認証の本命、いちエックス導入ア・ラ・カルト:無線LAN“再構築”プラン(2/3 ページ)
複数ある方式、どれを選べばいい?
さて、セキュア無線LANを実現する救世主として登場したこの802.1X認証、対応製品の採用を決めて後は必要な設定をすれば安心、安心……となればいいのだが、実はそう単純でもない。
802.1X自体は、認証のフレームワークを定めた規格であり、何を認証のための資格情報に用いるかは規定していない。このため、いくつもの認証方式が登場しているのが現状だ。どのような認証方式が使えるかはメーカーや製品によって異なるが、現在メジャーな方式を挙げると表1の4つになる。そして、この中からどれを使えばいいのだろう、とIT管理者は悩むことになる。
| 方式 | 主な実装メーカー | 認証の方法 | サプリカント | 端末側の設定 | サーバ側の設定 | 運用の手間 |
|---|---|---|---|---|---|---|
| EAP-TLS | 米Microsoft | デジタル証明書 | Windows XP、Windows 2000 SP4 | クライアント証明書のインストール、信頼する認証局の設定 | サーバ証明書のインストール | 大 |
| PEAP | 米Microsoft | ID/パスワード | Windows XP SP1、Windows 2000 SP4 | 信頼する認証局の設定 | サーバ証明書のインストール | 中 |
| EAP-TTLS | 米Funk Software(Juniper Networks) | ID/パスワード | Odyssey Access Client | 信頼する認証局の設定 | サーバ証明書のインストール | 中 |
| LEAP | 米Cisco Systems | ID/パスワード | Aironet Client Utility CCX対応子機のドライバ | なし | なし | 小 |
これらの方式の選択については、「それぞれの環境の要件に合わせて適切なものを」――と言っていては何も始まらないので、どれを使えばいいのか、言ってしまおう。世界で最もメジャーなOSといえばMicrosoft Windowsだが、このWindows OSが対応するのは「EAP-TLS」と「PEAP」である。したがって、まずこの2方式が候補となる。
次に考えることは、端末の認証に電子証明書、あるいはID・パスワードのどちらを使うかという点だ。前者ならEAP-TLS、後者ならPEAPということになる(図2)。すでに企業内にプライベートPKIの環境が整備されている場合、すなわちCA(認証局)を設置している社員のPCに電子証明書を発行しているケースであれば、EAP-TLSが使えるだろう。しかし筆者の経験からしても、そのような環境を実現している企業はまだ少ない。無線LAN導入を機に整備することも考えられるが、手間やコストを考えると実際にはPEAPを選択するケースが多いようだ。
なお、PEAPを選択すればCAは不要になると思われがちだ。確かにクライアント証明書は不要となるのだが、PEAPにおいても認証サーバが正当な存在であることを証明するサーバ証明書やCA証明書を発行するため、CAは設置しなければならない。また、端末側にもCA証明書をインストールする作業が必要となる。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- 「欧州 AI法」がついに成立 罰金「50億円超」を回避するためのポイントは?
- 日本企業は従業員を“信頼しすぎ”? 情報漏えいのリスクと現状をProofpointが調査
- 「プロセスマイニング」が社内システムのポテンシャルを引き出す理由
- VMwareが「ESXi無償版」の提供を終了 移行先の有力候補は?
- AWSリソースを保護するための5つのベストプラクティス CrowdStrikeが指南
- セキュリティ担当者に求められる役割と責任に変化 その背景には何がある?
ITmediaはアイティメディア株式会社の登録商標です。