連載
» 2004年07月30日 00時00分 公開

特集:エンタープライズ・ワイヤレスLAN(3):認証サーバ+IEEE802.1xを使った大規模無線LAN構築方法〜導入に関する素朴な疑問に答えるQ&A〜 (2/2)

[山崎潤一郎,@IT]
前のページへ 1|2       

既存機器を活用してセキュリティの高い無線LANは構築できる?

Q: 導入済みのコンシューマ向け無線アクセスポイントを生かしセキュリティの高い無線LANは構築できるのか?

A: できる

写真2 NECブロードバンドプロダクト推進本部 統括マネージャー 森山淳氏 写真2 NECブロードバンドプロダクト推進本部 統括マネージャー 森山淳氏

 セキュリティ対策を施した無線LANネットワークにおいては、IEEE 802.11x認証に非対応のコンシューマ向けアクセスポイントを“不正アクセスポイント”という呼び方をして、排除する考え方が一般的だ。「システム部門に無断でそのようなアクセスポイントを社内LANに接続すると、セキュリティホールとなる可能性がある」(NEC ブロードバンドプロダクト推進本部 統括マネージャー 森山淳氏)というのがその理由だ。

 ただ、無線LANにセキュリティを導入するからといって、導入済みのアクセスポイントを、1台2万円前後とはいえ、簡単に破棄するのも忍びない。そこで考慮すべきが、このようなアクセスポイントをそのまま利用してセキュリティの高い無線LANを構築するやり方だ。

 これは、コンシューマ向けアクセスポイントを無線と有線のメディアコンバーターとして利用し、アクセスポイントとLANの間に無線LANスイッチなどと呼ばれるインテリジェントな機能を持ったLANスイッチを設置して暗号化、接続管理、認証を、複数のアクセスポイントに対して一元的に行うという方法だ。「そのようなコンシューマ向け製品が企業にも広く普及している現状では、それらのアクセスポイントを生かしてセキュリティの高い無線LANシステムを構築することも考えなければならない。これは、ライトウエイト・アクセスポイント方式と呼び、今後の中心的な考え方になるのではないか」(日本アルカテル・桑田氏)といった意見もある。

WPA、11iを分かりやすく説明して

Q: 認証サーバ+IEEE 802.1xによるセキュリティとWPA、IEEE 802.11iの関係は?

A: WEP+認証サーバ+IEEE 802.1xは、WPA、IEEE 802.11iを一部先取りしたもの

 無線LANの新規格であるIEEE 802.11iの標準化が完了する見込みだ。802.11iの最大の目的は、強力な暗号化技術の実現に加えユーザー認証を用いた高度なセキュリティ構築にある。そして、それを実現するために複数の最新技術が組み合わされている。実は、WEP+認証サーバ+IEEE 802.1xは、IEEE 802.11iで採用される技術を一部先取りして利用しているものと考えていいだろう。

 その先取りした部分が、IEEE 802.1xとEAPを用いたユーザー認証だ。この部分は、802.11iにおいても技術の根幹を成す重要な部分だ。

図1 IEEE 802.1xと802.11iの違い 図1 IEEE 802.1xと802.11iの違い

 802.11iのもう1つのポイント、暗号化技術について見てみよう。前にも述べたとおりWEPの脆弱性が指摘される中、より強力な暗号化要求に応えるべくWPA(Wi-Fi Protected Access)と呼ばれる技術が開発され2002年末に登場した。WPAでは、WEPで問題になっていた固定の共有鍵方式の代わりにユーザー認証後にサーバから鍵を交付する方式を取り入れた。また、一定時間ごとに鍵を自動生成して更新することでさらに強力なセキュリティを確立している。そして、IEEE 802.11iではこのWPAの暗号化アルゴリズムをさらに強化することでより高度なセキュリティを確立している。

 このように、WEP+認証サーバ+IEEE 802.1xによるセキュリティは、IEEE 802.11iを先取りしたシステムといえよう。

11gか11aか、どちらを選ぶ?

Q: IEEE 802.11aと IEEE 802.11gはどちらを選べばいいのか?

A: 環境によりケース・バイ・ケースの選択が必要

 クライアントの対応状況、オフィスの構造、壁の材質、窓ガラスの有無などにより、無線LANの規格のみならず、アクセスポイントの数や設置方法は、大きく異なる。この辺りは、机上設計やサイトサーベイなどを実施したうえで、SIerやベンダが持つ独自のノウハウにより、最適な無線LAN規格をケース・バイ・ケースで採用することになる。

 例えば、バッファロー・ブロードバンドソリューションズ事業部マーケティンググループ・富山強氏は「基本的にIEEE 802.11gで構築する方向だが、周波数特性による違いを考慮しながら適材適所で使い分ける」ことになる。特に、「障害物がなく高速性を求められるときは、IEEE 802.11aを採用することもある」(同氏)そうだ。また、802.11gと802.11aは、周波数が異なるので混在させても問題はない。

 ちなみに、同じ周波数帯域を使い802.11bクライアントにも対応可能な802.11gだが、この2つの規格を混在させると802.11gが持つ高速性が損なわれる可能性が高い。まず、当然だが、802.11bのクライアントでは、802.11gのアクセスポイントに接続しても、802.11bの速度しか出ない。それに加え「混在環境では全体が802.11bの速度に引っ張られる可能性が高い」(バッファロー・ブロードバンドソリューションズ事業部ソリューションマーケティング第二グループリーダー・門脇洋之氏)という問題もはらむ。ただし、802.11gのアクセスポイントには混在環境での速度低下を抑えるプロテクション機能を備えたものもある。


前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。