PR

 IEEE(米国電気電子技術者協会)が標準化した、ユーザー認証の仕組み。EAP(Extensible Authentication Protocol)という、認証プロトコルと組み合わせて利用する。LANスイッチや無線LANのアクセス・ポイントなどが802.1xの機能を搭載。認証に成功したクライアントにだけ通信を許可することで、社内LANへの不正侵入などを防ぐことができる。現在仕様を策定中の、無線LAN向けセキュリティ技術であるIEEE802.11iに組み込まれる見込みだ。

 802.1x対応のネットワーク機器は、クライアントが通信を始めようとすると、そのクライアントが接続されたポートの通信をいったん遮断。その上で、クライアントに対してEAPによる認証を要求する。クライアントにあらかじめ用意しておいた「サプリカント」と呼ばれる認証用ソフトが、認証データを返信する。

 ネットワーク機器はサプリカントから受け取った認証データを、認証サーバー(RADIUSサーバー)に転送。認証に成功したら、そのポートの通信を許可する。認証するクライアントとしては、パソコンに限らず、プリンタやネットワーク機器なども対象にできる。

 EAP認証には複数の種類があり、認証データの内容や処理手順が異なる。最も手軽に利用できるEAP-MD5は、ユーザーIDとパスワードで認証を行う。電子証明書を使うEAP-TLSやEAP-TTLSは、MD5よりも強固な認証が可能である。だが、証明書を用意しなくてはならない点で、やや導入のハードルが高い。ほかに、米シスコシステムズが開発したLEAP(Lightweight EAP)や、米マイクロソフトが開発したPEAP(Protected EAP)などもある。

 多くのネットワーク機器ベンダーが802.1x対応製品を出荷しているものの、802.1xを使っているユーザー企業は、まだ少ない。理由は二つある。

 一つは、802.1x対応のネットワーク機器が高価である点。非対応の機器に比べて、ポート単価が数倍~10数倍になる。しかも、802.1xは基本的に、ポート配下に1台のクライアントを接続したケースでの認証を想定している。つまり、末端のスイッチ(エッジ・スイッチ)を802.1x対応にする必要がある。最も台数が多いエッジ・スイッチをすべて802.1x対応機器に置き換えるとなると、導入コストは相当高くなってしまう。

 もう一つの理由は、認証を受けるクライアントすべてにサプリカントが必要であること。Windows 2000(SP4)/XP(SP1以上)がEAP-TLSとPEAPを標準で搭載するが、Windows NTやWindows 98、Mac OSなどでは、別途サプリカントを用意しなければならない。国内ではソリトンシステムズやテリロジーなどがサプリカントを販売している。バッファローやエレコムなど、自社製の無線LAN機器で利用できる専用サプリカントを無償提供しているベンダーもある。

(福田)