PR

図3 B社はOS入れ替え時にPCを回収し,管理者が証明書をインストールする方法を採用
社員が証明書ファイルをコピーして不正に使用する可能性を排除した。

OS入れ替え時に証明書も設定

 B社では,リース・パソコンの期限切れや業務アプリケーションのバージョンアップに対応するため,ユーザーのパソコンを順次回収して,管理者が更新作業を行った後にユーザーに再配布する体制が出来ていた。

 そこでこの仕組みを活用して,OSをWindows XPに入れ替えるタイミングでクライアント証明書をセットアップすることにした(図3[拡大表示])。802.1x導入のため,OSをWindows XPにアップグレードする必要もあった。この方法だと,秘密鍵を含み厳重な取り扱いを要するPKCS#12ファイルを各社員が扱う機会をなくせる。セットアップのぜい弱性を回避できるわけだ。Windows XPはTLSに対応するサプリカントを含む。つまり802.1xを利用するための設定は管理者側ですべて行えてしまう。

 認証時はパソコンに格納された証明書を自動的に使用する。ユーザーは認証情報の入力を必要としない。802.1xの存在自体を知らせる必要がなくなる。B社は現在,フロアー単位で回収したパソコンを再配布した部署から段階的に802.1x環境へ移行している。

 B社は当初,認証のセキュリティを高めるため,社員のパソコンをMACアドレスで認証して,成功した後にTLS認証を行う方法を検討してみた。しかし,MACアドレスを認証に扱えないアクセス・ポイントがあることが分かった。またこの認証方法は,利用開始前にMACアドレスをRADIUSサーバーに登録しなければならず,管理コストがかかることもあり,採用を断念した。