  • 手順その3
    クライアントは受け取ったWEPキーを使い、暗号化されたデータでアクセスポイントと通信を開始する。

 WEPにはデータの暗号化だけでなく、WEPキーが正しく設定されていないクライアントを、アクセスポイントに接続させないためのアクセス制御の機能もあるため、IEEE 802.1xとWEPを組み合わせることでセキュリティの強度が増すことになる。

EAPによる認証

 ここで1つの疑問にぶち当たる。上記のような手順でIEEE 802.1xを使った認証が行われることで、なりすまし等の不正アクセスに関するセキュリティは高まるだろう。だが前述のように、暗号解読の方法が出回ってその脆弱性が指摘されているWEPだけに、空中を飛び交うデータを傍受して暗号が解読されてしまったのでは、セキュリティ対策としては不十分なのではないかと。

 そこで登場するのが、EAPと呼ばれる認証プロトコルだ。これは、ダイヤルアップ接続などでおなじみのPPP(Point to Point Protocol)を拡張し認証機能を備えたプロトコルのこと。この方式を無線LANで利用する最大のポイントは、WEPキーの自動生成機能にある。

 実は、EAPにはExtensible(拡張)という名が付けられているだけあり、各社から複数の方式が提案されている。その中のEAP-MD5と呼ばれる方式を除くほかのものには、WEPキーを一定時間ごとに自動生成しながら、クライアントとの間で変化させる機能がある。そのため、もしデータが盗聴されたとしても、キーが自動変更された以後は継続して盗聴することができなくなるのだ。もちろん、クライアント側のWEPキーも自動で変更されるので、前述のようなクライアント側のWEPキー変更に関するトラブルや作業効率の低下を心配する必要はない。

EAP認証方式の種類

 EAPには複数の種類があると述べた。ここでは、主要な5つについてその特徴とメリット・デメリットを説明する。

・EAP-MD5(Message Digest 5)

 これはユーザーIDとパスワードによるクライアント認証で、クライアントおよび認証サーバの両方に電子証明を必要としないため、実装が容易になるというメリットがある。ただし、クライアントのみを認証する片方向認証であることや、WEPキーの自動生成を行うことができないため、暗号解読によるデータ漏えいには脆弱な面がある。Windows XP SP1以降から非対応(削除された)になった。

EAP-TLS(Transport Layer Security)

 TLSは、情報を暗号化して安全に送受信するプロトコルの1つで、電子証明書を利用してクライアントと認証サーバの相互認証を行うもの。電子証明書を使うためセキュリティは高いのだが、クライアントと認証サーバの双方で電子証明書の管理が必要になる。Windows 2000/XPが標準で対応している。

・EAP-TTLS(Tunneled TLS)

 MD5とTLS両方の利点を併せ持った方式。トンネルを張り認証を行うことでセキュリティを確保。TTLSの場合、クライアント側では、ユーザーIDとパスワードによる認証を行うことで、導入・管理・運用がTLSと比較して楽だといわれている。その一方で、認証サーバ側では電子証明書が利用されるため、高いセキュリティ性の確保が可能となる。WEPキーの自動生成も可能だ。ただし、クライアントライセンス費用(サプリカント導入)や、米Funk社が提案する方式のため指定の認証サーバを必要とする。また、この方式にWindowsが非対応のためサプリカントの導入が必要となる。

・EAP-PEAP(Protected EAP)

 Microsoft(MS)、RSA、Ciscoの共同開発によるもので、TTLSと同様に、クライアント側ではユーザーIDとパスワードによる認証、認証サーバ側では電子証明書による認証が行われる方式。Cisco-PEAPとMS-PEAPがあり、バッファロー社の無線LANカードは、最新のファームウェアを導入することでMS-PEAPに対応可能。ただし、Cisco-PEAPには非対応。Windows 2000/XPは標準で対応している。

・EAP-Cisco(LEAP)

 Ciscoのプライベート方式で、ユーザーIDとパスワードによるクライアント/サーバの相互認証を行う方式。最大の特徴は、Windowsのログオンを利用して認証を行う。そのため、ほかの方式のように、無線LANアクセスポイントに接続するための認証作業を省力化することができ、クライアント側にスムースな運用を提供することが可能。ただし、原則としてCiscoの無線LANカードでないと利用することができない。

EAPの方式はどれを選べばいいのか

 上記のように複数の方式が提案されているEAPだが、どれを選べばいいのか悩ましいところだ。ただ、一般論として言えるのは、新規にネットワークを構築するのでない限り、既存のシステム環境をかんがみながら選択する、という結論になる。

 例えば、EAP-TLSのようにクライアントとサーバ相互の電子認証方式であれば、双方にデジタル証明書が必要となるため、認証局の準備、構築・運用といった部分まで考慮する必要がある。システムの規模や今後の運営方針にもよるが、これを新たに立ち上げるとなると、それ相応の負担を覚悟する必要がある。ただし、一方では、すでにこのようなシステムを運用しているのであれば、それを利用することで強固なセキュリティを構築することも可能だ。

 また、EAP-TTLSやEAP-PEAPのように、サーバ認証だけの方式であれば、EAP-TLSと比較してセキュリティ面では多少の妥協を必要とするものの、導入や運用のハードルは低くなる。

 さらに、クライアント側のOSを考慮する必要がある。組み合わされるOSと認証方式によってはサプリカント導入を必要とするものもあり、その部分のコストや導入サポートも十分考慮しなければならないだろう。加えて言うなら、特定ベンダの製品に縛られるような環境の構築を好まないユーザーであれば、認証方式の相互運用性は慎重に検討する必要があるだろう。

RADIUS認証サーバについて

 RADIUS(Remote Authentication Dial-In User Service)は、ダイヤルアップ接続のために開発された認証システムであり、プロバイダなどのアクセス管理に古くから利用されている。データベースに記録されたユーザー情報に基づいて接続の許可/不許可を判断し、接続の記録を取得するのが主たる役割だ。そのため、ダイヤルアップ接続のみならず、ADSLなどの常時接続サービス、社内LANや携帯ブラウザフォンなどに応用されて利用されている。ここで紹介するシステムは、このRADIUS認証サーバを無線LANクライアントのアクセス管理に利用しようというもの。

 前述のように、基本的にはユーザーIDとパスワードをやりとりすることでアクセス時のセキュリティを確保する仕組みだが、無線LANでの使用時には、前述の各種EAP方式による認証プロトコルを組み合わせることでより強固なセキュリティ対策を取ることができる。

RADIUS認証サーバの導入について

写真3 バッファロー・ブロードバンドソリューションズ事業部マーケティンググループ・富山強氏 写真3 バッファロー・ブロードバンドソリューションズ事業部マーケティンググループ・富山強氏

 WEP+IEEE 802.1x/EAP+RADIUS認証サーバの無線LANネットワークを構築する際、最大のポイントとなるのがRADIUS認証サーバだ。大企業などクライアント(社員)のリモートアクセス管理などですでにRADIUS認証サーバが導入されている場合は、それを使うことも可能だが、そうでない場合は新たにサーバを導入しなければならない。これがCisco社の場合で、最低で100万円から200万円程度(ハードウェアが別途必要)の費用が掛かる。アクセスポイントの整備などを含めると、最低でも300万円程度のコストが予想される。

 この数字だけを見ると、クライアント数が100に満たないような中小規模の企業や事業所への導入は、1クライアント当たりの単価が必然的に高くなり、コスト面で議論の対象になることは必至であろう。その点について同社は、「企業として無線LANのセキュリティ対策は避けて通れない段階にきている。有事の際は自社が被害に遭うだけでなく、踏み台にされて加害者になる可能性も忘れてはならない」(シスコシステムズ・大金氏)と、社会的な存在としての企業の倫理観に訴え掛ける。また、「導入コストは重要な検討項目だが、そこにばかり目を向けるべきではない。弊社のシステムは“売りっ放し”というたぐいのものではない」(シスコシステムズ・大金氏)と導入後の運用・管理面までを含めた形での検討を促す。

 ただ、その一方で、機能を絞り込むことでコストパフォーマンスの高い無線LAN機器を従来より提供しているバッファロー社では、19万8000円(ハードウェアが別途必要)のRADIUS認証サーバを販売している。「これまで高額な導入コストが必要だったRADIUS認証サーバがこの価格で利用できるので、小規模でも導入を検討するところが増えている」(バッファロー・ブロードバンドソリューションズ事業部マーケティンググループ・富山強氏)と小規模でも1クライアント当たりのコストを抑えられる点を強調する。ただ、一般家庭や小規模オフィスにも浸透している同社のアクセスポイントだが、「普及型のWLAシリーズ(タマゴ形の筐体)は、RADIUS認証サーバに非対応。Proシリーズ(箱形)を新たに導入する必要がある」(バッファロー・門脇氏)と、導入済みの同社普及型アクセスポイントを生かした導入はできない点が残念だ。

RADIUS認証サーバ導入後の日々の運用について

 無線LANのセキュリティを高めるためにRADIUS認証サーバの必要性は理解できる。だが、RADIUSは導入や運用にある程度の専門知識が必要で、一般企業などではこれまで管理者の確保が課題となる面が多々あった。これについて、「クライアント数にもよるが、専門のIT・システム管理者が運用と管理を行う例がほとんど」(シスコシステムズ・大金氏)と説明する。その一方で「導入には専門知識を必要とするが、トラブルさえ起きなければ、日々の運用・管理は高度な知識を必要としない。小規模オフィスでも普段からネットワーク関係の面倒を見ている人がいるだろうから、そういった人でも十分可能」(バッファロー・富山氏)とも。

 運用と管理については、既存のネットワークや無線LANシステムの規模により、ケース・バイ・ケースの対応が求められるようだ。


 今回は、WEP+IEEE 802.1x/EAP+RADIUS認証サーバによる無線LANセキュリティの基本について解説した。次回は、実際の導入に際して、IEEE 801.11aやIEEE 801.11gなど複数ある無線規格の選択方法、実際のアクセスポイントの設置方法、VPNやIP電話などと連携することのメリット、WEPの次に来る暗号化技術などについてQ&A方式で解説する予定だ。


Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。