無線LAN

EAP-TLS 用の認証局として Gléas を使うメリット

EAP-TLSの認証局としてGléasを使うメリット

企業での無線LANの認証には、事前共有鍵方式やMACアドレス認証ではなく、ユーザごとに認証をかける802.1X方式が推奨されます。802.1Xの認証方式としてEAP-MD5 / LEAP / PEAP / TTLS / TLS がありますが、セキュリティレベルが最も高いのが EAP-TLS です。

EAP-TLS は、RADIUS (※) サーバとクライアント端末の双方が電子証明書を保持し、公開鍵暗号方式によるサーバとクライアントの相互認証とパケット暗号化が行われるため、盗聴・改ざん・なりすましを防ぎ、有効な証明書を持つ端末だけがネットワークに接続を許可されます。
※ Remote Authentication Dial In User Serviceの略

Gléas は、RADIUS サーバ用のサーバ証明書と、無線LAN接続デバイス用のクライアント証明書をテンプレート機能によって簡単に発行・管理でき、またユーザの所属・属性に応じて、証明書のサブジェクトや有効期限を設定できます。

クライアントは Windows、iOS、macOS、Android といった OS に標準で対応しています。

EAP-TLS ではクライアント証明書の配布方法について熟慮が必要です。管理側が企図しないデバイスにクライアント証明書がインストールされてしまった場合には、そのデバイスが社内LANに接続できてしまうことを意味し情報漏えいの危険性が出てしまうからです。

Gléas では、利用者はユーザ用ウェブ画面にアクセスしデバイスに証明書をインポートします。証明書ストアにインポートされた証明書は、他の端末にコピーされることはありません。また事前に端末 ID を登録することにより、その ID を持つデバイスのみにインポートを許可するといったこともできます。
インポートワンス機能を使うと、ユーザ用ウェブ画面からのインポートを1回に制限することが可能です。

さらに、Gléas から証明書をインポートする際に、Wi-Fi の設定を同時に取り込む設定ができます。端末利用者はデバイスで無線LANの細かい設定を行うことなく、接続が可能となるためユーザ負担を軽減できます。

Gléasとの連携を確認した RADIUS サーバは下記のとおりです。

ネットワークポリシーサーバー (マイクロソフト)
Pulse Policy Secure (パルスセキュア)
Cisco Secure ACS (シスコシステムズ)
Enterpras (ステラクラフト)
Fullflex EG (アクセンス・テクノロジー)
ClearPass (アルバ・ネットワークス)
FreeRADIUS

上記以外の RADIUS サーバでも、多くの場合は連携が可能です。お問い合わせください。

Gléas で発行したクライアント証明書は、無線 LAN だけでなく、Office 365 などのクラウドサービスでの認証や、リモートアクセス/ VPN での認証に利用することも可能です。

事例

ネットワークに接続する端末のセキュリティ健全性チェック

企業での BYOD 導入が進むなか、VMware Workspace ONEなどの MDM / UEM を使って、会社所有/個人所有を問わずモバイルデバイスを管理する動きが広がっています。
MDM / UEM のセキュリティポリシー( OS のバージョン、ディスク暗号化、パスコード、ウィルス対策ソフトなど)を遵守した端末だけが、ネットワークへの接続を許可される環境を構築できます。
ネットワークアクセスコントローラは、デバイスにインポートされたクライアント証明書によって、デバイスを特定し、MDM / UEM にポリシー遵守状況を問い合わせることができます。

構成例

ネットワークに接続する端末のセキュリティ健全性チェック

関連ニュース

企業での無線 LAN 認証

多くの企業で無線 LAN が利用されていますが、認証に事前共有鍵( PSK )を利用している場合があります。事前共有鍵方式は、アクセスポイントと接続する全端末が同じ鍵を持つため、鍵の漏えいによる不正アクセスの事例がたびたび報じられており、非常に危険です。MAC アドレス認証を併用しても、MAC アドレス自体が容易に詐称されうるため、なりすましを防ぐには不十分です。

ネットワーク全体での電子証明書認証

無線 LAN では認証をかけていても、有線 LAN には認証なしでネットワークに繋がる構成にしているケースがあります。その場合、管理側に無断で無線のアクセスポイントが接続され、誰でも無線経由でネットワークに侵入できる状態になっていても管理側は把握できません。

そのため、無線LANだけでなく、有線を含めたネットワーク全体の認証に EAP-TLS を採用する企業が増えています。
電子証明書によってネットワークに接続できる端末を制限し、それに加え検疫ネットワークなどのソリューションによって端末の OS のアップデートやアンチウィルスソフトの状態などを確認して LAN 接続を許可することで、ネットワークへの不正アクセスとウィルスの侵入を防ぐといった構成が推奨されます。