エンタープライズ:ニュース 2003/05/16 23:51:00 更新


ワイヤレスLANを安全にするWindows Sever 2003のセキュリティ機能

さまざまなデバイスがネットワークに接続する、ユビキタスブロードバンド環境において、セキュアアクセスの実現は企業システムにおいて最重要視されるべき課題の1つだ。そのセキュアな環境の構築を、Windows Server 2003でどのように行うのだろう。

 「ユビキタスネットワーク」は、米ゼロックスのマーク・ワイザーが提唱した言葉である。国内でもようやく一般的な認知度が高まってきているが、ひと口にユビキタスネットワークといっても、その基盤構築からはじめるとなると、とても一企業のなせることではない。国家レベルでの推進ということでは、日本でも総務省などが各種調査研究会を開くなどして少しずつ裾野を広げているようだ。

 マイクロソフト エンタープライズサーバービジネス部 ITインフラストラクチャ推進部 吉田 淳氏によれば、それでもユビキタスネットワークは2005年には30兆円規模の市場となる大きな成長分野との調査結果が出ているという。MSCE 2003では、これを企業観点から具体的なビジョンとしてどのように実現していくかがWindows Server 2003を用いながら語られた。

 企業のユビキタスネットワークに求められる要素としては、

  • モバイルへの対応
  • ワイヤレスLANの導入
  • シングルサインオン
  • リモートからのアクセスに対する安全性(VPNなど)

があげられる。中でもとくに利便性の高いワイヤレスLANは、ユビキタスネットワーク以前から多くの企業内で活用されている。ただし、ワイヤレスLANは利便性が高い代わりに脅威も多い。ESS-IDやWepキーなどはもはや防衛策として意味を成さず、MACアドレスフィルタリングは管理がわずらわしい。さらに、単に技術や製品だけを導入するのではなく、それぞれの企業に見合ったアクセスポリシーの運用も重要なポイントだ。これらの要素を揃えた上でどういった展開をするかが、企業におけるセキュリティアクセスにとって大切なことだ。

 吉田氏は、これらを一元的に管理できる環境として、マイクロソフトのActive DirectoryおよびPKIを提案する。つまり、Windows Server 2003による運用だが、実際にはどのように構築できるか、またどんなメリットがあるのだろうか。

 現状のIEEE 802.11bのセキュリティ機構では十分でない。これはすでに共通した認識だ。そこで現在注目されているのが、IEEE 802.1xという認証のための仕組みである。これを利用すると、認証されたユーザーにのみ動的なWEPキーが配布されるという、EAP-TLSによる認証システムを持った非常にセキュアなネットワーク環境が構築できる。ただし、これを構成するには802.1x対応のアクセスポイントとRADIUSサーバ、さらにLDAPなどのアカウントデータベースサーバ、さらに証明書を使うならCAサーバなどが必要となる。

 Windows Server 2003ではIEEE 802.1xがサポートされており、上のすべての機能が標準装備されてる。

EAP-TLSによる認証システム

Windows Server 2003とWindows XPで構築できるセキュアなワイヤレスLAN


 Windows Server 2003の新しいIAS(Internet Authentication Service)では、RADIUSのワイヤレスアクセスポイントがサポートされた。従来のダイヤルアップサーバやVPNサーバと同様、無線環境でもセキュアなアクセスを実現する。また、RADIUS Proxyのサポートでは、ユーザーアカウントの@以降のドメイン名を参照して、しかるべきRADIUSサーバへ転送するという機能を持つ(グループ化されたRADIUSサーバの指定もできる)。これによって大規模なRADIUSサーバシステムの構築が行え、しかもRADIUSサーバの負荷分散も可能となる。

 EAP-TLS(Extensible Authentication Protocol-Transport Level Security)による証明書ベースのユーザー/コンピュータ認証は、CAサーバとADを通じて行われる。証明書は自動配布が可能で、ユーザー管理もADにより一元的に行うことができる。

 Exchange Server 2003では、ワイヤレス環境を考慮した「キャッシュモード」という新機能が追加されてる。これは、データがあらかじめ自動的にキャッシュされることで、ユーザーはオンライン/オフラインに関わらずOutlookクライアントソフトを利用できるというものだ。また、Outlook Mobile Accessでは携帯電話からExchange Serverへアクセスできる。こういったソリューションの実現のためには、やはりセキュアなネットワークの構築が欠かせない。Windows Server 2003を活用したワイヤレスソリューションは、セキュリティの面から一考の価値があるだろう。

関連記事
▼Windows .NETチャンネル
▼the Microsoft Conference + expo 2003レポート

[柿沼雄一郎,ITmedia]