ここからは企業で無線LANを導入するに当たり、重視すべきポイントを解説しよう。大きく3つある(図2-1)。
1つめのポイントはセキュリティーだ。例えば有線LANを流れるデータを盗聴するには、攻撃者はオフィスに侵入し、LANケーブルに盗聴用の機器を仕掛ける必要がある。しかし無線LANでは、オフィス外にも電波が届くので、オフィスに侵入しなくても盗聴が可能だ。その分、セキュリティーに配慮する必要がある。
2つめはAPの管理効率である。企業の規模にもよるが、企業ネットワークでは多数のAPを管理する必要がある。ネットワークをはじめとしたITインフラの運用に、常に潤沢な人的リソースを割ける企業は多くない。最低限の人員でも効率的に管理できる仕組みが必要だ。
3つめは通信品質だ。ネットワークが安定して快適に使えないと、業務の遂行に支障を来しかねない。通信が途切れ途切れになれば、業務サーバーやSaaS▼の情報を正しく更新できないこともあるだろう。もし業務が停止するようなことがあれば、ビジネス上の重大な損失を引き起こす可能性さえある。
電子証明書でお互いを認証
以上の3つのポイントについて、具体的に解説しよう。
まずセキュリティーは認証▼の強化で対応する。例えば機器認証を導入して特定の機器のみAPに接続できるようにしたり、ユーザー認証で利用者を限定したりする。
企業の無線LANでは、IEEE 802.1Xという規格に基づく認証が求められる。無線LANではWPA2/WPA3エンタープライズ▼として802.1Xの利用が規定されているからだ。802.1Xでは端末がAPに接続する際に認証サーバーを利用する。
802.1Xにはよく使われる2種類の認証方式がある。1つはEAP-TLS▼だ。EAP-TLSでは、認証局が端末と認証サーバーに発行した電子証明書(クライアント証明書およびサーバー証明書)を使い、互いの正当性を確かめてから通信を開始する(図2-2)。双方が電子証明書を使うため安全性が高い。
半面、電子証明書の配布と管理に手間がかかる。ディレクトリーサービスのグループポリシーやMDM▼などを使って配布するケースが多い。
ネットワンシステムズのビジネス開発本部第1応用技術部ネットワークチームの田中 政満氏は「IT担当部署に端末を集めて電子証明書をインストールする方法もある。だが対象となる端末が多いと、現実的な手段ではない」と指摘する。
マニュアルを配布し利用者自身に電子証明書をインストールしてもらう方法も考えられる。だがこれには、設定ミスが発生する可能性が高いという問題がある。
よく使われるもう1つの認証方式がPEAP▼だ。PEAPは端末が認証サーバーの正当性を確認する際に電子証明書を使う。一方、認証サーバーが端末の正当性を確かめる際は、IDとパスワードを使う。このため端末に電子証明書を配布する必要がない。Active Directoryなどのディレクトリーサービスと連携すれば、運用負荷はEAP-TLSより低い。半面、IDとパスワードが分かればどの端末からも接続できてしまう。安全性を重視するのであれば、EAP-TLSを採用するのが望ましい。
