| エンタープライズ:特集 | 2003/07/10 19:22:00 更新 |
N+I NETWORK Guide2003年3月号より転載
RADIUSの仕組みと構築のポイント――第1部:RADIUSの仕組みを知る (1/5)
リモートアクセスにおけるユーザー認証処理を集中的に行うのがRADIUSサーバだ。ここでは、このRADIUSサーバの役割と、どのような認証を行っているのかその仕組みについて解説する。
| PART1 より安全でより効率的なリモートアクセスの要――ユーザー認証を行うRADIUSサーバ |
リモートアクセスにおけるユーザー認証処理を集中的に行うのがRADIUSサーバだ。ここでは、このRADIUSサーバの役割と、どのような認証を行っているのかその仕組みについて解説する。
| 急速に拡大するリモートアクセス |
企業システムの最近のトレンドは、無線LANやVPNなどを利用して「場所に依存せずにシステムを利用できること」、すなわちリモートアクセスの積極的な活用だ。
しかし、リモートアクセスには、セキュリティ面で大きな危険が横たわっている。たとえば、無線LANは通信媒体に電波を使う以上、常に盗聴の危険性と隣り合わせである。インターネットインフラを利用した多拠点展開も危険性は同様だ。つまり、リモートアクセスを導入するには、セキュリティを確保することが必須の条件である。
リモートから自社システムへの不正なアクセスを防御する不正侵入対策の第一歩は、アクセスを要求してきたユーザーがシステムを本当に利用できる権限を持つ人なのかを確認する「ユーザー認証」である。不正侵入者は、ネットワークの盗聴やさまざまなパターンのパスワードを試す辞書攻撃といった直接的なものから、企業内ネットワークから漏れ出した情報を基にした推測や電話などを使って本人からヒントを聞き出すソーシャルエンジニアリングなど、不正入手のためにさまざまな方法を駆使してユーザー認証情報を狙ってくる。正規ユーザーに成りすまして侵入されると、機密情報の漏えいはもとより、最悪の場合はシステムを破壊されることもある。
| RADIUS導入のメリット |
RADIUS(Remote Authentication Dial-In User Service)は、このような危険が横たわるリモートアクセスにおけるユーザー認証を行うためのサーバである。無線LANやVPNゲートウェイなどのアクセスポイントの後ろに配置され、リモートアクセスの接続要求に対して、これらのアクセスポイントに代わって認証を行うものだ。その認証結果に基づき、連絡を受けたアクセスポイントが実際の接続/切断を行う仕組みである。
RADIUSサーバがユーザー認証に関する処理を一手に引き受けることにより、運用上、多数のメリットが生まれる。その主なものを説明しよう。
RADIUSサーバを導入する最大のメリットは、より強固なユーザー認証方式を利用できる点にある。
一般にユーザー認証方式というと、一昔前のPAPやCHAPを思い浮かべるかもしれない。しかしPAPやCHAPはセキュリティの確保という観点で脆弱性が残る。そこで、その脆弱性を克服する方法としてIEEE 802.1xとEAP認証の組み合わせがあるが、RADIUSサーバはこの802.1xで重要な位置にある。
たとえば、802.1xで利用されるEAP認証方式の1つであるEAP-TLS認証は、電子証明書を利用してユーザーと企業システムの相互認証を実現する。この場合、RADIUSサーバを使うことによって、クライアントとCA(認証局)、およびディレクトリサーバを連携させて、強固なユーザー認証を行うことができるのである。
●多くのユーザー認証を集中管理できるRADIUSサーバのもう1つの導入メリットは、ユーザー認証の集中管理である。
どのユーザーが、いつ、どこから接続したのか、それは成功したのか失敗したのかといったアクセス情報は、これまではアクセスポイントのログに記録されているのが一般的だった。ところが、無線LANのようにアクセスポイントが多数ある場合は、アクセス情報のメンテナンスに非常に手間がかかってしまう。トラブル発生時にも、その対応に時間がかかる。
この状況の回避には、ユーザーのアクセス情報を含む認証情報を集中管理することが効果的だが、RADIUSサーバによってそれが可能になるのである。
●認証処理による負荷増大を抑えるRADIUSサーバ導入の第3のメリットは、アクセスポイントの負荷軽減である。
最近の高性能なアクセスポイントは、それ自体にユーザー認証機能を備えている。しかし認証処理には大きな負荷がかかるため、アクセスポイントの本来の機能である、接続の確保に影響を及ぼす危険がある。
これに対処するには、接続機能をアクセスポイントに、認証機能をRADIUSサーバに振り分けることが有効である。またこのとき、RADIUSサーバがどれだけの処理性能を持つ必要があるのかを把握し、場合によってはRADIUSサーバの冗長化も必要になる。
●社内システムのアカウント情報を活用RADIUSサーバ導入の第4のメリットは、ユーザー認証を行う際に参照するユーザーのアカウント情報を、他のアカウント管理サーバに求めることができる点である。Active DirectoryドメインサーバなどのLDAPに対応したディレクトリサーバだけでなく、NTドメインサーバやSQLサーバとも連携が可能で、社内システムで利用しているアカウント情報をそのまま利用できるのだ。これにより、管理効率を大幅に向上させることが可能である。
さらにRADIUSサーバは、このユーザーのアカウント情報を基にさまざまなシステム制御が可能である。ユーザーごとに、あるいはリモートアクセスの経路によってユーザーの認証方式を切り替えることもできる。たとえば、同じユーザーが同じノートPCを使っていても、社内と社外で認証方式を変え、セキュリティレベルを使い分けることができるのだ。ほかにも、ユーザーごとに利用するVLAN情報を認証時に取り出し、スイッチへ転送して自動的に設定させるなど、その応用範囲は広い。
RADIUSのメリットを生かすには、アクセスポイントやスイッチなどの機器がRADIUSと連携可能になっている必要がある。ここからは、RADIUSサーバ活用のために必要な知識や活用のポイントについて解説していこう。
[N+I NETWORK Guide編集部,N+I NETWORK Guide]
