製品・サービス

RADIUS GUARD 技術コラム Part. 2

SCSK技術コラム アラクサラとの組み合わせで高レベルのセキュリティの実現(複数要素認証)

「島ハブ」という日本企業特有の文化があります。部門やチームごとのネットワークポートに簡易スイッチを接続してポートを増やし、さまざまなデバイスを接続する構成で、現在も多くの企業で使われています。

この「島ハブ」配下の端末に対しても適切に、ネットワークの利用を制御したいという要望が高まっています。有線接続される端末に対するセキュリティ対策は無線に比べて遅れがちです。
改めて「島ハブ」環境でのセキュリティ強化について一つの方法を提案させていただきます。

無線LAN増加や情報漏えいで再認識されるネットワークセキュリティ >

現在、働き方改革にあわせて、無線LANはさらに利用範囲は広がり、フリーアドレスなどの新しいオフィスレイアウトが利用され始めました。これは、多くの企業がノートPCに加え、タブレットやスマートフォンなどの無線を前提としたデバイスを活用しはじめたことも大きな理由です。
フリーアドレスを採用する先進的な企業では、フロア全体が無線ネットワークという場合も少なくありません。
とはいえ、有線ネットワークが無くなるわけではなく、無線ネットワークはアクセスポイントがダウンすると、そこにつながっている全デバイスが使えなくなります。しかし、有線ネットワークがあれば、こうしたトラブルは回避可能で、ネットワークの冗長化という点でも有線ネットワークは不可欠なままです。
ただし、有線/無線の混在環境が当たり前になると、別の問題としてアクセス権(認証)の問題があります。もともと有線ネットワークは、ポートに接続すればすぐに使え、簡易スイッチをつなげば接続台数を自由に増やせるという設定も少なくありません。
実際、多くの日本企業が部門やチームごとに“島ハブ"構成でポートを増やしています。

一方、無線ネットワークはアクセス権の認証が必須です。遮蔽物を飛び越えた外部の人間や持ち込まれたデバイスによって、勝手に社内ネットワークに接続されてしまう懸念があるためです。
しかし、こうした問題は、実は有線ネットワークでも同じで、“島ハブ"構成につなげば誰でもつながるというのは問題となります。また、無線アクセスポイント(AP)を追加し、誰でも自由に使える“勝手無線化"をしているケースも少なくありません。さらに、有線/無線の混在環境が当たり前になると、複数の認証方法を統合的に管理するという問題もでます。

日本独自の“島ハブ”構成に対応し、認証を細かく制御 >

数多くの企業のネットワーク構築に携わってきたRADIUS GUARD 担当技術として、無線ネットワークの増加をきっかけに、認証を改めて考えるケースが増加していることを実感しています。
しかし、“島ハブ"構成という日本の独自文化への対応、そして有線/無線混在における認証方式の混在やアクセス権の問題、端末の認証技術の乱立など、対応が困難となります。
無線LAN導入時に、無線のみを意識した認証基盤を構築した場合、有線環境の認証を意識すると利用できず、再度、認証環境を構築し直さなければならないなど、余分な工数も発生します。
このため、無線LANの導入時にも、将来的な有線/無線混在環境を意識した認証基盤の構築が必要となります。
RADIUS GUARDなどの汎用的な認証アプライアンスの場合、接続メーカーを制限していないため、マルチベンダー環境での導入が容易となります。さらに、無線/有線混在した環境であっても、認証基盤を分ける必要がなく、一つの認証基盤で両方のネットワークの認証に対応することが可能となります。
もう一つの問題である「島ハブ」配下の端末の認証には、アラクサラネットワークス(以下、アラクサラ)の認証スイッチ 「AXシリーズ」が最適となります。アラクサラはルータ、スイッチの開発・設計・製造・販売を行う国内企業であり、その製品の特徴として『認証』をキーワードにフロアスイッチとして"島ハブ"構成に対応するなど、日本市場に合わせて設計されているのが強みとなります。
部門やチームごとにハブでポートを増やす“島ハブ"構成は、欧米ではあまり見られない日本特有の文化のため、欧米企業の場合、オフィスは個人ごとに区切られ、1ポートに接続できるデバイスは基本的に1台となります。セキュリティをかける場合、端末単位ではなく物理ポート単位で行うシンプルな手法が大多数の状況です。
このため、海外製のスイッチには、種類の異なる複数のデバイスの認証を細かく制御する仕組みはあまりなく実際に、認証については、アラクサラの製品が他社をリードしてきました。
アラクサラのAXシリーズは、IEEE802.1X認証、Web認証、MAC認証の3つの認証方式に対応しており、しかも、1つのポートに複数の認証方式が混在していても端末毎の認証が可能なメリットを有しています。

AXシリーズによる端末認証のイメージ
無線APとの組み合わせやログアウト管理も可能 >

前述のように、日本のオフィスでは、「島ハブ」構成を使って、さまざまなユーザーが社内ネットワークを利用する。さらに、フロアスイッチに無線LANのAPを接続し、その先に多くの無線デバイスが接続されることも珍しくありません。管理面での懸念は前述したとおりですが、そもそもつなげられることも重要となります。
実際、“島ハブ"構成の場合は有線だけであれば、フロアスイッチの1ポートに接続されても十数台ですが、そこに無線のAPがあると、10台、20台、無線コントローラを経由すると100台を超えることも珍しくありません。しかし、AXシリーズなら1つのポートに数百台がつながっても十分なパフォーマンスを発揮し、1台の認証スイッチに1000台の端末の認証を行わせることも可能です。
また、廉価な無線APだと複数の認証方式に対応していないことがありますが、その場合は、無線APに入り口だけの役割を持たせ、認証はすべてAXシリーズに任せることも可能となります。
AXシリーズなら複数の認証に対応し、パフォーマンスも十分発揮するため、フロアスイッチのポートの先に何台のデバイスが接続されるかわからないような「島ハブ」環境では、非常に有効な使い方となります。更に、使われていないデバイスを自動的にログアウトさせ、リソースを有効に活用できるのもAXシリーズの特徴です。
実際にネットワークにつながったデバイスが使われないまま残り続けると、次のデバイスがつながらない原因となりますが、AXシリーズなら、さまざまなパターンで認証済みのデバイスをログアウトさせることが可能です。
特に来客などが多いオープンな環境に近くなればなるほど不特定多数のデバイスが出入りするため、この機能は非常に重要となっています。
さらにユニークなのが『マルチステップ認証」と呼ばれる機能によって、二段階認証を実現できる点で、たとえば「知っていること=ユーザー名とパスワード」と「持っているもの=MACアドレス」などを組み合わせ、極めて高いセキュリティレベルを実現できることになります。

マルチステップ認証のイメージ(複数要素認証を実現)
RADIUS GUARDと、アラクサラとの併用で、部分的な箇所からセキュリティ強化を実現 >

既存のネットワークを一気に認証に強いネットワークに切り替えることはコストの面で現実的ではありません。しかし、部分的な面からRADIUS GUARDとアラクサラの併用で、セキュリティを強化していくことは十分可能です。

例えば、社外ユーザーが頻繁に出入りするようなエリアや公共性の高いエリアだけRADIUS GUARDとアラクサラ製品を入れて、ネットワークを部分的に認証を細かく制御するといった運用をおこなっている企業も少なくありません。

有線/無線の混在する社内ネットワーク、持ち込み端末や不正な端末の接続を防ぎ、認められた端末だけを社内ネットワークに接続する。これらの要望に一つの認証基盤で対応することができるRADIUS GUARDは、さらにVPNやOffice365のデバイス認証などにも対応することが可能です。新たに認証環境を検討するのであれば、より多くの要望に対応可能な認証基盤の構築と、有線環境に対する認証の導入を検討してみてはいかがでしょうか。

本製品・サービスについてのお問い合わせ

ITプロダクト&サービス事業本部 ネットワーク部
TEL 03-5859-3034
FAX 03-5859-3102

お問い合わせフォーム