ポリシーに合うのは有償の別売り製品

 A社は当初,様々な認証プロトコルの中からMS-PEAP(PEAPはprotected EAP)を使う予定だった。MS-PEAPであれば,米マイクロソフトのWindows XPを購入するかWindows2000にサービスパックを適用すれば,追加のコスト負担なしにサプリカントを使えるためである。

図1 A社はセキュリティ・ポリシーに反しない認証方法を模索
Windows XPに含まれるサプリカントでは初回に認証した際の情報を保持してしまうことが問題だった。
 ところが結局,A社はこの予定を変更せざるを得なかった。Windows標準のサプリカントを使うと,A社が規定している「認証に使用する情報はコンピュータに記憶させてはならない」という同社のセキュリティ・ポリシーに反するためである(図1[拡大表示])。

 問題は,Windows標準のサプリカントが初回のPEAP認証成功時に入力したIDとパスワードをパソコンのレジストリ内に保存することである。一度保存されたアカウント情報はレジストリを直接編集する以外に削除できず,保存を無効にするオプションもない。

 確かに認証情報を保管する機能があることで,一度入力したIDとパスワードを2回目以降の認証時に再入力する手間を省ける。パスワードを忘れて困ることがなくなり利便性が増す点では有効だ。ただしパソコンを紛失すると,レジストリにIDやパスワードが登録されているため正規ユーザーでなくてもネットワークを使えてしまう。これはセキュリティ上大きな問題である。

 そこでA社は,Windows標準のサプリカントを使用せず,有償のPEAP対応サプリカントを採用することにした。市販のサプリカントは,導入企業のセキュリティ・ポリシーに合わせた設定が可能だ。例えば,クライアント側で強制的に再認証をするように設定した上でインストールできる。これにより,不正ユーザーはネットワークに入りにくくなる。

 選択肢としては,Cisco-PEAPやEAP-TTLSといったベンダー独自仕様のEAP認証方法がある。これらの認証方法も,RADIUS(remote authentication dial-in user service)サーバー側にサーバー証明書を使うことでMS-PEAPと同等の安全性を実現する。

 A社は現在認証手段とサプリカント製品を選定中。有償のソフトウエアを必要とするため製品価格も検討の対象になる。現在国内で販売中のWindows標準以外のサプリカントは極めて少ない。価格は1本当たり4000円から5000円程度。無線LANカードに付属するサプリカントもある。

出典:2004年2月9日号 128ページ
記事は執筆時の情報に基づいており、現在では異なる場合があります。