802.1x,それともIPSecベースのVPN?

【海外記事】2002.2.22

 米ファンクソフトウェアはRSA Conference 2002の会場で,先日リリースされたばかりの新製品「Odyssey」を紹介した。Odysseyは無線LAN環境に,802.1x標準に準拠したセキュリティ機能を提供する製品だ。

 Odysseyはクライアント/サーバ型の構成をとっており,802.1x準拠の認証機能と通信の暗号化機能を提供する。ここでポイントとなるのは,802.1x標準のうち,Windows XPなどに実装されているEAP-TLSに加え,EAP-TTLSもサポートしていることだ。EAP-TTLSの場合,電子証明書が必要なのはバックエンドに存在するRADIUSサーバのみであり,クライアント側に導入する必要はない。さらに,EAP-MD5やシスコシステムズ独自の方式であるLEAP(EAP-Cisco Wireless)にも対応している。

 今のところ,無線LAN環境のセキュリティを高める現実的な手段としては,IPSecベースのVPNが妥当な選択だろう。しかもVPNは将来の青写真ではなく,既にさまざまな製品を通じて利用されている。

 だが同社は,「パスワードベースのVPNの場合,無線LAN通信が盗聴されれば,パスワードが漏れる可能性がある。電子証明書をベースとした認証は堅牢だが,これは管理やカスタマイズの面で負担が大きい。さらに,VPNの場合は追加で機器を導入することになるため,既存のシステムに手を加える必要があるし,コストもかさむ」と反論している。

 今週,802.1xにもセキュリティ上の弱点があることが指摘された。だが同社はこの問題について,「これはあくまでWEPの実装に依存する問題だ。ダイナミックに鍵を変更するEAP-TTLS方式には,この問題の影響を受けない」とコメントしている。「われわれの製品は,堅牢で拡張性に富んだ無線LAN環境を実現する」と,同社担当者は述べている。

 現在Odysseyはベータ段階にあり,米国では今年3月に市場に登場する予定だ。価格は,25クライアントライセンス込みで3000ドルから。OdysseyクライアントはWindows 98/Me,2000/XPで動作する。

 さらに,今後リリースされるバージョン1.1では,現在サポートしているActive DirectoryとNTドメインに加え,RSAセキュリティの「ACE Server」をはじめ,さまざまなプロキシサーバに対応する計画だ。また,現状では別途RADIUSサーバを用意する必要があるが,OdysseyサーバにRADIUSサーバを組み込んで提供することも予定している。

 同社では,ここまで説明したエンタープライズ向け製品に加え,サービスプロバイダー向けの製品も提供しているという。顧客には,UUNetやベライゾンといった北米のキャリアだけでなく,NTTドコモも顧客に含まれている。特にNTTドコモでは,Odysseyを利用し,Mobile IPと組み合わせてのベータテストを行っているという。

アクティブカードは無線LANとIPSec-VPNの組み合わせを実演

 また,米アクティブカードは,セキュリティを高めた無線LAN通信環境のデモンストレーションを行った。

 クライアント側ではログインの際に,パスワードに加えて同社が提供するワンタイムパスワード製品を利用する。一方サーバサイドには,「ActivePack Authenticatioin Server」と米バーニア・ネットワークスのアクセスコントロールサーバ製品「Control Server」「Access Manager」を組み合わせており,ポリシーに沿って無線LANユーザーのアクセスを制御できると言う。これらサーバサイドの製品群は,既存のRADIUSサーバやLDAPサーバとの連携が可能だ。

 このデモでは,パスワードとトークンによる二要素認証を行った上で,社内システムに対するアクセスコントロールを行う様子が実演された。同社によれば,X.509電子証明書,スマートカード,あるいはUSBキーを利用しても,同様の認証が行えるという。

 デモ環境にはさらに,チェック・ポイント・ソフトウェア・テクノロジーズの「Firewall-1/VPN-1」およびクライアントソフトウェアも組み合わせられていた。一連の製品群を組み合わせたこの環境では,内部リソースに対するアクセスコントロールに加え,外部接続時にはIPSecベースのVPNを張るため,非常に堅牢な無線LAN環境が実現できるという。

 無線LANとIPSec準拠のVPNの組み合わせは,米シスコシステムズのブースでも紹介されていた。同社のファイアウォール/VPN製品「Pix Firewall」とAironetを組み合わせた環境でIPテレフォニーを利用するという内容だ。この組み合わせによって,無線LAN環境を導入している自宅からブロードバンド接続を経由し,オフィスのサーバに接続して作業を行うといったことが,セキュリティを維持しながら実現できるという。シスコは今回のイベントで,特に新製品を発表したわけではないが,一連の製品を同社のセキュリティフレームワークである「Cisco SAFE」に沿って顧客に提案していくとしている。

Mobile IPv6も登場

 米コンパックコンピュータは,Tru64ベースのUNIXシステムとWindows 2000サーバ,それにiPaqを連携させた無線LAN環境をブース内に構築。2つのアクセスポイント間でiPaqを移動させながら,Mobile IPv6によってローミングを行い,途切れなくアプリケーションを利用してみせるというデモンストレーションを行った。通信はSSHで保護する形だ。

 同社の担当者は,「日本やヨーロッパに比べ,北米市場ではIPv6の導入は進んでいない。だが,IPv6を選択しない理由は何もない。したがってこれから数年をかけて,徐々に導入されるようになるだろうと考えている。特にセキュリティついてに言えば,仕様自体にIPSecが組み込まれていることから,VPNの実装や導入が容易に行えるのではないかと期待している」と語った。

KerberosによるWindows 2000とTru64の連携,SSHによる無線通信の保護,iPaqを用いたMobile IPv6と,盛りだくさんのデモ環境

 このデモ環境ではさらに,UNIXシステムとWindows 2000サーバをKerberos認証によって連携させている。従来はサーバごとにユーザー登録を行う必要がが,Kerberosを利用すればその手間が省け,管理者の負担を減らせるという。同社の説明によれば,Mobile IPv6やKerberos,IPSec,SSHといった一連の機能を搭載した製品が登場するのは,今年夏以降となる見込みという。

関連リンク

▼RSAセキュリティ

▼米ファンクソフトウェア

▼米アクティブカード

▼米バーニア・ネットワークス

▼米シスコシステムズ

▼米コンパックコンピュータ

[高橋睦美 ,ITmedia]



Special

- PR -

Special

- PR -