事例検証 : スマートデバイスが普及する今、ネットワーク認証の重要性を考える
○認証の重要性
近年、ノートPCだけではなくスマートフォンやタブレット端末などスマートデバイスの普及が著しい。また、3G通信網や4G通信網、WiMAXなどモバイルブロードバンドサービスも整備されてきている。このような中で、いつでもどこからでも社内ネットワークのリソースにアクセスしたいというニーズが高まっているだろう。
実際に多くの企業が、外出先からインターネットVPNで社内ネットワークにアクセスさせるような環境を構築している。また、社内では社員各自の座席からだけではなく、会議室などからでも無線LANで社内ネットワークにアクセスできるようにしている。
このような「いつでもどこからでも社内ネットワークにアクセスできる」環境を構築する上で、セキュリティをしっかりと確保することが非常に重要だ。
特に、アクセスしてきたデバイスが正規のユーザが利用しているものかどうかを確認する「認証」が重要である。認証をきっちりと行なっていないと、悪意を持った不正ユーザに社内ネットワークに侵入されてしまう危険性が高まる。
侵入されてしまえば、重要なデータが盗聴されたり、不正に持ち出されたり、改ざんされたりするおそれがある。さらに別のネットワークへ攻撃する際の踏み台として利用される危険性もある。そのため、「誰が」「どこから」「どのようなデバイス」でアクセスしてきているかを、しっかりと確認する「認証」が重要なのである。
認証を行うには、ユーザID / パスワードなど正規のユーザであるかどうかを確認するための認証情報をあらかじめ登録しておき、アクセスしてきたときに照合を行う。この認証情報をどのように管理するかが一番のポイントだ。
たとえば、インターネットVPNではVPNゲートウェイに認証情報を登録でき、無線LANではアクセスポイントや無線コントローラに認証情報を登録することができる。ただし、このように個別の機器に認証情報を登録するのは、管理する上で非常に手間となり、拡張性に乏しくなる。機器が増えると、その機器に新たに認証情報を登録するのも非常に面倒だ。
管理性や拡張性を考えると、認証情報を一元管理できることが望ましい。
今回紹介するソリトンシステムズの「NetAttest EPS」は、手軽に認証情報を一元管理でき、さまざまな認証に対応する専用のアプライアンス装置である。コンセプトは「いろんな認証これ1台」だ。
○NetAttest EPSの特徴
今回は、ネットワーク機器ベンダ8社の製品とNetAttest EPSとのユーザ認証の検証を行う内容となっている。まず、NetAttest EPSについて、同社 プロダクトマーケティング本部 製品担当の竹谷修平氏と中山聡子氏に語って頂いたので、その内容をお伝えしよう。
NetAttest EPSの主な特徴は、以下の通りだ。
さまざまな認証方式に対応している
プライベートCAを構築できる
手軽に導入、運用できる
以下、それぞれの特徴について詳しく見ていこう。
さまざまな認証方式に対応
NetAttest EPSは、基本的にIEEE802.1X認証のRADIUSサーバとして動作する。
ユーザID / パスワードを利用するEAP-PEAPやサーバ / クライアント証明書を利用するEAP-TLSなどさまざまな認証情報を利用することができる。また、PAP/CHAPプロトコルもサポートしている。
さらに、オプション対応となるが、NetAttest EPSはワンタイムパスワードサーバとして動作し、ワンタイムパスワード認証も可能だ。VASCO Data Security社のセキュリティトークンを利用して、よりセキュアな認証を行うことができる。
複数の認証方式を併用して、より強固な認証を提供することもできる。たとえば、アクセスするノートPCやスマートデバイスにはあらかじめクライアント証明書をインストールしておき、まず、クライアント証明書をチェックする。これによって、クライアント証明書がインストールされている「正規のデバイス」であることを確認するわけだ。その後、ユーザID / パスワードをチェックして、デバイスを利用しているユーザが「正規のユーザ」であることを確認することができる。
NetAttest EPSは、認証情報の管理も柔軟に行える。NetAttest EPSローカルのユーザデータベースだけでなく、ほかのRADIUSサーバの認証情報を参照することも可能となっており、Active DirectoryやLDAPの認証情報が参照できる。
プライベートCAの構築
NetAttest EPSはプライベートCA機能を標準で搭載しており、登録したユーザのクライアント証明書を発行することができる。証明書の発行はとても手軽で、管理画面から最短で2クリックで行える。
多数のユーザがいる場合は、「証明書一括生成ツール」を用いて、証明書を一括で発行することも可能だ。
証明書は発行するだけではなく、デバイスへ配布したり、有効期限の管理などを行わなければいけない。これは、管理者にとって手間がかかる作業だが、NetAttest EPSのプライベートCA機能は、ユーザがWebブラウザで証明書の取得や更新を行うこともでき、管理者の負荷を減らしている。
手軽に導入、運用できる
NetAttest EPSは、オールインワンのアプライアンス製品なので、認証機能を1台のデバイスに集約して提供することができる。
いろいろな機能があると初期設定などが複雑ではないかと考えがちだが、非常に簡単に初期設定が行える。
NetAttest EPSを導入する際に、既存のネットワーク構成を変更する必要はない。NetAttest EPSをLANに接続し、初期設定ウィザードにしたがって、IPアドレスなどの初期設定やユーザID / パスワードといった認証情報を登録するだけでよい。特に技術的な知識がなくても、ウィザードにしたがって設定すれば、RADIUSサーバおよびプライベートCAの機能は15分程度で利用可能になる。
あとは、VPNゲートウェイや無線アクセスポイント / コントローラ、レイヤ2スイッチなどでRADIUSサーバとしてNetAttest EPSのIPアドレスとパスワードを設定すればよい。
汎用サーバでNetAttest EPSと同等の機能を実現することもできる。ただし、汎用サーバで同等のことを実現しようとすると、高いスキルが要求され、しかも非常に手間がかかる。ハードウェアを用意し、OSのインストール、プライベートCAの構築、RADIUSのインストールや各種設定およびユーザの設定といった作業が必要となり、到底15分程度でできることではないだろう。
次ページでは、NetAttest EPSの初期設定を実際に行ってみた。
●初期設定ウィザードで、短時間で「NetAttest EPS」のセットアップが可能
○NetAttest EPSの初期設定の概要
前ページで紹介したように、「NetAttest EPS」は導入時の初期設定が簡単に行える。はじめて製品をさわるときに、実際に初期設定にどのぐらいの時間がかかるかを確認するために、同社技術者の立ち会いのもと、次回以降に紹介する検証環境と同等の初期設定を行なってみた。初期設定は、Webブラウザ経由で行う。NetAttest EPSのLAN2ポートとPCを接続する。
NetAttest EPSのLAN2ポートには、デフォルトで「192.168.2.1/24」のIPアドレスが設定されている。PC側のIPアドレスを同じサブネットのIPアドレスに設定して、Webブラウザで「http://192.168.2.1:2181/」にアクセスすれば、管理画面に入ることができる。
初期設定ウィザードには、「システム初期設定」と「サービス初期設定」がある。
システム初期設定では、ホスト名や認証サービスを提供するLAN1ポートのIPアドレス、NTPサーバなどの設定を行う。サービス初期設定は、プライベートCAやRADIUSサーバの設定を行う。
ウィザードの指示にしたがって必要な項目を入力していくだけで、システム初期設定とサービス初期設定は完了した。初期設定ウィザードが完了すると、いったん再起動が行われ、再起動後にシステム管理ページへ移ることができる。システム管理ページでは、主にユーザとNASクライアントの登録を行う。ユーザの登録は、メニューの「ユーザ一覧」から「追加」を選び、ユーザ名、ユーザID / パスワードを入力すればよい。
NASクライアントとは、認証要求を中継するVPNゲートウェイやアクセスポイント、レイヤ2スイッチなどの機器のことだ。「RADIUSサーバ」メニューから「NAS/RADIUSクライアント」→「NAS/RADIUSクライアント一覧」と進み、「追加」を選んで、NASクライアントのIPアドレスとシークレットキーを設定すればよい。
筆者が試した設定は、ユーザ1人、NASクライアント1台のみだったが、まったくの初期状態から12分30秒ほどでひと通りの設定が完了した。実際に初期設定を行なってみると、導入時の管理者の負担は非常に少ないことが実感できた。
次回から2回にわたって、ネットワーク機器ベンダ各社の協力のもとに実施したNetAttest EPSとのユーザ認証の検証を紹介する。NASクライアントとして、2回目はVPNゲートウェイ、3回目は無線LANコントローラ / アクセスポイントについての検証の予定だ。
○連載タイトル
第1回 事例検証 : スマートデバイスが普及する今、ネットワーク認証の重要性を考える
第2回 事例検証 : NetAttest EPSとVPNゲートウェイ機器との認証
第3回 事例検証 : NetAttest EPS無線LANコントローラ / アクセスポイント機器との認証
今回の事例検証はソリトンシステムズをはじめ、各ベンダーの協力によって実現しました。ご協力頂いたベンダーの皆様には、この場を借りて御礼申し上げます。
提供:
