無線LAN

EAP-TLS 用の認証局として Gléas を使うメリット

企業での無線LANの認証には、事前共有鍵方式やMACアドレス認証ではなく、ユーザごとに認証をかける802.1X方式が推奨されます。802.1Xの認証方式としてEAP-MD5 / LEAP / PEAP / TTLS / TLS がありますが、セキュリティレベルが最も高いのが EAP-TLS です。

EAP-TLS は、RADIUS (※) サーバとクライアント端末の双方が電子証明書を保持し、公開鍵暗号方式によるサーバとクライアントの相互認証とパケット暗号化が行われるため、盗聴・改ざん・なりすましを防ぎ、有効な証明書を持つ端末だけがネットワークに接続を許可されます。

※ Remote Authentication Dial In User Serviceの略

Gléas は、RADIUS サーバ用のサーバ証明書と、無線LAN接続デバイス用のクライアント証明書をテンプレート機能によって簡単に発行・管理でき、またユーザの所属・属性に応じて、証明書のサブジェクトや有効期限を設定できます。

クライアントは Windows、iOS、macOS、Android といった OS に標準で対応しています。

EAP-TLS ではクライアント証明書の配布方法について熟慮が必要です。管理側が企図しないデバイスにクライアント証明書がインストールされてしまった場合には、そのデバイスが社内LANに接続できてしまうことを意味し情報漏えいの危険性が出てしまうからです。

EAP-TLS 用の認証局として Gléas を使うメリット

Gléas では、利用者はユーザ用ウェブ画面にアクセスしデバイスに証明書をインポートします。証明書ストアにインポートされた証明書は、他の端末にコピーされることはありません。また事前に端末 ID を登録することにより、その ID を持つデバイスのみにインポートを許可するといったこともできます。

インポートワンス機能を使うと、ユーザ用ウェブ画面からのインポートを1回に制限することが可能です。

さらに、Gléas から証明書をインポートする際に、Wi-Fi の設定を同時に取り込む設定ができます。端末利用者はデバイスで無線LANの細かい設定を行うことなく、接続が可能となるためユーザ負担を軽減できます。


企業での無線 LAN 認証

多くの企業で無線 LAN が利用されていますが、認証に事前共有鍵( PSK )を利用している場合があります。事前共有鍵方式は、アクセスポイントと接続する全端末が同じ鍵を持つため、鍵の漏えいによる不正アクセスの事例がたびたび報じられており、非常に危険です。MAC アドレス認証を併用しても、MAC アドレス自体が容易に詐称されうるため、なりすましを防ぐには不十分です。


ネットワーク全体での電子証明書認証

無線 LAN では認証をかけていても、有線 LAN には認証なしでネットワークに繋がる構成にしているケースがあります。その場合、管理側に無断で無線のアクセスポイントが接続され、誰でも無線経由でネットワークに侵入できる状態になっていても管理側は把握できません。

そのため、無線LANだけでなく、有線を含めたネットワーク全体の認証に EAP-TLS を採用する企業が増えています。 電子証明書によってネットワークに接続できる端末を制限し、それに加え検疫ネットワークなどのソリューションによって端末の OS のアップデートやアンチウィルスソフトの状態などを確認して LAN 接続を許可することで、ネットワークへの不正アクセスとウィルスの侵入を防ぐといった構成が推奨されます。