| エンタープライズ:ニュース | 2002/11/07 18:20:00 更新 |
無線LANにも有効な.NET Serverのセキュリティ機能
MSC最終日となる7日のセッションからお届けする。「Windows .NET Server 2003−セキュアなネットワーク構築」と題された講演では、マイクロソフト システムズエンジニアリング本部 第三SE部 庄司貴昭氏によって、.NET Server 2003の無線LANとリモートアクセスに対するセキュアソリューションが紹介された。
壇上に立った庄司氏は、マイクロソフトのセキュリティに対する取り組みとその技術、およびサービスの内容について理解していただきたいと語ったあと、「Trustworthy Computing」の考え方を掲げ、.NET Server 2003がこの原則を満たすべく開発され、そのソリューションとなることを述べた。
.NET Server 2003は、セキュリティ上の大きな3つの理念が設定されているという。それは、安全な設計、安全な出荷時設定、そして安全な運用・展開だ。
セキュアなコンピューティング環境の構築に必要な要素
この3つに対してそれぞれキーとなる機能が、Active Directoy、Internet Authentication Service(IAS)、Certificate Authorityである。つまり、セキュアな環境を構築するための機能が、.NET Server 2003にはすでに備えられているのだという。庄司氏はこの点をふまえてから、はじめに現状の無線LANのセキュリティについて、問題点をあげていった。
まず、従来のSSID(ESSID)、WEP、MACアドレスフィルタリングといったソリューションでは、ユーザーのプライバシー保護に関しても、またユーザーの認証そのものについても不完全なものであると指摘。そこで.NET Server 2003ではこれらに加えて、IEEE 802.1xを利用したより強固なセキュリティの確立を目指すという。
.NET Server 2003では、IASによるRADIUS認証がサポートされた。このRADIUS(IAS)サーバによる認証が無線アクセスポイントをサポートし、これによってセキュアな無線アクセスを実現する。また、RADIUS Proxyのサポートも新しい。これは、ユーザーアカウントの@以降のドメイン名を参照して、しかるべきRADIUSサーバへ転送するという機能を持つ(グループ化されたRADIUSサーバの指定もできる)。これによって大規模なRADIUSサーバシステムの構築が行え、しかもRADIUSサーバの負荷分散も可能となる。
その上で、EAP-TLS(Extensible Authentication Protocol-Transport Level Security)による証明書ベースのユーザー/コンピュータ認証が行われることになる。証明書はクライアントとRADIUSサーバの両方に発行され、より強固なセキュリティを保つことができる。
以上が無線アクセスについてのソリューションということで解説された。この後、庄司氏の話はリモートアクセスセキュリティのソリューションへと進む。
リモートアクセスの手法としてニーズが高まりつつあるのが、インターネットによるVPNである。その実現に必要な機能は、.NET Server 2003ですべて用意されていると説明。
VPNに必要なコンポーネント(赤い文字で示された部分)はすべて.NET Server 2003に用意されているという
またVPNの実現に必要なテクノロジーとして、.NET Server 2003が備えるIPSecが説明された。暗号ペイロードや認証ヘッダによって、IPパケットの暗号化やなりすましが防止される。またWindows 2000が備えていたIPSecから進化し、IPSecのデータがUDPによってカプセル化されることでNATとの併用が可能になった点についても説明された。自宅から会社へのアクセスといったソリューションに適用できるとしている。
さらにこれらの運用に必要な設定は、接続マネージャ管理キット(CMAK)が利用できる。.NET Server 2003ではバージョン1.3となり、サーバ構成ファイルを記述しておくことで複数のVPNサーバを選択することが可能となった。それぞれについてDNSやWINSの定義もできるという。
.NET Server 2003の利用によって、さまざまな場所からのよりセキュアなリモートアクセスが実現できることを期待したい。
関連記事
エンタープライズ分野における取り組みや製品を大量紹介──阿多社長基調講演Windows .NET Serverはセキュリティ、可用性、パフォーマンスの向上を目指す企業ネットワークはぜひインターネットでWindows .NET Server 2003 徹底レビューActive Directoryによるドメイン構築関連リンク
マイクロソフトthe Microsoft Conference 2002/fall[柿沼雄一郎,ITmedia]
