− 第4回 −

内外からの不正侵入のメカニズムとその防止策　その２ 認証技術
ユーザーID、パスワードの認証を強化し、不正侵入を防止する認証技術

LANスイッチのポート単位でユーザー認証できるIEEE802.1x

　ワンタイムパスワードや生体認証などによるユーザー認証や、ファイアウォールなどによる外部からの不正侵入の防御に加え、企業に内在する不正侵入のリスクに対抗するためには、LANセグメントでのセキュリティ対策も重要になってきます。その手段としてIEEE802.1x認証が注目され、対応製品がネットワーク機器ベンダーから各種提供されています。

　 IEEE802.1xはLANスイッチのポート単位でユーザー（クライアント）のアクセス権を認証する手順を規定したもので、RADIUS認証サーバと連携してユーザーIDとパスワードを認証する、ユーザー毎に暗号鍵を生成、接続毎に鍵を更新する、認証手順にEAP（Extensible Authentication Protocol）を用いることを規定しています。EAPはネットワーク接続時のユーザー認証を拡張した仕様で、元々はPPP接続時のユーザー認証の仕組みのひとつとして開発されたものですが、現在はイーサネット接続などでも利用されています。

　 IEEE802.1xは無線LAN、有線LANを問わず同じ認証システムを利用できることから、ユーザーはシームレスなアクセスが可能になるほか、システム管理者は一元的なクライアント管理を行うことができる利点があります。

　 IEEE802.1xに対応するLANスイッチも多く、クライアントのMACアドレスとID、パスワードで認証を行い、アクセス権に応じたVLANに接続する認証VLANの構成が可能です。例えば営業部や総務部など部門毎に認証VLANを利用することで、部外者のアクセスを制限したり、未登録のクライアントからのアクセスを制限することができます。

　 このほか、ユーザー管理をシステム上で明確化し、ユーザーの権限に応じて情報にアクセスできるアイデンティ管理も注目されています。ユーザー認証やユーザー管理情報、アクセス管理などをサポートするツールや、RADIUS認証サーバやディレクトリサーバーと連携してユーザーIDの情報を集中管理し、IDの設定、削除などの作業を自動化できるツールもあります。それらにより、一元的なユーザー管理とアクセス管理を実現し、不正アクセスなどの防止に役立てることが可能です。

　 このようにユーザーID、パスワードの徹底管理を図るとともに、各種認証システムを活用することで、不正侵入の防止策を強化することが可能になります。次回は、アクセスコントロールなどによる内外からの不正侵入防止策を紹介する予定です。

図2：ユーザ認証方法

次のページ「セキュリティ・トリビア」では、情報セキュリティに関する様々な雑学やトリビアネタを紹介します。また、あなたのとっておきのトリビアが採用されると、図書券がもらえます！ぜひ投稿してください。