PR

Q1:システムの導入や運用はどれくらい大変なんですか?

  IEEE802.1Xに対応した無線LANアクセス・ポイントや認証LANスイッチは以前に比べるとかなり入手しやすくなっている。アクセス・ポイントは1万円以下で対応製品があるし,認証LANスイッチも10万円ちょっとの製品がある。これなら比較的小規模なオフィスでもなんとか導入できそうだ。また,認証サーバー機能を持つ機器も増えてきた(写真3-1)。

写真3-1●802.1Xの認証サーバー機能を実現するアプライアンス
写真3-1●802.1Xの認証サーバー機能を実現するアプライアンス
横河電機「As-F」
コンテック「SVR-RDS(FIT)」
ソリトンシステムズ「Net'Attest EPS-SX」

WindowsServerも使える

 小規模なオフィスでIEEE802.1Xの導入を考える場合,認証サーバーをどうするかが一番の悩みどころだろう。選択肢は,(1)オープンソース,(2)WindowsServer,(3)認証サーバーが動作するアプライアンス製品,(4)RADIUSサーバー製品――の四つ(図3-1)。それぞれに一長一短がある。

図3-1●認証サーバーを用意する際の四つの選択肢
図3-1●認証サーバーを用意する際の四つの選択肢
802.1X環境を構築する際に認証サーバーとしてどれを使うかは大きな問題になる。四つの選択肢があるがいずれも一長一短がある。

 価格だけで比較するなら,オープンソースのRADIUSソフトを適当なパソコンにインストールして動かすのが一番安いだろう。ただ,この方法は構築や運用にそれなりのスキルが必要になる。

 もし,すでにあなたのオフィスでWindowsServerをファイル・サーバーなどとして利用しているのなら,この流用も考えるべきだ。すでにあるなら追加のコストが必要ないので魅力的な選択肢といえる。

 WindowsServerは2000以降で802.1X認証に対応している*1。現行のServer2003シリーズなら「専用の設定ウィザードやオンライン・マニュアルを用意している」(マイクロソフト ウインドウズ開発統轄本部の及川卓也マネージャ)から,設定や運用はそれほど難しくないはずだ。

ソフト製品は大規模ユーザー向け

 アプライアンス製品の魅力は,スイッチを入れるだけで認証サーバーが動き始めること。ほかの選択肢のように,サーバー用のパソコンを用意してソフトをインストールする手間を省ける。運用や管理に手間をかけたくないなら良い選択肢だろう。価格はメーカーによっていろいろだが,15万円程度の製品もある。

 最後が,製品版のRADIUSサーバー・ソフト製品を使う選択肢だ。専用製品だけに機能が豊富で,柔軟性が高いのが一番の魅力である。もともと,大規模な企業ネットワークやプロバイダなどでの利用を想定して開発されているので,安定性も折り紙付きである。

 問題は,価格が少々高めなこと。ほとんどのベンダーが,通常製品とは別にライセンス数や機能を制限して価格を下げた小規模オフィス向けパッケージを用意しているが,それでも最安値は10ユーザーで15万円くらい。サーバー用のパソコンを別途用意することを考えると,小規模オフィスではちょっと手が出しにくい。

認証局の運営は大変

 自力でIEEE802.1X環境の構築を検討するなら,もう一つ考えておくべき問題がある。認証局(CA)を自前で運営するか,有償で証明書を発行してくれるパブリックCA*2を利用するかの選択である。図1-3で説明したように,EAP-MD5以外の認証方式を使う場合は,何らかの形でディジタル証明書が必要になる*3。これを用意するのが認証局の役目になる。

 ここで問題になるのは,ディジタル証明書を使うタイプの認証方式では「証明書の運用がセキュリティの根幹を担っている」(ディアイティ営業本部の関義和マネージャー)という点。つまり,自営で認証局を立ち上げても十分なセキュリティ対策が必要になるのである。

 例として,ディジタル証明書を使うEAP-TLSを採用したケースを考えてみよう。EAP-TLSの場合,サプリカント側に正しい認証局が発行した証明書があれば,ネットワークに接続できてしまう。もし,何者かが認証局を勝手に使って証明書を発行したら,正しく発行された証明書との区別は付かない。ディジタル証明書を使ったセキュリティが機能しなくなるのである。

 こうした理由があるので,認証局は細心の注意を払って運営しなければならない。認証局が動いているサーバーを鍵付きの部屋に収めたり,ネットワークから簡単にアクセスできなくするのが常識である。

 逆にいうと,こうした運営ができないユーザーは,パブリックCAから証明書を購入するほうが賢い選択といえるだろう。

ポイント

 ●―導入費用や手間は,RADIUSサーバーの選び方に左右される

 ●―認証局を自前で運営する場合は管理に細心の注意が必要

 ●―パブリックCAが発行する証明書の利用も考えに入れるべき