| エンタープライズ:ニュース | 2002/08/21 21:03:00 更新 |
「今の無線LANは、情報を窓から投げ捨てるようなもの」と米ファンクのクシ氏
先日の特集の中で、無線LANネットワークの運用ならびに実装には、多くのセキュリティの問題があると述べた。だがもちろん、解決策も登場しつつある。この記事では、有力なソリューションの1つについて触れたい。米ファンク・ソフトウェア(ファンク)の「Odyssey」だ。
先日の特集の中で、無線LANネットワークの運用ならびに実装には、多くのセキュリティの問題があると述べた。現時点での解決策は、セキュリティポリシーの策定をはじめとする基本的な――有線ネットワークにも通じる――セキュリティ対策を行った上で、「(弱点はあるにせよ)ESS-IDやWEPなどの基本設定をきちんと行う」「VPNなどの手段を利用する」「IEEE802.1x準拠の専用製品を導入する」の3つに集約できるだろう。
このうち無線LANのセキュリティに特化した専用製品として、米ブルーソケットの「WG-1000」や米バーニア・ネットワークスの「Vernier Networks System」、米リーフエッジの製品群などを紹介してきた。この記事ではもう1つ、有力なソリューションについて触れたい。米ファンク・ソフトウェア(ファンク)の「Odyssey」だ。
これは、802.1xに対応した認証を実現し、許可されたユーザー以外のアクセスは拒否するクライアント/サーバ型のソフトウェア製品だ。ファンクは元々、RADIUSサーバ製品「Steel-Belted Radius/SPE」を開発・提供していたこともあり、その技術を活用しながら、運用の容易な認証システムを実現している。
無線LAN本来のメリットを享受するには?
「無線LANによって、多くの仕事をより効率的に行えるようになる。しかし、現在の802.11bにはセキュリティが欠けている」と、米ファンク・ソフトウェアの国際セールス担当ディレクター、ジョー・クシ氏は語る。「まるで、情報を窓の外へ投げ捨てているようなものだ」(クシ氏)
「無線LANは本来便利なもの。そのメリットを最大限利用できるようにしたい」とクシ氏
「WEPには複数のセキュリティ上の脆弱性が指摘されており、クラッキング用のツールまで公開されている。また仕様上、相互認証の仕組みがない」とクシ氏は現在の問題を指摘した。
同じく米ファンク・ソフトウェアのアジア担当システムエンジニア、ハリー・ツールセラム氏は、「現在利用できるMACアドレスを用いた認証は、機器単位の認証であり、ユーザー単位の認証ではない。また、スタティックな鍵を利用しているため、盗聴されれば容易にもとの鍵を推測することができる」と付け加えた。
クシ氏が言うには、生産性の向上に寄与する無線LANを安全に利用するには、「プライバシー」「相互認証」といった幾つかの要素が必要だ。現実的な運用を考えると、管理性(マネージビリティ)も欠かせない。もし高いセキュリティを実現できたとしても、使い勝手が損なわれるようでは、ユーザーにとってもメリットは薄い。今後、無線LANクライアントやアクセスポイントの数がますます増加するであろうことを考えれば、管理のしやすさは重要なポイントだ。
そして、こうした問題を解決する決め手の技術こそ、802.1xだという。802.1xではダイナミックなWEPキーを利用し、双方向の認証を実現でき、結果としてセキュリティ強度を大きく高めることができる。
管理しやすい「802.1x」認証を実現
一口に802.1xといっても、実際には幾つかの方式があり、それぞれ一長一短がある。クシ氏らの説明を元にまとめると、次のようになる。
- EAP-MD5:最も基本的、かつ簡単な実装。しかし、辞書攻撃に弱いといった指摘がある。
- EAP-TLS:クライアントとサーバの双方に、認証局(CA)が発行した電子証明書が必要となり、管理が非常に複雑になる。TLSをベースに相互認証が実現できるため、その分セキュリティは強固だ。ただ、トークン(ワンタイムパスワード)やWindows NTログインシステムなどとの連携は難しいという。
- EAP-TTLS:ファンクと米サーティコムが共同で提案した仕様だ。電子証明書が必要になるのはサーバのみであり、クライアント証明書は不要である。特に大規模な運用を考えると、管理・運用の手間を大幅に削減できるという。システムの設計を適切に行えば、EAP-TLSと同程度のセキュリティを実現できる。
- LEAP(Cisco-EAP):シスコシステムズが独自に実装している仕様。
仕様の提案に携わったこともあり、ファンクではEAP-TTLSを“イチオシ”だとしている。現在EAP-TTLSは、IETFのProposed Standardとなっており、「証明書の管理を行うのはサーバ側だけでよく、非常に運用管理が簡単だ」とクシ氏は強調した。
OdysseyのサーバはこのうちEAP-TLS、EAP-TTLSおよびLEAPを、クライアントはEAP-MD5、EAP-TLS、EAP-TTLSをサポートしている。さらに「バージョンアップを通じて、今後もさまざまな方式に対応していく計画だ」(クシ氏)。例えば、クライアントのLEAP対応などが検討されているという。合わせて、クライアントそのものの対応プラットフォームも拡大し、ゆくゆくはWindows CEや携帯電話などのモーバイル機器にも対応していく計画だ。
ほぼ20年の歴史を持ち、RADIUSサーバを通じてキャリアやネットワーク機器ベンダーと幅広くパートナーシップを組んでいることも幸いしている。クシ氏は、「われわれは、キャリアクラスの信頼性やスケーラビリティを実現できる。懸念される相互接続性についても、ファンクはシスコシステムズやスリーコム、アバイアなど主なベンダーと提携しており、さまざまに協力している」と述べている。
冒頭紹介した他の無線LANセキュリティ製品も同様だ。競合するソリューションというよりも、協力し、補い合うことができるとクシ氏は述べている。
IPSecも同じことで、「802.1xとIPSecという2つの技術は、けっして排他的なものではない。認証の部分に802.1xを活用し、ひとたびネットワークに入ったらIPSecによる安全な暗号化通信を実現するというように、互いに連携した形で利用していくのが望ましい」(ツールセラム氏)
ファンクでは今後も引き続き、相互接続性の向上や機能追加などに取り組んでいくという。その作業を通じて、「あなたが(無線LANを使って)いるところならばどこであろうと、安全なものにしていく。そうして、無線LANのメリットを最大限に享受してもらいたい」(クシ氏)
関連記事
無線LAN環境のセキュリティ関連リンク
米ファンク・ソフトウェアテリロジー[高橋睦美,ITmedia]
