ホーム > PC-Webzineアーカイブ > 社内外の境界が危険ゾーン、ソリトンシステムズの電子証明書アプライアンスで守る

社内外の境界が危険ゾーン、ソリトンシステムズの電子証明書アプライアンスで守る

社内外の境界が危険ゾーン、ソリトンシステムズの電子証明書アプライアンスで守る

2018年05月15日更新

「電子証明書」で会社が許可した端末だけを接続させて
企業ネットワークの安全性を強化する

ソリトンシステムズ NetAttest EPS

業務に利用されるデバイスが多様化してきたことにより、無線LANやVPNの導入が進んできた。しかしセキュリティまで考慮がされておらず、環境構築だけにとどまっているユーザーも多いのが実情だ。難しく想像しがちな「セキュリティ」だが、実は考え方はシンプルだ。企業ネットワークに求められるのは「端末認証」である。どうして、どのように、を具体的に紹介する。

気付かない無線LANの不正利用
家庭用アクセスポイントの認証機能は危険

 企業を取り巻くサイバーセキュリティの脅威が高まる中で、攻撃者は運用中のITのどこを狙って侵入を試みるのだろうか。それはネットワークの境界だ。無線LANではアクセスポイントが、そしてリモートアクセスではリモートアクセスゲートウェイが社内外の境界となる。これらの境界をすり抜けてウイルスや攻撃者が社内ネットワークに侵入し、被害をもたらす。その具体的な危険性についてソリトンシステムズ マーケティング部 五味田直樹氏は次のように解説する。

 「中小企業や小規模な拠点では無線LANのアクセスポイントに家庭用の製品を導入しているケースが多く見られます。幅広い利用者に対応するためにアクセスポイント本体のボタンを一押しするだけでデバイスを接続できる機能が搭載されています。認証用のボタンを押せばどのデバイスでも無線LANに接続できるため、社員が無断で私物端末を社内ネットワークに接続することも容易にできてしまいます。人の出入りが多い企業では従業員以外の外部端末がつながってしまう懸念もあります。私物端末、外部端末はセキュリティ対策もどの程度行われているかわからず、ウイルスに感染していれば社内ネットワークに拡散されますし、接続するデバイスが知らないうちに増えて通信速度が低下するなどのリスクも危惧されます」(五味田氏)

(左)ソリトンシステムズ マーケティング部 インフラセキュリティ 五味田直樹氏
(中)ソリトンシステムズ ITセキュリティ営業本部 パートナービジネス2部 マネージャ 篠田雄紀氏
(右)ソリトンシステムズ マーケティング・営業統括 部長 中村拓博氏

アクセスポイント単体で行える認証は危険
暗号キーやMACアドレス認証は適切ではない

 では法人向けのアクセスポイントを利用していれば安全なのかというと、こちらにも問題がある。アクセスポイント単体で行える認証方法として一般的に知られている暗号キーとMACアドレスは、そのどちらも企業の無線LAN環境には適切ではない。

 暗号キーはアクセスポイントと接続端末全てでパスフレーズが共通であるため、パスフレーズを社員に知られてしまうと接続するデバイスを制限できなくなってしまう。また異動や退職などの組織変更や端末の紛失が生じるたびに、全てのデバイスを回収してパスフレーズを変更するという業務負担が強いられる上に、パスフレーズの変更を完了させるまでデバイスを無線LANに接続できなくなる。

 その場合、よく検討に上がるのがMACアドレスを使った接続制限だ。確かにMACアドレスはデバイス固有の情報であるため安全なように感じられる。しかしMACアドレスはデバイスを示す情報であり、ネットワーク通信の住所のような形で使われている。

 一般的に無線LANは盗聴を防ぐためパケットを暗号化しているが、MACアドレスまで暗号化すると通信が行えなくなるため平文でやり取りされている。そのためパケットキャプチャツールと呼ばれるソフトウェアを使えば、通信中のデバイスのMACアドレスを簡単に確認できる。

 無線LANの電波は社外に漏れているため、MACアドレスの確認は比較的ハードルが低い。さらにMACアドレスをなりすますことも容易にできる。検索すればいくらでもMACアドレスを変更するツールを入手でき、デバイスを偽装して無線LANに接続できる。

 このほか無線LANをはじめVPNで認証の手段として使われる方式としてID・パスワードやワンタイムパスワード、マトリクス認証、ICカード、そして指紋や静脈などの生体認証もある。しかしいずれの認証方法もユーザーを識別する仕組みであり、社員の私物端末の不正接続を防ぐことができない。

 五味田氏は「ユーザーを識別する認証だけで無線LANやVPNを利用するのは危険です。企業ネットワークという重要なインフラを守るためには端末を厳密に認証できる認証環境が必要です。それを実現するのが「NetAttest EPS」です」と強調する。

 NetAttest EPSは電子証明書による端末認証環境の構築に必要な機能をオールインワンで提供するアプライアンス製品だ。NetAttest EPSには発売以来16年の歴史と累計16,000台以上の販売の実績があり、RADIUSアプライアンスで国内トップシェア(富士キメラ総研調べ)を誇る。

電子証明書による端末認証システムを
オールインワンのアプライアンスで提供

 NetAttest EPSの優位性についてソリトンシステムズ ITセキュリティ営業本部 パートナービジネス2部 マネージャ 篠田雄紀氏は「通常、電子証明書を利用する認証環境を実現しようとすると、認証サーバーや電子証明書を管理する認証局、データベースなどのさまざまなシステムが必要となるほか、VPNゲートウェイや無線LANコントローラーとの連携など構築・運用にも高度な専門知識が必要です。しかも認証基盤が停止するとネットワークが利用できなくなり、業務が全社的に止まってしまうため高い信頼性も求められます。NetAttest EPSはアプライアンス製品ですので認証基盤の構築が容易で、企業のネットワークのコアである認証に求められる長期間無停止での運用を可能にする各種機能を搭載しています」と説明する。

 NetAttest EPSは純国産製品であるため設定や操作の画面は全て日本語で容易に導入、利用できる。また冗長化が可能なため、万が一の機器故障の場合も安心だ。データの自動バックアップにより、代替機にリストアするだけでスピーディに復旧できるなど安心・安全に利用できるメリットもある。さらにハードウェアの設計、製造、組み立てにもこだわっており、故障率はわずか0.9%以下という高い信頼性も実現している。

 NetAttest EPSには中小企業が導入しやすいダイワボウ情報システム(DIS)と共同企画したオリジナルモデルがラインアップする。ソリトンシステムズ マーケティング・営業統括 部長 中村拓博氏は「ある統計データによると従業員100名程度の企業で無線LAN導入時にセキュリティを重視したのはわずか9.5%と非常に低く、どの中小企業もコスト負担を避けてウイルス対策ソフトやUTM(統合脅威管理)の導入にとどまっているのが実情です。しかしサイバー攻撃のリスクは企業の規模に関わらず同様に深刻です。そこでNetAttest EPSに中小企業が導入しやすいオリジナルモデルをDISさまと共同で企画しました」と説明する。

 NetAttest EPSには機能が豊富に搭載されているが、全ての機能が全ての企業に必要だとは言えない。そこでDISオリジナルモデルでは中小企業に必要だと思われる機能に絞って搭載することで運用の負担軽減と低価格を実現するとともに、50ユーザー版や100ユーザー版も用意して中小企業に導入しやすくした。さらにUTMを導入している企業に向けてUTMとの連携機能も搭載している。

 篠田氏は「DISさまの販売パートナー様のお客さまには中小企業が多くいるため、DISさまを通じてオリジナルモデルを高く訴求できると期待しています。また販売店さまは無線LANやリモートアクセスを利用する際のセキュリティリスクに対して、簡単に解決策をパッケージすることができます。無線LANやVPNの商材に組み合わせて提案いただくことで、お客さまの不安を解消し安心して利用できるネットワーク環境を構築できます。さまざまなメーカーのネットワーク商材と連携が可能ですので、ご提案の幅をさらに広げられます」と拡販への期待を語った。

キーワードから記事を探す