●NetAttest EPSと無線LANコントローラ / アクセスポイント機器とのユーザ認証を検証(1)○検証環境のネットワーク構成無線LANで社内ネットワークへアクセスする際のユーザ認証をNetAttest EPSで行い、正常に認証ができるかどうかを検証した。検証環境のネットワーク構成は、以下のとおりだ。NetAttest EPSとWebサーバは、前回のVPN検証時と同様の構成だ。内部ネットワークのレイヤ2スイッチに、検証する無線LANコントローラおよびアクセスポイントを接続している。iPad 2およびLifeTouchから検証機器で設定しているSSIDで無線LANに接続し、Webサーバにアクセスすることで認証が正常に行われることを確認した。検証を行ったのは、以下の無線LAN機器だ。Aruba Aruba651/AP-105CheckPoint Safe@Office1000NWCisco AIR-CT2504-5-K9/AIR-LAP1142N-P-K9Fortinet FortiGate-60C/ FortiAP-220BMeru MC1500/AP320CheckPoint Safe@Office 1000NW以外は、無線LANコントローラとアクセスポイントのセットとなっている。クライアントはVPNの検証と同様に、クライアントデバイスにはiPad 2とLifeTouchを利用した。標準の無線LAN機能を利用して、検証機器への接続を確認している。認証方式はユーザID / パスワードおよびクライアント証明書を試した。○Aruba Aruba651/AP-105無線LANのユーザ認証をNetAttest EPSの認証情報に基づいて行うために、Aruba651の設定で、RADIUSサーバとしてNetAttest EPSのIPアドレスを指定している。検証結果Aruba651での無線LANに接続する際のユーザ認証の検証結果は以下のとおりだ。iPad 2、LifeTouchともにユーザID / パスワードおよびクライアント証明書の認証に成功し、内部ネットワークに接続できることを確認した。担当者に聞いた製品の特徴Aruba651は、コントローラによって全てのアクセスポイントを管理する集中制御型の無線LANシステムだ。既存のシステム構成を変更することなく、Aruba651とアクセスポイントを導入することができる展開のしやすさと充実したセキュリティが特徴のひとつだ。Aruba651で認証、暗号化、ポリシー制御などを処理することで、パフォーマンスやセキュリティを向上させている。これは、接続が見えない無線LANにセキュリティ対策は欠かせず、企業に求められるセキュリティには、アクセスする「人」に対応したポリシー設定が必要になるためだ。Arubaでは、ユーザ単位のプロファイルを定義して、どこにいても同じネットワークアクセス環境を実現したり、「どこから」「誰が」接続してきたかに応じて、柔軟にアクセス制御を行うことで、利用者のモビリティーを最大限に発揮することに努めている。○CheckPoint Safe@Office1000NW無線LANのユーザ認証をNetAttest EPSの認証情報に基づいて行うために、Safe@Office1000NWの設定で、RADIUSサーバとしてNetAttest EPSのIPアドレスを指定している。検証結果Safe@Office1000NWでの無線LANに接続する際のユーザ認証の検証結果は以下のとおりだ。iPad 2、LifeTouchともにユーザID / パスワードおよびクライアント証明書の認証に成功し、内部ネットワークに接続できることを確認した。担当者に聞いた製品の特徴Safe@Office1000NWは、小~中規模ネットワーク向けのUTMデバイスでファイアウォールやIPS、VPN機能を提供する。さらに無線LANのアクセスポイントの機能も備わっている。Safe@Office1000NWを設置すれば、一括でリモートアクセス、有線LAN、無線LANのセキュリティを確保することが可能だ。無線LANアクセスポイントとしてWPA/WPA2にも対応しているが、無線LANのトラフィックの暗号化にはIPSecを用いることもできる。IPSecクライアントは無償で利用できる。小~中規模向けなので、管理のしやすさにも工夫している。豊富なウィザードを設定し、初期設定は最短10分程度で可能だ。○Cisco 2500シリーズ Wireless Controller無線LANのユーザ認証をNetAttest EPSの認証情報に基づいて行うために、Cisco Wireless Controller 2500の設定で、RADIUSサーバとしてNetAttest EPSのIPアドレスを指定している。検証結果Wireless Controller 2500での無線LANに接続する際のユーザ認証の検証結果は以下のとおりだ。iPad 2、LifeTouchともにユーザID / パスワードおよびクライアント証明書の認証に成功し、内部ネットワークに接続できることを確認した。担当者に聞いた製品の特徴エンタープライズクラスのCisco無線LAN製品は、高いパフォーマンスと安定性を提供している。これを実現させるための重要なテクノロジーのひとつが「CleanAir」である。「CleanAir」によって、無線LAN通信に影響を与えるBluetooth、電子レンジ、コードレスフォンなどの干渉源を検知・識別してデータベース化することで、今まで見えなかった物理レイヤの状態を可視化して、無線LANの通信品質を的確に把握できる。さらに「CleanAir」は、ダイナミックに干渉源を避けて、きれいなチャネルで動作し、無線LAN通信のパフォーマンスを確保できる。運用管理面ではCiscoの統合管理ツールを利用すれば、無線LANに限らずネットワークシステム全体の一元管理も可能となる。次ページでは、Fortinet FortiGate-60C/ FortiAP-220B、Meru MC1500/AP320の検証結果を紹介する。●NetAttest EPSと無線LANコントローラ / アクセスポイント機器とのユーザ認証を検証(2)○Fortinet FortiGate-60C/ FortiAP-220B無線LANのユーザ認証をNetAttest EPSの認証情報に基づいて行うために、FortiGate-60Cの設定で、RADIUSサーバとしてNetAttest EPSのIPアドレスを指定している。検証結果FortiGate-60Cでの無線LANに接続する際のユーザ認証の検証結果は以下のとおりだ。iPad 2、LifeTouchともにユーザID / パスワードおよびクライアント証明書の認証に成功し、内部ネットワークに接続できることを確認した。担当者に聞いた製品の特徴FortiGate-60Cはセキュリティ機能だけでなく、無線LANコントローラ機能も備えている。専用のアクセスポイントForti APと組み合わせて、無線LANのネットワークを構築する。つまり、FortiGate-60C×1台で、リモートアクセス、有線LAN、無線LANのセキュリティを確保できる。無線LANクライアントのトラフィックをFortiGate-60Cで集約して、セキュリティのチェックを行うことで、無線LANのセキュリティを確保し、UTM機能と併用した強固な多層防御が可能となる。無線LANの展開時にはアクセスポイントの配置フロアプランの検討が非常に重要だ。そこでFortinetは、「FortiPlanner」と呼ばれるサイトサーベイツールを無償提供している。これは、ビル内に必要なFortiAPの台数を算出し、FortiAP設置フロアプランを提供するものだ。○Meru MC1500/AP320無線LANのユーザ認証をNetAttest EPSの認証情報に基づいて行うために、MC1500の設定で、RADIUSサーバとしてNetAttest EPSのIPアドレスを指定している。検証結果MC1500での無線LANに接続する際のユーザ認証の検証結果は以下のとおりだ。iPad 2、LifeTouchともにユーザID / パスワードおよびクライアント証明書の認証に成功し、内部ネットワークに接続できることを確認した。担当者に聞いた製品の特徴MC1500で構築する無線LANは「Virtual Cell」機能によって単一のチャネルでの運用が可能だ。通常、隣り合うアクセスポイントは電波が干渉しないように、異なるチャネルで運用する。その際、アクセスポイント間の電波出力の調整などチャネルの設計が複雑になる。Virtual Cell機能によって、すべてのアクセスポイントで単一のチャネルを利用することができ、複雑なチャネル設計が不要になる。つまり、アクセスポイントが複数あっても、仮想的に広い範囲をカバーできる単一のアクセスポイントのような構成となる。そして、無線LANのクライアントには、専用の「Virtual Port」が割り当てられ、帯域やセキュリティの制御ができる。Virtual Portによって、本来は共有メディアである無線LANをイーサネットスイッチと同じように利用できる。○検証結果のまとめここまで2回にわたって、さまざまなベンダのSSL-VPN機器、無線LAN機器でのユーザ認証をNetAttest EPSと連携して行うことができるかを検証した。以下に各機器との間の検証結果をあらためてまとめておこう。まず前回、検証を行ったSSL-VPNのユーザ認証の結果が以下のとおりだ。また、今回行った無線LANのユーザ認証の結果は以下のとおりだ。SSL-VPNにおけるユーザ認証は、ワンタイムパスワードやクライアント証明書で一部動作しなかった機器があった。SSL-VPNはクライアントソフトウェアや対応している方式も機器によってまちまちで、相性の問題があるのかもしれない。今回の検証では動作しなかった機器も、今後のバージョンアップなどで変わってくる可能性がある。一方、基本的なユーザID / パスワードによる認証は、すべての機器でNetAttest EPSと連携できることを確認した。無線LANのユーザ認証は、すべての機器でNetAttest EPSと連携できることがわかった。以上、NetAttest EPSを利用したユーザ認証は、一部の認証方式を除いてSSL-VPNでも無線LANでも問題なく行うことができた。ユーザ認証の仕組みは標準化されているので、この結果は当然といえば当然だが、実際に検証して確認できたことは大きな意味を持つだろう。ここまでの内容により、NetAttest EPSを導入すれば、ネットワークの入り口を守るための認証を手軽に導入できることがわかるだろう。ネットワークのセキュリティを強化するために、認証の一元化を考えているシステム管理者は、NetAttest EPSの導入を検討する価値があるだろう。○連載タイトル第1回 事例検証 : スマートデバイスが普及する今、ネットワーク認証の重要性を考える第2回 事例検証 : NetAttest EPSとVPNゲートウェイ機器との認証第3回 事例検証 : NetAttest EPS無線LANコントローラ / アクセスポイント機器との認証今回の事例検証はソリトンシステムズをはじめ、各ベンダーの協力によって実現しました。ご協力頂いたベンダーの皆様には、この場を借りて御礼申し上げます。
2012年02月02日●NetAttest EPSとVPNゲートウェイ機器とのユーザ認証を検証(1)○検証環境のネットワーク構成VPNゲートウェイを利用して、インターネットVPNを利用する際のユーザ認証をNetAttest EPSで行い、正常に認証ができるかどうかを検証した。検証環境のネットワーク構成は、以下のとおりだ。内部ネットワークにNetAttest EPSを接続し、認証サービスポート(LAN1ポート)のIPアドレスを192.168.1.2/24としている。NetAttest EPSではユーザを作成し、証明書を発行している。そして、ワンタイムパスワード認証のためのユーザの作成も行なっている。また、通信の確認のためにWebサーバ(192.168.1.3/24)を設置している。外部ネットワークのクライアントからWebサーバにアクセスすることで、インターネットVPNが正常に確立できていることを確認した。インターネットを想定した外部ネットワークは、無線LANを利用している。192.168.2.0/24のサブネットとして、無線アクセスポイントを設置している。内部ネットワークと外部ネットワークの境界に検証するVPNゲートウェイを設置する。検証を行ったのは、以下のVPNゲートウェイだ。CheckPoint 2200アプライアンスCisco ASA5510F5 BIG-IP 6900Fortinet FortiGate-60CJuniper MAG2600SonicWall SonicWALL Aventail E-Class SRA EX7000なお、VPNの方式としてSSL-VPNについて確認している。また、VPN接続を行うクライアントは、iPad 2、NEC製LifeTouch(Android)のタブレットデバイスを利用した。タブレットデバイスに必要なクライアントソフトウェアをインストールして、SSL-VPNの接続を検証している。以降では、各ベンダの製品ごとに、NetAttest EPSを利用したユーザ認証の検証結果とベンダ担当者に聞いた製品の特徴を見ていこう。○CheckPoint 2200アプライアンスSSL-VPNのユーザ認証をNetAttest EPSの認証情報に基づいて行うために、CheckPoint 2200アプライアンスの設定で、RADIUSサーバとしてNetAttest EPSのIPアドレスを指定している。検証結果CheckPoint 2200アプライアンスは、リバースプロキシ方式のSSL-VPNの検証を行なった。リバースプロキシ方式なのでクライアントは、Webブラウザを利用してSSL-VPNの通信を行っている。現時点ではクライアント証明書の認証に対応していないため、通常のユーザID / パスワードによる認証を確認した。基本的なユーザID / パスワードによる認証は、iPad 2でもLifeTouchでも正常に行うことができ、内部ネットワークのWebサーバにアクセスできることが確認できた。なお、今回は、ワンタイムパスワードおよび証明書による認証については未検証だ。担当者に聞いた製品の特徴CheckPoint 2200アプライアンスは、1台の筐体でさまざまなセキュリティ機能を提供できるのが大きな特徴だ。つまり、いわゆるUTM(Unified Threat Management)として利用することができる。Software Bladeと呼ばれるアーキテクチャに基づき、VPNゲートウェイ機能だけではなく、ファイアウォール、IPS、アンチウィルス、アンチスパム機能などさまざまなセキュリティ機能を追加することが可能だ。必要なセキュリティ機能を必要に応じて追加できる拡張性の高い製品と言える。今回検証した製品は、スモールオフィス向けだが、よりハイエンドな製品ラインナップも準備されている。運用、管理もWebブラウザをベースとしてGUIでわかりやすくなっている。Software Blade単位で、直感的な設定や管理が可能だ。○Cisco ASA5510SSL-VPNのユーザ認証をNetAttest EPSの認証情報に基づいて行うために、ASA5510の設定で、RADIUSサーバとしてNetAttest EPSのIPアドレスを指定している。検証結果Cisco ASA5510では、SSL-VPNトンネル方式の検証を行なっている。トンネル方式でSSL-VPNを確立するために、タブレットデバイスにはCisco AnyConnectというクライアントソフトウェアをインストールしている。ただし、Androidデバイスでは、現在、Samsung Galaxyのみの対応だ。そのため、AndroidデバイスでのSSL-VPNの確認はCiscoの方が持参したGalaxyで行っている。iPad 2、GalaxyともにユーザID / パスワード、ワンタイムパスワード、クライアント証明書による認証を行い、SSL-VPNトンネル方式でVPNを確立することができた。トンネル方式なので、あたかも内部ネットワークに接続されているのと同様に、内部ネットワークに自由にアクセスできることが確認できた。担当者に聞いた製品の特徴Cisco ASA5510は「Borderless Networks」のコンセプトを実現する製品のひとつだ。「Borderless Networks」とは、いつでも、どこからでも、どんなデバイスでも、同じセキュリティレベルでアクセスできるネットワークを意味する。ノートPCやタブレットなどのデバイスを社外に持ちだして、直接インターネットに接続すると、ウィルス感染などのリスクが出てくる。ASA5510を利用すれば、デバイスを社外に持ちだしても、強制的にVPNを確立して社内ネットワークと同等のセキュリティレベルを確保させることが可能だ。典型的な設定はウィザードが用意されていて、簡単に行うことができる。また、Cisco製品はWebサイトでさまざまな技術情報を公開していることも強みだ。何かトラブルが発生しても、CiscoのWebサイトの情報を参照すれば解決できる可能性が高い。○F5 BIG-IP 6900SSL-VPNのユーザ認証をNetAttest EPSの認証情報に基づいて行うために、BIG-IP 6900の設定で、RADIUSサーバとしてNetAttest EPSのIPアドレスを指定している。検証結果BIG-IP 6900では、SSL-VPNトンネル方式のユーザ認証を検証した。今回は、iPad 2のみの検証となった。iPad 2にクライアントソフトウェアF5 Edge Clientをインストールし、SSL-VPNの接続を行った。ユーザID / パスワード、ワンタイムパスワードでの認証は成功し、内部ネットワークにアクセスできることを確認した。担当者に聞いた製品の特徴「BIG-IP」というとロードバランサーをイメージする人が多いが、モジュールを追加することでVPNゲートウェイの機能も実現できる。各種モジュールは、一貫して「アプリケーションを快適に、安全に利用する」というコンセプトに基づいている。アプリケーションをリモートから安全に利用するためのモジュールが今回検証したAPM(Access Policy Manager)だ。APMでは、アプリケーションが稼働するデバイスごとの詳細な制御やシングルサインオン機能も可能だ。リモートからどんなユーザがどんなアプリケーションにアクセスできるかということを、わかりやすく直感的に設定できるGUIを備えているので、運用、管理がしやすいことも特徴だ。Visual Policy Editorというフローチャート方式の設定で、技術的な知識がなくても設定することができる。次ページでは、Fortinet FortiGate-60C、Juniper MAG2600、SonicWall SonicWALL Aventail E-Class SRA EX7000の検証結果を紹介する。●NetAttest EPSとVPNゲートウェイ機器とのユーザ認証を検証(2)○Fortinet FortiGate-60CSSL-VPNのユーザ認証をNetAttest EPSの認証情報に基づいて行うために、FortiGate-60Cの設定で、RADIUSサーバとしてNetAttest EPSのIPアドレスを指定している。検証結果FortiGate-60Cでは、クライアントデバイスによって利用できるSSL-VPN方式が異なる。LifeTouchであればクライアントソフトウェア FortiClientでSSL-VPNトンネル方式が可能だ。iPad 2、LifeTouch以外のAndroidデバイスはSSL-VPNリバースプロキシ方式となる。iPad2のクライアントソフトウェアはForimobile VPN、LifeTouch以外のAndoroidデバイス用のクライアントソフトウェアはFortiClient Liteである。現時点では、クライアント証明書に対応していない。そのため、ユーザID /パスワード、ワンタイムパスワード認証を確認した。備考 : iPhone、iPadの標準ブラウザーを利用したWebモードの接続検証は行っていませんiPad 2では、ユーザID / パスワード、ワンタイムパスワードともにユーザ認証に成功し、内部ネットワークへアクセスすることができた。一方、Android(LifeTouch)では、ワンタイムパスワード認証に失敗した。これはクライアントソフトウェアの仕様で、次のバージョンではワンタイムパスワード認証もできるようになるようだ。担当者に聞いた製品の特徴FortiGate-60Cは、セキュリティ機能を統合したUTM製品だ。さらに無線LANコントローラ機能も備えており、セキュアな無線LAN環境を構築することができる。VPNクライアントとしてLifeTouchであれば、メーカー同士のエンタープライズレベルのサポートを提供していることが特徴だ。LifeTouchを利用すれば、SSL-VPNトンネルモードで外部から内部ネットワークへのより柔軟なアクセスが可能になる。さらに、UTM機能を併用して強固な多層防御も可能になる。今後、オフィシャルに対応していくスマートデバイスの拡充も検討している。また、管理面では日本語化された管理画面が大きな特徴だ。英語のままのGUI管理画面が多い中、日本語の管理画面の方が管理のしやすさは格段に違ってくる。ネットワークの状況を詳細にレポートするレポート機能も豊富に備えており、運用管理を効率よく行うことが可能だ。○Juniper MAG2600SSL-VPNのユーザ認証をNetAttest EPSの認証情報に基づいて行うために、MAG2600の設定で、RADIUSサーバとしてNetAttest EPSのIPアドレスを指定している。検証結果Juniper MAG2600では、SSL-VPNトンネル方式の検証を行った。iPad 2およびLifeTouchにクライアントソフトウェアJunos Pulseをインストールして、各種認証方式でSSL-VPNにより内部ネットワークへ接続できることを確認した。iPad 2、LifeTouchともに、ユーザID / パスワード、ワンタイムパスワード、クライアント証明書を用いた認証に成功し、内部ネットワークへアクセスできることが確認できた。担当者に聞いた製品の特徴MAG2600は、非常にコンパクトな製品だが、最大同時接続ユーザ数100までのVPNセッションに対応し、小規模~中規模ネットワークのVPNゲートウェイとして十分なパフォーマンスを実現する。上位モデルのラインナップもあり、それらを利用すれば、より大規模なネットワークでも利用できる。また、Active Syncのプロキシ機能も備えており、社内のExchange Serverとの連携を容易に行うことも可能だ。セキュリティポリシーも柔軟に制御できる。たとえば、ユーザIDやユーザのロールベースで、社内ネットワークへの柔軟なアクセス制御もできる。WebベースのGUIでの管理によって、運用管理の負担を少なくしている。製品のライセンス体系も柔軟で、一時的に期間限定でアップグレードすることもできる。突発的な事態が発生して、接続ユーザ数を増やしたいというようなニーズにも対応可能だ。○SonicWall SonicWALL Aventail E-Class SRA EX7000SSL-VPNのユーザ認証をNetAttest EPSの認証情報に基づいて行うために、SonicWALL Aventail E-Class SRA EX7000(以下、SRA EX7000)の設定で、RADIUSサーバとしてNetAttest EPSのIPアドレスを指定している。検証結果SRA EX7000では、SSL-VPNトンネル方式、リバースプロキシ方式の両方可能だ。iPad 2ではSonicWALL mobile connect、LifeTouchにはSonicWALL Aventail Connect Mobileというクライアントソフトウェアをインストールし、各認証方式でSSL-VPNを確立して、内部ネットワークへのアクセスを確認した。iPad 2、LifeTouchともに、ユーザID / パスワード、ワンタイムパスワード、クライアント証明書を利用したユーザ認証に成功し、内部ネットワークへアクセスできることが確認できた。担当者に聞いた製品の特徴SRA EX7000は、エンタープライズ向けのリモートアクセスを制御するための製品だ。特徴としては、強力なエンドポイント制御が挙げられる。アクセスしてきたデバイスごとにアクセス可能な社内リソースを細かく制御できる。デバイスの識別のために、たとえばiOSデバイスであればシリアル番号、AndroidデバイスであればIMEIを利用する。また、中小規模向けのSSL-VPN製品も幅広くラインナップし、さまざまな規模のネットワークにおけるリモートアクセスに対応している。SRA EX7000は、大規模向けの製品だが、管理しやすいように工夫している。基本的な設定はウィザードを用意し、できるだけステップ数を少なく、容易に設定できるようにしている。また、システムの状態を視覚的に確認できるようにレポート機能も充実し、管理者の負担を軽減している。○VPNゲートウェイ機器との認証のまとめVPNゲートウェイ機器6製品による検証は、ワンタイムパスワードやクライアント証明書で一部動作しなかった機器があった。SSL-VPNはクライアントソフトウェアや対応している方式も機器によってまちまちで、相性の問題があるのかもしれない。今回の検証では動作しなかった機器も、今後のバージョンアップ等で変わってくる可能性がある。一方、基本的なユーザID / パスワードによる認証は、すべての機器でNetAttest EPSと連携できることを確認した。次回は、無線LANコントローラ / アクセスポイントについての検証の予定だ。○連載タイトル第1回 事例検証 : スマートデバイスが普及する今、ネットワーク認証の重要性を考える第2回 事例検証 : NetAttest EPSとVPNゲートウェイ機器との認証第3回 事例検証 : NetAttest EPS無線LANコントローラ / アクセスポイント機器との認証今回の事例検証はソリトンシステムズをはじめ、各ベンダーの協力によって実現しました。ご協力頂いたベンダーの皆様には、この場を借りて御礼申し上げます。
2012年01月26日●ソリトンシステムズ「NetAttest EPS」で認証情報を一元管理○認証の重要性近年、ノートPCだけではなくスマートフォンやタブレット端末などスマートデバイスの普及が著しい。また、3G通信網や4G通信網、WiMAXなどモバイルブロードバンドサービスも整備されてきている。このような中で、いつでもどこからでも社内ネットワークのリソースにアクセスしたいというニーズが高まっているだろう。実際に多くの企業が、外出先からインターネットVPNで社内ネットワークにアクセスさせるような環境を構築している。また、社内では社員各自の座席からだけではなく、会議室などからでも無線LANで社内ネットワークにアクセスできるようにしている。このような「いつでもどこからでも社内ネットワークにアクセスできる」環境を構築する上で、セキュリティをしっかりと確保することが非常に重要だ。特に、アクセスしてきたデバイスが正規のユーザが利用しているものかどうかを確認する「認証」が重要である。認証をきっちりと行なっていないと、悪意を持った不正ユーザに社内ネットワークに侵入されてしまう危険性が高まる。侵入されてしまえば、重要なデータが盗聴されたり、不正に持ち出されたり、改ざんされたりするおそれがある。さらに別のネットワークへ攻撃する際の踏み台として利用される危険性もある。そのため、「誰が」「どこから」「どのようなデバイス」でアクセスしてきているかを、しっかりと確認する「認証」が重要なのである。認証を行うには、ユーザID / パスワードなど正規のユーザであるかどうかを確認するための認証情報をあらかじめ登録しておき、アクセスしてきたときに照合を行う。この認証情報をどのように管理するかが一番のポイントだ。たとえば、インターネットVPNではVPNゲートウェイに認証情報を登録でき、無線LANではアクセスポイントや無線コントローラに認証情報を登録することができる。ただし、このように個別の機器に認証情報を登録するのは、管理する上で非常に手間となり、拡張性に乏しくなる。機器が増えると、その機器に新たに認証情報を登録するのも非常に面倒だ。管理性や拡張性を考えると、認証情報を一元管理できることが望ましい。今回紹介するソリトンシステムズの「NetAttest EPS」は、手軽に認証情報を一元管理でき、さまざまな認証に対応する専用のアプライアンス装置である。コンセプトは「いろんな認証これ1台」だ。○NetAttest EPSの特徴今回は、ネットワーク機器ベンダ8社の製品とNetAttest EPSとのユーザ認証の検証を行う内容となっている。まず、NetAttest EPSについて、同社 プロダクトマーケティング本部 製品担当の竹谷修平氏と中山聡子氏に語って頂いたので、その内容をお伝えしよう。NetAttest EPSの主な特徴は、以下の通りだ。さまざまな認証方式に対応しているプライベートCAを構築できる手軽に導入、運用できる以下、それぞれの特徴について詳しく見ていこう。さまざまな認証方式に対応NetAttest EPSは、基本的にIEEE802.1X認証のRADIUSサーバとして動作する。ユーザID / パスワードを利用するEAP-PEAPやサーバ / クライアント証明書を利用するEAP-TLSなどさまざまな認証情報を利用することができる。また、PAP/CHAPプロトコルもサポートしている。さらに、オプション対応となるが、NetAttest EPSはワンタイムパスワードサーバとして動作し、ワンタイムパスワード認証も可能だ。VASCO Data Security社のセキュリティトークンを利用して、よりセキュアな認証を行うことができる。複数の認証方式を併用して、より強固な認証を提供することもできる。たとえば、アクセスするノートPCやスマートデバイスにはあらかじめクライアント証明書をインストールしておき、まず、クライアント証明書をチェックする。これによって、クライアント証明書がインストールされている「正規のデバイス」であることを確認するわけだ。その後、ユーザID / パスワードをチェックして、デバイスを利用しているユーザが「正規のユーザ」であることを確認することができる。NetAttest EPSは、認証情報の管理も柔軟に行える。NetAttest EPSローカルのユーザデータベースだけでなく、ほかのRADIUSサーバの認証情報を参照することも可能となっており、Active DirectoryやLDAPの認証情報が参照できる。プライベートCAの構築NetAttest EPSはプライベートCA機能を標準で搭載しており、登録したユーザのクライアント証明書を発行することができる。証明書の発行はとても手軽で、管理画面から最短で2クリックで行える。多数のユーザがいる場合は、「証明書一括生成ツール」を用いて、証明書を一括で発行することも可能だ。証明書は発行するだけではなく、デバイスへ配布したり、有効期限の管理などを行わなければいけない。これは、管理者にとって手間がかかる作業だが、NetAttest EPSのプライベートCA機能は、ユーザがWebブラウザで証明書の取得や更新を行うこともでき、管理者の負荷を減らしている。手軽に導入、運用できるNetAttest EPSは、オールインワンのアプライアンス製品なので、認証機能を1台のデバイスに集約して提供することができる。いろいろな機能があると初期設定などが複雑ではないかと考えがちだが、非常に簡単に初期設定が行える。NetAttest EPSを導入する際に、既存のネットワーク構成を変更する必要はない。NetAttest EPSをLANに接続し、初期設定ウィザードにしたがって、IPアドレスなどの初期設定やユーザID / パスワードといった認証情報を登録するだけでよい。特に技術的な知識がなくても、ウィザードにしたがって設定すれば、RADIUSサーバおよびプライベートCAの機能は15分程度で利用可能になる。あとは、VPNゲートウェイや無線アクセスポイント / コントローラ、レイヤ2スイッチなどでRADIUSサーバとしてNetAttest EPSのIPアドレスとパスワードを設定すればよい。汎用サーバでNetAttest EPSと同等の機能を実現することもできる。ただし、汎用サーバで同等のことを実現しようとすると、高いスキルが要求され、しかも非常に手間がかかる。ハードウェアを用意し、OSのインストール、プライベートCAの構築、RADIUSのインストールや各種設定およびユーザの設定といった作業が必要となり、到底15分程度でできることではないだろう。次ページでは、NetAttest EPSの初期設定を実際に行ってみた。●初期設定ウィザードで、短時間で「NetAttest EPS」のセットアップが可能○NetAttest EPSの初期設定の概要前ページで紹介したように、「NetAttest EPS」は導入時の初期設定が簡単に行える。はじめて製品をさわるときに、実際に初期設定にどのぐらいの時間がかかるかを確認するために、同社技術者の立ち会いのもと、次回以降に紹介する検証環境と同等の初期設定を行なってみた。初期設定は、Webブラウザ経由で行う。NetAttest EPSのLAN2ポートとPCを接続する。NetAttest EPSのLAN2ポートには、デフォルトで「192.168.2.1/24」のIPアドレスが設定されている。PC側のIPアドレスを同じサブネットのIPアドレスに設定して、Webブラウザで「」にアクセスすれば、管理画面に入ることができる。初期設定ウィザードには、「システム初期設定」と「サービス初期設定」がある。システム初期設定では、ホスト名や認証サービスを提供するLAN1ポートのIPアドレス、NTPサーバなどの設定を行う。サービス初期設定は、プライベートCAやRADIUSサーバの設定を行う。ウィザードの指示にしたがって必要な項目を入力していくだけで、システム初期設定とサービス初期設定は完了した。初期設定ウィザードが完了すると、いったん再起動が行われ、再起動後にシステム管理ページへ移ることができる。システム管理ページでは、主にユーザとNASクライアントの登録を行う。ユーザの登録は、メニューの「ユーザ一覧」から「追加」を選び、ユーザ名、ユーザID / パスワードを入力すればよい。NASクライアントとは、認証要求を中継するVPNゲートウェイやアクセスポイント、レイヤ2スイッチなどの機器のことだ。「RADIUSサーバ」メニューから「NAS/RADIUSクライアント」→「NAS/RADIUSクライアント一覧」と進み、「追加」を選んで、NASクライアントのIPアドレスとシークレットキーを設定すればよい。筆者が試した設定は、ユーザ1人、NASクライアント1台のみだったが、まったくの初期状態から12分30秒ほどでひと通りの設定が完了した。実際に初期設定を行なってみると、導入時の管理者の負担は非常に少ないことが実感できた。次回から2回にわたって、ネットワーク機器ベンダ各社の協力のもとに実施したNetAttest EPSとのユーザ認証の検証を紹介する。NASクライアントとして、2回目はVPNゲートウェイ、3回目は無線LANコントローラ / アクセスポイントについての検証の予定だ。○連載タイトル第1回 事例検証 : スマートデバイスが普及する今、ネットワーク認証の重要性を考える第2回 事例検証 : NetAttest EPSとVPNゲートウェイ機器との認証第3回 事例検証 : NetAttest EPS無線LANコントローラ / アクセスポイント機器との認証今回の事例検証はソリトンシステムズをはじめ、各ベンダーの協力によって実現しました。ご協力頂いたベンダーの皆様には、この場を借りて御礼申し上げます。
2012年01月19日「あなたを 優しく 美しく 包み込む。 凛とした あなたを 着飾る 粧う」をコンセプトとした新しいストレッチダウンウェアブランド「YOSOOU/粧う/ヨソオウ」が、この2011秋冬からスタート。独自開発の新素材「Dual Flex(R)」を使用したアイテムの数々は伸縮率130%という脅威のストレッチ性をもちながら、悩みどころである毛抜けがしにくくさらに手洗いできたり、コンパクトにまとめられたりと、従来のダウンウェアのイメージを一新する高い機能性を兼ね備えたタウンユースなダウンウェアとなっている。サイズは2サイズ展開でありながら、商品の特徴であるストレッチ性で幅広い体型にフィットし。高い保温性とダウン90%という品質にもかかわらず価格はリーズナブルに設定されている。Art Director : Shin Ito (ITO Design Studio) Photographer : kyosyu mizohataこの度「YOSOOU」の世界感を表現した期間店が下記百貨店にてオープン。気になった方はもちろんこの冬のデイリーウェアをお探しだった方など、是非お近くの店舗に足を運んでみては。■ 渋谷PARCO part1 ワンスアマンス内10/4 (火)~10/16(日)■ 博多大丸百貨店 本館3階イベントスペース10/19(水)~10/26(水)■ 横浜そごう 3階特設スペース11/1 (火)~11/14(月)ぬいぐるみアーティスト「NUICO(ヌイコ)」さんとのコラボレーション作品を販売致します。■ 小倉井筒屋 3階特設会場11/2(水)~11/15(火) 「YOSOOU/粧う/ヨソオウ」公式サイト
2011年09月30日保湿ラインのベースメーキャップをリニューアルセルフスキンケアブランドとして、高い人気を誇る「アクアレーベル」。資生堂ならではの高品質を、よりリーズナブルに、手に取りやすい形で、というコンセプトを前面に打ち出し、好評を得ている。そんなアクアレーベルが、保湿ラインのベースメーキャップなど、全6品目13品種をリニューアルして新発売する。発売開始は8月21日だ。2006年のブランド誕生以降、保湿ライン、美白ライン、エイジングケアラインの3ラインを主要ラインとして展開してきたアクアレーベル。なかでも秋冬需要の高い保湿ラインのリニューアルは、これからの季節にむけてチェックしておきたい。しっとりなめらか美肌!大人の美しさへリニューアルされる商品は、まず「モイストパウダリーファンデーション」各色。しっとりなめらかなつけ心地で、乾いた肌にもぴったりフィット。気になる毛穴やキメも整えてカバーしてくれる。加えて、小じわまで集中補正してくれる化粧下地「モイストベース」。うるおいが角層にまで浸透し、もっちりと弾むハリのある肌を保ってくれる「モイスチャーローション」と「モイスチャーエマルジョン」もある。これらの商品に加え、これまで好評だった集中ケアアイテム「モイストチャージマスク」からは、4枚入り製品に加えて、手軽に買える1枚入りが登場。Wコラーゲン、Wヒアルロン酸の効果を、より気軽に試せるようになった。消費者のニーズに応えたというこの発売もうれしい。ぜひ発売されたら手に取ってみたい。元の記事を読む
2011年08月07日国際規格の認証取得支援損保ジャパンや日本興亜損保、そんぽ24など多数の保険会社をグループに持つNKSJホールディングスが、「ISO50001認証取得支援コンサルティング」の取り組みを開始した。実務は同グループのリスクコンサルティング会社である、NKSJリスクマネジメントが担当する。※画像はイメージ背景は環境意識これは我が国で昨年4月に施行された改正省エネルギー法や、東京都独自の排出量取引制度が開始されたことに加え、国際的にも環境や温室効果ガス削減への意識が高まりを見せるなかで、企業の取り組みを支援するというもの。今回の、エネルギーマネジメントシステム国際規格「ISO50001」も本年4月より発行予定となっている。同社の認証取得支援コンサルティングは、期間が8~10か月の総合的なものと、4~5か月の簡易型の2種類用意されている。年間30件の受注が目標。同社は「業務を通じて環境経営を支援し、地球環境保全に寄与していく」とのコメントを発表している。
2011年01月08日