セキュリティ保護されたアクセス ポイントの設定

トピック

	はじめに
	定義
	課題
	ソリューション
	まとめ

はじめに

この文書は、中規模ビジネス セキュリティ ガイダンスの一部として提供されています。 Microsoft は、次の情報を得ることでさらにセキュリティが強化され、より生産性の高いコンピュータ環境が皆様の組織で実現されることを望んでいます。

要点

ワイヤレス ローカル エリア ネットワーク (WLAN) は、ビジネスの分野において論議の対象となってきました。多くの企業では、既に何らかの形で WLAN を導入しているか、少なくともワイヤレス技術の導入の是非が議論されています。 どちらにしても、ワイヤレス ネットワークを導入している企業においては、そのソリューションのセキュリティ面に不安があることが多く、一方で、ワイヤレス技術を導入していない企業は、生産性の低さや節減できるインフラストラクチャのコストについての懸案項目を抱えたままです。

また、IEEE 802.11 WLAN セキュリティ プロトコルの第一世代で、よく知られているセキュリティの欠陥が見つかったため、技術を導入する決定権を持つ多くの人が、過去におけるワイヤレス技術のセキュリティだけでなく、今日もワイヤレス技術に残るセキュリティの欠陥にも不安を抱いているのは、自然なことと言えます。 長年にわたって数々の回避策が講じられてきましたが、それらのワイヤレスのセキュリティ問題に対する主なソリューションは、非常に高額であるか、そのソリューション自身に欠陥がありました。

多くの開発が行われ、初期のワイヤレス ネットワークとその技術は成熟し、高速でより安定した環境を提供できるようになりました。ワイヤレス通信をセキュリティで保護するいくつかの標準も確立されました。 最新のワイヤレス セキュリティ プロトコルの IEEE 802.11i 標準をベースにした WPA と WPA2 によって、最も過酷なセキュリティ環境においても、ワイヤレス トラフィックを強力に保護できるようになりました。 これらの現在の標準が適切に設定されていれば、中規模のビジネス環境で、より安全で、信頼性の高いワイヤレス環境を保つことができます。

概要

この文書は主に 4 つのセクションで構成されています。それぞれのセクションは、中規模のビジネスにおけるワイヤレス ネットワークのセキュリティ強化に必要な効果的なソリューションの設計と導入に必要とされる詳細情報に重点を置いています。 次のセクションに分かれています。

対象読者

この文書の対象となる読者は、中規模のビジネスで、セキュリティ保護されたワイヤレス インフラストラクチャの実現のために、Wi-Fi Protected Access (WPA) または Wi-Fi Protected Access 2 (WPA2) の導入を検討している、技術スタッフ、技術の導入担当者、および技術管理者です。 この文書は、読者がワイヤレス デバイス、基本的なネットワーク概念、Microsoft® Windows Server™ 2003、インターネット認証サービス (IAS)、証明書サービス、Active Directory® ディレクトリ サービス、およびグループ ポリシーの設定とアプリケーションに関する一般的な技術的知識を持っていることを前提としています。

ページのトップへ

定義

読者は、この文書で使われている専門用語および概念について理解または精通している必要があります。

AES。 Advanced Encryption Standard (AES) は、対称ブロック データ暗号化技術を採用しており、WPA2 に含まれています。

EAP。 拡張認証プロトコル (EAP) は、802.1X 標準です。これにより、開発者は RADIUS サーバーとワイヤレス アクセス ポイント間で認証データをパスすることができます。 EAP には、 EAP MD5、EAP-TLS、EAP-TTLS、LEAP、PEAP などのさまざまな種類があります。

EAP-TLS。 EAP Transport Layer Security (EAP-TLS) は、802.1X 標準に基づき、マイクロソフトが開発しました。認証にデジタル証明書を使用し、現在は、802.11i 認証の業界標準になっています。

IEEE 802.1X。IEEE 802.1X は、サプリカント (クライアント)、認証システム (ワイヤレス アクセス ポイント)、および認証サーバー (RADIUS) 間の EAP カプセル化処理を制御しています

IEEE 802.11。IEEE 802.11 標準には、無線ネットワーク通信を制御し、2.4 GHz の帯域で 20+ Mbps のトラフィックを提供する 802.11g 標準から WPA2 暗号化と認証を制御する 802.11i 標準まで、さまざまな仕様が含まれています。

IEEE 802.11i。IEEE 802.11 から IEEE 802.11i 標準に加えられた変更は、元の認証プロセスをセキュリティ保護するために (EAP)、AES のブロック暗号を活用するセキュリティの手法 (WAP2) を指定するようになった点です。これにより、ワイヤレス セキュリティ標準および仕様に以前存在していた欠陥が補われます。

MS-CHAP v2。マイクロソフト チャレンジ ハンドシェイク認証プロトコル バージョン 2 (MS-CHAP v2) は、パスワード ベースのチャレンジ/レスポンス方式で、MD4 と DES 暗号化を使用した相互認証プロトコルです。 PEAP (PEAP-MS-CHAP v2) と組み合わせて使用することでセキュリティ保護されたワイヤレス通信を実現できます。

PEAP。 保護された拡張認証プロトコル (PEAP) は、TLS で暗号化および保護された安全なチャネルを作成することで、クリア テキストの EAP 送信を用いてセキュリティの問題に対応する、EAP 通信の 1 種です。

SSID。 サービスセット ID (SSID) は、WLAN 環境で用いられる識別子で、クライアントが、WLAN へのアクセスに必要な正しい設定と資格情報を識別するために使用します。

TKIP。 Temporal Key Integrity Protocol (TKIP) は、ワイヤレス ネットワーク用の WPA 暗号化規格の一部です。 TKIP はWEP の次世代のプロトコルで、パケットごとにキー ミキシングを行い、WEP 規格で見つかっている欠陥を補っています。

WEP。 Wired Equivalent Privacy (WEP) は IEEE 802.11 標準の規定の 1 つで、64 ビットまたは 128 ビットの RC4 暗号化を使用しています。 2001年に、WEP には、主に、RC4 ストリーム暗号の初期化ベクトルが短すぎるという問題のために、RC4 キーが容易に受動的な傍受によりデコーディングされるという重大な欠陥があることがわかりました。

WLAN。 ワイヤレス ローカル エリア ネットワークです。

WPA。 WEP 規格に脆弱性が発見されたことを受けて、Wi-Fi Protected Access (WPA) は、相互運用性を備えたワイヤレス セキュリティ仕様として 2003 年に発表されました。 この標準は IEEE 802.11 標準のサブセットで、認証の機能と TKIP を使用したデータの暗号化を提供します。

WPA2。WPA2 は 2004 年 9 月に Wi-Fi Alliance によって発表された、2004 年 6 月に認可された IEEE 802.11i 仕様と完全に相互運用性を持つ WPA の新しいバージョンとして認定されました。以前のバージョンと同様に、WPA2 は IEEE 802.1X/EAP 認証または PSK テクノロジをサポートしていますが、Advanced Encryption Standard (AES) と呼ばれる Counter-Mode/CBC-MAC Protocol (CCMP) を利用した新しい高度な暗号化メカニズムが採用されています。

ページのトップへ

課題

多くの組織が生産性や共同作業の向上につながるワイヤレス技術の利点を認識しつつも、その導入については躊躇しています。なぜなら、ワイヤレス ネットワークにより間違いなく自分たちの環境にもたらされるワイヤレス ネットワークの脆弱性について、当然浮かび上がる懸念事項があるからです。 さらに混乱を招く理由として、ワイヤレス通信をセキュリティ保護するためのさまざまな方法が提案されていること、また、それらの方法の効果について述べた報告書が錯綜していることが挙げられます。

ワイヤレス技術は、導入することによるセキュリティ面での問題だけでなく、そもそも導入するべきかどうかという問題などがあり、多くの議題を中規模の企業に投げかけています。 この文書で説明するワイヤレス ネットワークに関する一般的な課題は、次のとおりです。

ページのトップへ

ソリューション

このセクションでは、中規模のビジネス環境に適したセキュリティ保護されたワイヤレス ソリューションの設計、開発、導入、およびサポートについて説明します。 前述のとおり、ワイヤレス技術の利用には多くの懸念事項があります。 しかし、それぞれの懸念事項を適切な導入により解決すれば、ワイヤレス ネットワークの利点を最も効果的かつ安全に享受することができます。

WLAN セキュリティの評価

ワイヤレス技術は現在では迅速かつ安全に中規模ビジネスに導入できるまでに発達していますが、検討しなればならない性質の異なる問題が多数あるうえに、ワイヤレス ネットワークのセキュリティ保護にはさまざまな方法があります。 このセクションでは、ワイヤレス ネットワークをセキュリティ保護するための一般的な方法を数多く説明します。それぞれの環境に最適なソリューションを選べるようにサポートし、それぞれのアプローチの賛否について述べています。

ワイヤレス ネットワークの利点

WLAN テクノロジの導入には、2 つの異なる面での利点があります。 それは、ビジネス上と運用上の 2 つの利点です。 運用上の利点には低コストの管理と設備投資の削減があります。一方、ビジネス上の利点には生産性の向上、さらに効果的なビジネス プロセス、および将来的な新たな事業の拡大性などがあります。

ビジネス上の利点

WLAN テクノロジを利用することで得られる最も重要なビジネス上の利点は、社員にとっての柔軟性と機動性です。 ワイヤレス ネットワークなら、社員はデスクに拘束されることもなく、社内を比較的容易に動き回ることができます。 このように自由に動き回れることにより、次のような利点が生まれます。

運用の長所

ワイヤレス技術の運用上の長所も幅広く、特定のビジネスの形態や設備によって異なります。 いくつかの長所は次のようなものが挙げられます。

ワイヤレス ネットワークの脆弱性

ワイヤレス ネットワークのさまざまなセキュリティ ソリューションのセキュリティ レベルを理解するには、ワイヤレス ネットワークで起こる可能性のある一般的な問題について理解することが重要です。 従来のネットワークにおける脆弱性や攻撃プロファイルについてはよく知られています。しかしワイヤレス ネットワークには、従来のネットワーク以上にリスクの高い脆弱性があります。

表 1. 一般的なWLAN セキュリティにおける脅威

セキュリティに注意を払う必要のある昨今の環境において、無線でのデータ送信に関するセキュリティ面でのリスクが、数多くあることは極めて明らかです。このような懸念事項は、第一世代のワイヤレス技術が確立された当時はまだ明らかになっていませんでした。 ワイヤレスでのデータ ブロードキャストをセキュリティ保護するために WEP が制定されたとき、ケーブル上でデータ送信における、WEP 固有の本質的なセキュリティの欠如をカバーする必要はほとんどないように思われました。当時、ワイヤレス技術は、ネットワークに起こりえる脅威を誰も想像できないほど、斬新なものだったのです。 攻撃者が用いる手段は進化し、潜在的に悪意を含む可能性のある環境間を、ワイヤレスのデータが送信される可能性があることがわかりました。そのため、ケーブルでつながった LAN 接続と同様に、WLAN もセキュリティ保護する必要があります。

WEP のセキュリティ面での問題が広く知られ始め、ネットワークのセキュリティ環境は急速に変化し始めました。 ウォードライバーの情報は、大方ののメディアにおいては有名でした。一方、政府は企業に対してデータや個人情報の保護を義務付けました。 このように状況が変わっていったため、多くの企業がワイヤレス技術は実現不可能であるまたは安全ではないと考え導入をやめたり、WEP 規格の問題を解決するための複雑な解決策を開発したりしました。

このとき開発された複雑な解決策のソリューションには現在も使用され、市場に出ているものもあります。 しかし、以降のセクションで述べられているとおり、このような脅威からワイヤレス ネットワークを安全に保護するためのこれらの複雑なソリューションはもはや不要になりました。セキュリティ環境の変化に伴いワイヤレス技術が進歩したため、これらのソリューションを再評価する必要があるかもしれません。

適切な WLAN セキュリティ ソリューションの選択

第一世代以来、WLAN テクノロジの弱点が明らかになってからは、ワイヤレスの脆弱性を克服するには多大な努力が必要でした。 Microsoft やその他のベンダなど、ワイヤレス技術を扱う企業は、ワイヤレス標準の向上に重点を置いていました。一方、アナリストの多くやネットワーク セキュリティ ベンダ、その他の関係者は既存の古いワイヤレス標準のままで対処する方法を探そうとしていました。 それにより、ワイヤレス セキュリティの問題に対してさまざまなアプローチが可能になりました。

最も一般的なアプローチは、WLAN テクノロジを導入しないことでしたが、それに以外の原則的な手法については次の表にあげたようなものがあります。

表 2. WLAN のセキュリティ アプローチの比較

注   強力な認証に関しては、IPSec トンネル モードを使用する VPN の実装では、多くの場合、XAuth という脆弱な共有キー認証スキームが採用されます。
Windows オペレーティング システムの現在のバージョンでは、IPSec アソシエーションのユーザー認証はサポートされていませんが、Windows Vista および Longhorn ではこの機能はサポートされる予定です。
コンピュータが認証されるということは、ユーザーが誰もそのコンピュータにログオンしていない場合でも、そのコンピュータが WLAN と LAN に接続された状態になるということです。 この機能は、ローミング プロファイルなどのドメインベースの機能が正しく動作するために必要です。

この表で示しているとおり、ワイヤレス ネットワークをセキュリティで保護するさまざまな可能性を検証するにあたり、考慮する必要のある要素がたくさんあります。 このような検証には、導入や管理にかかるコストから、問題となっているソリューションの一般的なセキュリティの問題まで、あらゆるものが含まれます。 それぞれのアプローチには長所と短所があります。決定が下される前に、それぞれのソリューションを十分に精査する必要があります。

WLAN を安全に導入するための可能なオプションについてより深く理解するには、セキュリティのレベル順に並べた、次のトピックについて詳細に検討する必要があります。

WLAN テクノロジを導入しない

セキュリティの専門家の間には「最も安全なシステムは、絶対に電源の入らないシステムだ」という格言があります。 最も安全な技術の導入とは、ワイヤレスネットワークを含め、その技術自体を導入しないことです。 当然このアプローチの問題点は、セキュリティ技術をまったく導入しない企業は、今日のビジネスの世界においては特に技術面で競争に勝ち残れないという点です。

前述のとおり、すべての企業にとって重要なのは、自分たちに必要なもの、リスクの許容範囲、導入を検討しているすべての技術のリスクの総量を見極めることです。ワイヤレス技術に関しても同様です。 ワイヤレス ネットワークにはたくさんの利点があります。しかし、これらの利点は過小評価されたり、それどころかある一部の組織には対応できないことさえあります。

企業に導入するワイヤレス セキュリティ ソリューションを適切に判断するには、ワイヤレス ソリューションをまったく導入しないという選択肢を含めた、すべての選択肢を考慮する必要があります。 しかし、WLAN を導入する準備ができていないと判断した場合には、エンド ユーザーが不適切に WLAN を展開し、ネットワークのセキュリティを侵害してしまうようなことを防止するために、この「導入しない」決断を、実際に強制力を持つ企業のポリシーに組み込む必要があります。

EAP-TLS で WPA を使用する

拡張認証プロトコル-トランスポート層セキュリティ (EAP-TLS) 方式の WPA および WPA2 を用いたユーザーとコンピュータの認証は、Windows ベースのワイヤレス クライアントの現在のバージョンがサポートする 802.1X 認証の最も強力な手法です。 EAP-TLS 方式は、デジタル認証を使用して、認証サーバーへのワイヤレス クライアントの認証と、その逆方向の認証を行う相互認証を提供します。 EAP-TLS 方式の認証には、証明書を発行し、それを最新の状態に保つために、公開キー基盤 (PKI) が必要です。 最高のセキュリティ レベルを実現するためには、PKI はワイヤレス アクセスの証明書をユーザーとコンピュータの両方に発行するように設定する必要があります。

PKI の導入のコストや管理オーバーヘッドの問題があったため、この非常に安全なソリューションの導入は、大規模から中規模のビジネスに限られていました。しかし、現在では、EAP-TLS の要件を実装する証明書サービスの基礎を提供する、Microsoft Small Business Server の導入に伴い、小規模のビジネスでも導入されるようになりました。

注   この標準を大規模な環境に効果的に実装する機能に影響を与える、WPA2 標準用のグループ ポリシー オブジェクトは、現在サポートされていません。 ただし、GPO で WPA2 をサポートするための Windows Server 2003 や Windows XP 向けの更新プログラムの開発が行われています。Vista や Loghor などの次世代の Windows では WPA2 標準が既定でサポートされます。

PEAP-MS-CHAP v2 で WPA を使用する

現在の Windows ベースのクライアントのバージョンで導入する場合、Protected EAP (PEAP) を使用した WPA や WPA2 および強力なパスワード要件のマイクロソフト チャレンジ ハンドシェイク認証プロトコル バージョン 2 (MS-CHAP v2) が 2 番目に強力で効果的なセキュリティ保護を行うことができます。 PKI を導入できない場合、信頼性の高いワイヤレス ネットワークを実現する安全なオプションとして PEAP-MS-CHAP v2 を使用できます。 PEAP は、TLS を使用して認証サーバーからの暗号化されたチャンネルを作成する、単一方向の認証スキームです。このため、クライアントは自身の認証には別のプロトコルを用います。 本来、ダイヤルアップや VPN リモート アクセス用に設計されたため、MS-CHAP v2 は強力なパスワードを用いたワイヤレス クライアントの認証に対応しています。ただし、ネットワーク上で強力なユーザー パスワード ポリシーの使用と組み合わせて使う場合に限られます。

PEAP-MS-CHAP v2 と証明書サービスを用いて WPA を使用する

企業のソリューションに両方のアプローチの要素が必要な場合、証明書サービスとパスワード ベースの PEAP-MS-CHAP v2 ソリューションを組み合わせて使用することは可能です。 ただし、この文書でも述べているように、EAP-TLS ソリューションが十分に安全なため、PEAP-MS-CHAP v2 を追加しても、追加のセキュリティ上の利点は実感できません。 実際、EAP-TLS と PEAP-MS-CHAP v2 を同時に使用すると、TLS チャネルが 2 つ作成され、1 つのチャネルは片方のチャネルの内部に作成されるため、認証プロセスが遅くなります。 そのため、この二重暗号化にはまったく付加価値がありません。

VPN を使用する

WEP セキュリティの欠陥が最初に発見されたとき、ワイヤレス ネットワークをセキュリティ保護するために、セキュリティの専門家の多くや業界リーダーが最初に提案した対応は VPN の導入でした。 VPN テクノロジは、インターネットのような、悪意のある可能性のあるネットワークから、ネットワーク通信を保護することにおいては確実で実績のある手法です。WEP の欠陥を補うこのソリューションは今でもさまざまな環境で利用されています。

セキュリティの観点から見ればこのソリューションは有益に感じられますが、特にワイヤレスの脅威に対応するように設計された WPA を使ったソリューションが実現する柔軟性と比べると、実は明らかに欠陥があり、魅力的な選択肢ではないことがわかります。 VPN テクノロジと組み合わせて WPA ソリューションを導入することでワイヤレス ネットワークをセキュリティ保護できる可能性はきわめて高いですが、シンプルな WPA ベースのソリューションに勝る利点はありません。特に、さらに複雑な層を VPN ソリューションが組み合わされたワイヤレス ネットワークに追加しようとする場合では、利点はないと言えます。

VPN を WLAN セキュリティの一部として導入するかどうかを議論する場合、VPN の有用性については別の問題です。 VPN を使用すると、インターネット経由で組織のネットワークに接続する際にさらに認証が必要になったり、タイムアウト制限があるため、かつてローカル エリア ネットワークの内側から簡単にリソースに接続していたユーザーにとっては、VPN 認証はわずらわしいと考えられる場合があります。

既にリモート ユーザー向けに VPN ソリューションを導入しているため、さらに活用してコスト パフォーマンスを上げるために、引き続き VPN ソリューションを単純に利用したいと考える企業もあります。 この場合、この方法を選ぶ前に、次に示すような問題についても考慮する必要があります。

IPSec を使用する

WEP で見つかった欠陥の回避策として、VPN が WLAN を保護するためにしようされたのと同じ必要性から、ワイヤレス ネットワークを保護するための IPSec の使用は始まりました。 当然、IPSec は特定の種類のネットワーク トラフィックの保護については信頼でき、WLAN 上で利用する場合、その透明性や WLAN ハードウェアに制限されていないこと、他にサーバーやソフトウェアの機能が必要なく、オーバーヘッドを低く抑えられることなど、いくつかの利点があります。

ただし、IPSec を用いてワイヤレス ネットワークをセキュリティ保護する場合、次のような問題が生じます。

WEP を使用する

802.11 ベースのセキュリティの最も基本的な形が静的 WEP です。静的 WEP は、アクセスの制御に共有キーを用い、ワイヤレス トラフィックの暗号化のベースと同じキーを使います。 セキュリティで保護されていないワイヤレス設定のセキュリティをわずかしか強化できず、管理とセキュリティの面で重大な問題があるものの、WEP の容易さは最大の長所です。つまり、どんな場所でも数分から数時間あれば WEP WLAN 上の共有キーと SSID (ブロードキャストされていない場合) を検出できます。そして、一般的なラップトップとインターネットですぐに入手できるシンプルなツールを使用して、ネットワークにアクセスすることができます。

静的な WEP を強化する一つの方法として、MAC フィルタリングを使用してネットワークにアクセスするクライアントのグループをあらかじめ設定しておき、このグループだけにアクセスを許可するように、アクセス ポイントを構成することです。 しかし、このアプローチでは、WLAN に接続されているコンピュータの MAC アドレスを容易に検出し、偽装するツールを使用した攻撃を受けてしまいます。

WPA や WPA2 に対応していない環境で、WEP セキュリティ テクノロジをいくつか組み合わせて使用して、セキュリティをいくらか強化することは可能です。しかし、それでもこれらの構成は、セキュリティ保護されていない WLAN 実装とセキュリティ保護された WPA ベースの構成間の通信フェーズで使用される場合を除き、推奨されません。 これらの方法を次のようにセキュリティのレベル順に示しました。

WLAN Security を使用しない

セキュリティ保護されていないワイヤレス ネットワークは、ほとんどすべての中規模のビジネス環境で導入するべきではありませんが、限定的な限られた状況においてのみ、セキュリティ保護されていないワイヤレス ネットワーク構成が好ましいソリューションである場合があります。 例えば、多くの都市や自治体は無料のワイヤレス アクセス ゾーンの導入を検討または既に導入しています。この場合は、インターネットへの直接接続のみを提供する、セキュリティ保護されていないワイヤレス アクセス ポイントのネットワークの使用が望ましいと言えます。 しかし、どのような意図および目的であっても、セキュリティ保護されていないワイヤレス ネットワークは、さまざまな種類の攻撃に対して非常に脆弱であることを理解する必要があります。

WPA または WPA2

Wi-Fi Protected Access (WPA) と Wi-Fi Protected Access 2 (WPA2) プロトコルは、どちらも IEEE 802.11 ベースのワイヤレス ネットワークに対する脅威に対応するように特別に設計されました。 しかし、この 2 つのプロトコルには違いがあります。 WPA は WEP 規格にセキュリティ上の欠陥が発見されたため 2003 年に開発されました。相互認証システムに対応し、TKIP をデータの暗号化に用い、署名付きメッセージの整合性チェックを取り入れ、なりすましやリプレイ攻撃を防止できるようになりました。 WPA2 はネットワーク トラフィックをセキュリティ保護するため、TKIP ではなく AES を使ってセキュリティを向上させました。そのため、WPA2 は WPA 標準よりも常に好ましい標準とされています。

WPA と WPA2 は適切にセキュリティ保護されていれば、どちらも WEP よりもはるかにセキュリティ面で上回っており、現在のところ、どちらのプロトコルもセキュリティ上の欠陥はありません。 しかし、それでも WPA2 は WPA よりも安全だと広く考えられています。また、WPA2 をサポートするインフラストラクチャの場合は、WPA2 を使用すると、管理上の負荷を低減することができます。

今日生産されている大半のワイヤレス アクセス デバイスのサポートは、WPA2 認定を取得しています。Windows の最新バージョン、特に Windows XP Service Pack 2 (SP2) と Windows Server 2003 SP1 も同様に認定を取得しています。環境内で、現在既に WPA2 が導入されているワイヤレス アクセス ポイントやクライアントが何らかの理由で WPA2 をサポートしなくなった場合に備えて、WPA2 をサポートするワイヤレス デバイスとクライアントは、古い WPA 標準も使用できるようになっています。

注   Windows XP SP2 ベースのクライアントは、WPA2 認定のサポートを有効にするために、追加更新プログラムの「Wi-Fi Protected Access 2 (WPA2)/Wireless Provisioning Services Information Element (WPS IE) Update」が必要です。 この更新に関する詳細については、http://support.microsoft.com/kb/893357/ja を参照してください。
また、Windows の現在のバージョンは GPO をサポートしていません。このため、WPA2 の実装は WPA より大幅に複雑なものになり、管理上が大変不便になります。 これは WPA と WPA2 はどちらも比較的に安全性が高いため、どちらかを選ぶ決定的な要因になりえます。

セキュリティ保護された WLAN ソリューションの開発

ここまでのセクションでは、異なる WLAN セキュリティ オプションにまつわる背景や経緯の一部を紹介しました。これらの知識は、ワイヤレス ネットワークが直面する共通の脅威と、各アプローチの脅威への対処法または脆弱となる箇所の説明と併せて、組織がセキュリティ ソリューションを検討する際の一助となります。 この情報を基に、固有のビジネス環境に対してにどのセキュリティを導入すべきか決定することができます。

ワイヤレス ネットワーク標準に実装された、最新のセキュリティ テクノロジの強化である WPA や WPA2 によって、WEP の重大な欠陥を補えるようになりました。このため、ワイヤレス接続をセキュリティ保護するために IPSec や VPN を用いた回避策を採用する必要もなくなりました。 静的または動的な WEP を用いた選択肢は、どのような形でも推奨されません。セキュリティ機能をまったく導入しないことは、限られた状況でのみしか有効ではありません。 これらを前提とすると、包括的かつ効果的な WLAN 実装のセキュリティ ソリューション導入の計画を立てる場合に、考慮できる選択肢は限られています。

このセクションでは、意思決定の権限のある担当者に、ワイヤレス ネットワークのセキュリティに保護に関するその他の推奨されるアプローチについて、ガイドを示します。 Microsoft が推奨するこれらのソリューションは、最も安全で効果的なワイヤレス ネットワークの保護であるとして、業界のアナリスト、セキュリティの専門家、および大手ベンダに、幅広く認識されています。 この文書では中規模のビジネス環境に最も適した方法に重点を置いていますが、意思決定をするプロセス全体を通じて、すべての選択肢と手順について検討することが重要です。ルールには、常に例外が発生するためです。

マイクロソフト推奨の安全な WLAN 導入のための意思決定プロセス

第 3 の混合型のアプローチも合わせて検討する場合、2 つの WLAN セキュリティ プロセスを推奨します。 この 2 つの主なソリューションは、セキュリティのレベル別では次のように並べられます。

各ソリューションが提供するセキュリティ レベルも重要ですが、どちらのソリューションを導入するかを決定するための基礎的な要素は、各ソリューションの実装とサポートに対応できる必要なリソースがあるかどうかということになります。

WPA または PEAP-MS-CHAPv2 と WPA2 では、基礎となる証明書インフラストラクチャが必要ないため、専門的な知識や機器はそれほど必要ありません。 WPA2 を採用するより WPA を採用した方が管理上の利点があるために、現在 WPA を採用しているとしても、現在市場に出ているすべてのデバイスは WPA2 認定を取得していて価格もそれほど高額ではないため、WPA2 に対応したデバイスの使用を検討するのは自然な流れ言えます。WPA2 の AES の暗号化方式は、WPA の TKIP より大幅に安全性が高いことが幅広く認識されており、将来のリリースで予定されている GPO の WPA2 サポートを考慮に入れると、将来的に WPA2 を実装するための基礎を築いておくのは理にかなっています。

WLAN を保護するためには、WPA または EAP-TLS 方式のWPA2 のが最も安全な選択肢です。しかし、この方法は証明書インフラストラクチャを基礎にしているため、関連する導入コストと管理コストが高くなってしまいます。 ただし、中規模のビジネス環境の多くで EAP-TLS 方式の WPA2 に必要な要件を満たす環境で既にシステムを導入しているため、実際には、この選択肢の方が多くの企業にとってより魅力的なものである場合が多いでしょう。 必要なテクノロジがまだ導入されていない場合でも、多くの企業にとって、このソリューションに必要とされる証明書や RADIUS などのテクノロジは、WLAN 以外の懸案事項で必要とされています。そのため、このソリューションを導入することにより、多くのビジネス上および技術面での利点があります。

図 1. Microsoft WLAN デシジョン ツリー
画像を画面全体に表示

図 1 に示すフローチャートは、企業がどの WLAN のセキュリティ アプローチが各組織の環境にとって最適か見極め、大規模なビジネスの定義について一定の仮定を示すための、マイクロソフトが以前に作成したガイダンスで紹介されたものです。 従業員数が 500 名以上で、IT 部門には、技術的な専門スタッフが少なくとも 5 名いる組織を大企業と定義したうえで、このフローチャートをご利用ください。

多くの中規模ビジネスで最低 5 人の IT プロフェッショナル スタッフと基礎となる EAP-TLS 実装に必要となる、追加のインフラストラクチャの要件 (常にネットワークに接続しない状態にしておくサーバー 1 台を含む 4 台の追加のサーバー) をサポートできるリソースと能力があるという前提のもとで、この文書の対象読者である中規模ビジネスの多くは、証明書サービスを用いた WPA2 EAP-TLS を容易に実装するリソースと能力を持っているものと見なされます。そして、上で説明したように、このフローチャートは大企業向けに作成されているため、中規模ビジネス向けには完全には適切ではない場合があります。

これらの条件を踏まえたうえでも、多くの中規模のビジネスとって最適なソリューションは、証明書サービスを用いた EAP-TLS 方式の WPA2 であることは明確です。そのため、この文書では、EAP-TLS 方式の WPA2 に最も重点を置いて説明します。 ただし、ルールには必ず例外があるもので、企業が異なるアプローチを必要とする場合には、それらのニーズに対応するガイドを数多く用意しています。 PEAP-MS-CHAP v2方式の WPA が望ましいと思われる場合、詳細情報については、「PEAP およびパスワードでワイヤレス LAN のセキュリティを保護する」を参照してください。

EAP-TLS サーバー要件

上で簡単な説明があったように、EAP-TLS には少なくとも 4 台のサーバーが必要です (分散環境や大規模な環境ではさらに必要)。そのうち 2 台は インターネット認証サービス (IAS) サーバー (マイクロソフトにより実装されたリモート認証ダイヤルイン ユーザー サービス (RADIUS)) のバックアップとして使用され、残りの 2 台は基本的な証明書インフラストラクチャ (PKI) の一部として使用されます。 2 台の証明書サーバーのうち、ルート証明書機関 (CA) は、ルート証明書を保護するために、スタンド アロンでネットワークからは切断されています。

表 3. ルート CA 用サーバーの推奨ハードウェア要件

上の表に示したとおり、Windows Server 2003 Standard Edition の一般的な要件に基づいたルート CA には極めて最小限の要件しかないため、必要に応じて、既に使われていない旧式のプラットフォーム上に構築したり、仮想マシンとして作成することさえ可能です。 ラップトップは、コンピュータ ルームで、回線を切断して物理的に安全を確保することが容易なため、ラップトップの使用が効果的だということに気づく方も多いでしょう。 ルート CA の作成方法にかかわらず、必要に応じて、該当のコンピュータが正常に起動および復元できることを確認しておくことが重要です。

発行証明書機関のハードウェア要件も同様ですが、追加のストレージ要件があり、サーバーはネットワークに接続している必要があります。 このサーバーは、発行されたすべての証明書を保存する必要があるため、1,000 ユーザごとに、少なくとも 2 GB のハード ドライブ容量を用意することを推奨します。

Radius サーバーには、WLAN 機能を維持する重要な役目があり、また短期間に発生する多数の認証の要求を処理できる能力が必要とされるため、サーバー要件はより複雑です。 このため、ワイヤレス クライアントの多い環境においては、強固なハードウェア プラットフォームが必要となる可能性があります。 また、証明書機関には Windows Server 2003 Standard Edition を使用すれば十分ですが、Standard Edition は RADIUS クライアントを 50 までしかサポートできないため、IAS サーバーは Enterprise Edition の使用が必要となる場合があります。

このような理由から、IAS をドメイン コントローラにインストールすることが推奨されています。IAS をドメイン コントローラにインストールすると、ドメイン コントローラに必要とされる仕様を満たしている、既存の強固なサーバー プラットフォームを利用することで、サーバー ハードウェアを追加で用意する必要性を低減できるためです。また、ドメイン コントローラ上で IAS を運用することで、ユーザー認証で発生するドメイン コントローラと IAS 間のネットワーク トラフィックが減少するため、IAS のパフォーマンスは事実上向上します。

RADIUS サーバーの要件を決定する際には、フェールオーバー、冗長性、および遠隔地での使用も考慮に入れる必要があります。 IAS サーバーは最小要件は 2 台ですが、多数の支社を抱える企業では、それらの支社のいくつかに IAS サーバーが必要になることがあります。 企業によっては、サーバーの冗長性を高めるために、または負荷分散のために、より高度な要件が必要になる場合もあります。

多機能サーバーを RADIUS サーバーとして使用することは推奨されていませんが、RADIUS サーバーに加わわる可能性のある追加的な負荷や、こういった要求が発生する理由について検討してみることは重要です。 RADIUS サーバーは、極めて短い時間内にすべてのワイヤレス クライアントが接続を要求してくるような状況でも対処できるように、拡張機能を備えていることが必要です。

証明書

WLAN をセキュリティ保護するために採用した WPA アプローチがどの方式であっても、証明書は、ソリューションの一部であるため、何らかの形で証明書は必要になります。 PEAP は、認証サーバー上でのみ証明書を必要とします。そのため、単純にサード パーティの証明書サービスを使用して必要な証明書を発行するという方法も可能です。この方法を用いれば、PKI の実装は必要ありません。 これが、証明書インフラストラクチャをサポートする十分な専門技術やリソースが確保できない場合がある、より小規模な組織に対して、PEAP 方式が推奨される主な理由です。

証明書サービスを用いた EAP-TLS の Windows サポートによる実装では、証明書の発行をサポートする基礎となる PKI を必要としません。ただし、すべてのクライアントは、RADIUS サーバーと認証を確立するために、証明書を持つ必要があるので、サード パーティの証明書を使用は、小規模なビジネス以外の環境では、コストの節減になります。 PEAP と証明書サービスを組み合わせて使う場合も、同様に考慮する必要があります。

組織が既に PKI を導入している場合は、意思決定のプロセスはいくぶん容易になることが考えられます。なぜなら、PKI のコンポーネントが既に適切な場所に配備されている場合、その資産を使用すれば、WLAN セキュリティで最も安全な選択肢を採用できるからです。 たとえ PKI が実装されていなくても、中規模のビジネスにおいては、証明書インフラストラクチャに投資した方が、次のようなその他のアプリケーションを用いることに比べても、より賢い選択であることが理解されるはずです。

総合的に考えると、EAP-TLS または PEAP 方式の証明書サービスを用いるアプローチが、中規模のビジネスにとって最適な方法であると言えます。そのため、この文書では重点的に取り扱っています。

Certificate Practices Statements (CPS) を作成する

PKI の導入計画の初期段階では、証明書がビジネス環境でどのように利用されるのかを文書化する必要があります。 こういった意思決定はプロセスが進むにつれて変更する場合がありますが、公式な証明書ポリシー ステートメントに文書化しておくことは重要です。

正式には、証明書ポリシーは PKI の運用方針を定めた規則です。 この規則には、共通のセキュリティ要件を持つ、固有の組織のグループやアプリケーションに対する、証明書の適用に関する情報が含まれます。 証明書運用規定には、発行される証明書を管理するために企業が従う運用方法が概説されています。 証明書運用規定には、ビジネス システム インフラストラクチャと運用手順ポリシーに関して、証明書ポリシーがどのように解釈されるかが説明されています。 証明書ポリシーは、組織全体に適用される文書ですが、証明書運用既定は個別の CA を対象としています。ただし、同じ役割を果たす複数の CA がある場合は、共通の証明書運用既定を利用することもできます。

一部の企業にとっては、これらの規定は、企業が属している業界を統制する法規制に従って作成する必要のある法的な書類であり、作成にあたっては法務担当者のサポートが必要です。 しかし、このような法規制に従う必要がない企業でも、やはりこの種の文書を作成することは有効です。

証明機関の階層

この文書で提示されているソリューションの設計図では、単一の内部ルートの階層信頼モデルを使用しています。 このアプローチには多くの利点と欠点があります。そのため、この特定のアプローチが実装されるビジネス環境に適しているかどうかを決定するために、より綿密な議論が必要とされる場合もあります。 このトピックの詳細については、「Windows Server 2003 Deployment Kit 」の「Designing a Public Key Infrastructure」(英語) の章を参照してください。

図 2. 証明機関の階層

ルート証明機関のセキュリティ保護

ルート CA が安全な "オフライン"(ネットワークに接続していない) の状態でなければ、EAP-TLS の Microsoft 実装は機能しません。 エンタープライズのルート CA 構成ではなく、このようなスタンドアロンのルート CA 構成を使用することには相応のセキュリティ上の理由があり、通常、すべての PKI 実装へのアプローチで推奨される方法です。

このようなアプローチはリソースの無駄のように思われるため、ネットワークに決して接続しないルート CA を作成するために使用されたハードウェアの、少なくとも一部を、企業が再展開できる手法がいくつかあります。 これらの提案のいくつかは、次のようなものです。

インターネット認証

インターネット認証サービス (IAS) は RADIUS およびプロキシ サーバーの Microsoft 実装です。 IAS は、さまざまな種類のネットワーク接続に対して、集中化認証、承認、およびアカウンティングを実行します。 IAS は、他の RADIUS サーバーと共に用いることで認証と承認の用途で使用でき、また、 ルーティングとリモート アクセス サーバーのような他の VPN サーバーや、ワイヤレス アクセス ポイントのような他のネットワーク インフラストラクチャと共に用いることで、アカウンティング フォワーダとして使用することができます。

IAS インフラストラクチャの導入計画を検討する際に、IAS ベースの RADIUS インフラストラクチャの価値が、単一の分離されたネットワークにアクセスを提供する目的ではないため、利点を得られるということが重要です。 つまり、IAS インフラストラクチャを計画および導入する際には、Active Directory のような集中アカウント データベースなどの、ネットワーク アクセス管理の集中サービスを使用するかどうかを決める必要があります。また、現在と将来の企業のニーズを満たすかどうかも検討する必要があります。 結局、IAS インフラストラクチャの導入は、個々に進めるのではなく、戦略的に行う必要があるということです。

この文書では、セキュリティ保護されたワイヤレス インフラストラクチャに関連する、IAS の計画と導入についてのみ説明します。 IAS の計画と展開の際の他の選択肢については、「Internet Authentication Service」(英語) ホーム ページの「Deployment Resources」のセクションを参照してください。

既存の RADIUS 実装

このソリューションは、既存の RADIUS サーバー実装と統合できますが、この文書ではそのプロセスについては説明しません。 ほとんどの場合、この文書に記載されている機能を利用するために IAS を使用するほうが利点があります。 この目的を達成するためには、コアとなる RADIUS サーバーとして使用するために、古いプラットフォームを Windows 2003 Server にアップグレードするか、既存の RADIUS サーバーを、新しい Windows Server 2003 ベースの RADIUS サーバーへのプロキシ RADIUS トラフィックに変更することも可能です。

既存の RADIUS インフラストラクチャを Windows Server 2003 ベースの RADIUS サーバーに移行する場合の詳細な計画のガイドについては、「IAS Technical Reference 」(英語) ページを参照してください。またはMicrosoft Account Representative または該当する Microsoft Consulting Services の担当者に問い合わせてください。

RADIUS サーバーのフェールオーバーと負荷分散

RADIUS は、すべての 802.1X ワイヤレス セキュリティ ソリューションの重要なコンポーネントであるため、ワイヤレス ネットワークの可用性は、RADIUS サーバーの可用性により異なります。 このため、ワイヤレス ネットワークをサポートする RADIUS ソリューションは、有線のネットワークと同等の可用性とパフォーマンスを提供するために、高い信頼性、応答性、および冗長性が必要になります。こうした理由から、IAS を既存のドメイン コントローラにインストールすることが一般的に推奨されます。

負荷分散の戦略を決定する前に、802.1X はワイヤレス アクセス ポイントと RADIUS サーバー間で、RADIUS (EAP-RADIUS) 内に EAP を 実装することを理解することが重要です。 RADIUS は UDP を使用しますが、EAP は RADIUS 内でトンネルされるセッション指向のプロトコルです。 これは、1 つの認証操作から成る複数の EAP-RADIUS パケットは、特定の認証が失敗した、同じ RADIUS サーバーまたは他のサーバーに戻る必要があることを意味します。

ワイヤレス ネットワークでは、IAS サーバーの負荷分散とフェールオーバーに対しては 2 つのアプローチがあります。 1 つは、RADIUS サーバー グループと IAS プロキシ サーバーを共に使用する方法で、もう 1 つは、ワイヤレス アクセス ポイントのハードウェア設定を使用して、プライマリおよびセカンダリ RADIUS サーバーを構成する方法です。 次の表にそれぞれのアプローチの長所と短所を示します。

表 4. EAP の RADIUS フェールオーバーと負荷分散

規模の大きい企業では、RADIUS サーバーの負荷を分散するために、RADIUS サーバー グループに構成した RADIUS プロキシを使用することを検討してください。 これにより、重み値および優先順位に加え、RADIUS トラフィックのタイプや RADIUS 属性など、変更可能な多数の構成項目に基づいてトラフィックの分散が可能になり、柔軟性がある程度確保できます。 このタイプのアーキテクチャでは、認証要求の応答で高い柔軟性とスケーラビリティを実現でき、管理上の手間も減ります。

ワイヤレス アクセス ポイントに組み込まれた RADIUS サーバーの簡易なフェールオーバー機能は、ほとんどの組織にとって十分なレベルの復元性を提供しますが、プロキシ サーバー グループを使用した場合ほど高度なソリューションではありません。 ただし、このアーキテクチャから RADIUS プロキシ サーバーベースのフェールオーバーと負荷分散のソリューションへの移行は比較的簡単なため、このソリューションでは、規模が拡大した場合でも対応できます。 ワイヤレスの使用範囲が狭い場合や限られている場合のみを考慮すればよい組織では、このソリューションの実装は簡単で効果的ですが、ワイヤレス ネットワークの規模が広がり複雑になるにつれて、管理と実装の作業は多くなります。これは、各デバイスで入念な監視を行い、すべてのサーバー間で効果的な負荷分散を維持できるようにする必要があるためです。

図 3. RADIUS WLAN のフェールオーバーと負荷分散方法
画像を画面全体に表示

ワイヤレス アクセス ポイントの組み込み機能を使用した負荷分散では、図 3 に示すように、各拠点のワイヤレス アクセス ポイントの約半分で、通常はプライマリ RADIUS サーバーを使用し、障害発生時には別の RADIUS サーバーをセカンダリとして使用するように構成します。残りのワイヤレス アクセス ポイントでは、プライマリとセカンダリの割り当てを逆にします。オーバーヘッドが明らかに高くなる場合は、一部のアクセス ポイントにかかる負荷が他のアクセス ポイントよりも高くなっているため、効果的なレベルの負荷分散を実現して維持するには、十分な監視が必要になります。

RADIUS のログ要件

IAS サーバーでは、2 つのタイプのオプションのイベントをログに記録できます。

認証イベントは、WLAN へのアクセスを試行したときにデバイスとユーザーによって生成され、IAS によって Windows Server 2003 システム イベント ログに記録されます。 認証イベントは、トラブルシューティングに役に立つだけでなく、セキュリティ監査と侵入検出システムの一部としても役に立ちます。 最初の段階では、成功したイベントと失敗したイベントの両方に対して認証イベントを有効にする必要がありますが、最終的には、フィルタ処理して必要なイベントのみを有効にしてください。これは、システム イベント ログのオーバーフローを防止するためです。 RADIUS 認証要求のログ記録を使用して有効にすると、これらのイベントをセキュリティ用に使用する必要がなくなります。

集中 IAS サーバーまたは分散 IAS サーバー

中規模企業の多くは、遠隔地にある施設に対して高速で復元性の高い WAN 接続を備えています。また、RADIUS トラフィックは WAN リンクおよびダイヤルアップ接続で機能するように設計されているため、帯域幅をあまり使用しません。このため、このような中規模の企業では、設計の開始点として集中 IAS サーバー アーキテクチャを検討すべきです。 冗長性と高速の WAN を備えた基盤となるインフラストラクチャが既に構築されている場合、集中型の設計は費用対効果も高くなります。

ただし、混雑した接続で 802.1X 認証の完了を待っている間に、DHCP トラフィックなどの他の通信がタイムアウトする可能性があるため、このような場合は、既存の WAN リンクの現在の容量を注意して分析し、集中型の設計が最適かどうかを判断する必要があります。 集中 IAS アーキテクチャの使用を検討する場合は、クライアント接続以外についても考慮する必要があります。これは、ネットワークのアクセス権とグループ メンバシップを特定する間にタイムアウトになるのを回避するために、IAS サーバーとドメイン コントローラ間の通信に堅牢なネットワーク接続が必要になるためです。

一部の企業では、冗長性のある高帯域の WAN 接続と高度なネットワーク装置に伴う費用のため、集中型のアーキテクチャを利用できない場合があります。 このような企業で特に非集中のサーバー インフラストラクチャが既に構築されている場合は、分散型の IAS 設計を選択します。

次の図に示すように、集中型と分散型の 2 つを混在させる方法もあります。この方法では、このインフラストラクチャをサポートできるサイトで、IAS サーバーの戦略的な配置が可能になり、基本的なサーバー ベースを持たない支社に対して、配置したサーバーから認証を行うことができます。

図 4. 混在型 IAS WLAN インフラストラクチャのアプローチ
画像を画面全体に表示

このガイドでは、ローカルおよびリモートの要求を処理できる 2 つの RADIUS サーバーを備えた大規模なハブ オフィスを構成するためのガイダンスと、必要に応じて単一サーバーを備えた支社オフィスを持つ大規模な本社オフィスを構成するためのガイダンスを提供して、集中型、分散型、混在型の 3 つの方法すべてについて説明します。

注   サーバー インフラストラクチャを備えていない支社オフィスでは、WLAN へのアクセスは WAN の可用性に依存します。

IAS サーバーの配置および配置に関する考慮事項

WLAN サービスへのアクセシビリティを維持するには、独立した Active Directory フォレストごとに 2 つ以上の RADIUS サーバーが必要になります。 このような基本的な要件以外にも、必要なサーバーの数の特定や、それらのサーバーが他のサーバー機能と配列が可能であるかどうかの確認など、考慮する事項がいくつかあります。

一般的に、IAS サーバーの配置はドメイン コントローラの配置の後に行う必要があります。つまり、あるオフィスが別のオフィスとの高速の WAN リンクを使用して、既にドメイン サービスを利用している場合は、リモート RADIUS サーバーも使用する必要があります。 ドメイン コントローラを既に持つ大規模なオフィスでは、使用可能な WAN リンクに応じて、フェールオーバー機能を持つ RADIUS サーバーを別の場所に 1 台以上配置する必要があります。 ローカル ユーザー認証の信頼性と、過剰なトラフィックが発生した場合の認証に使用されるドメイン コントローラの配置を考慮して、RADIUS サーバーの配置を計画する場合は、WAN リンクの容量を注意して評価する必要があります。 また、パフォーマンス向上のために、RADIUS サーバーは、フォレストのルート ドメインに配置する必要があります。これにより、Kerberos の動作が最適化されます。

また、一部の小規模のオフィスでサーバー ハードウェアを追加するスペースまたはインフラストラクチャがなく、遠隔地に追加のサーバーを配置する必要がある場合に、それが可能かどうかも検討する必要があります。 このような問題に対応するには、IAS サーバーを Active Directory ドメイン コントローラと同じ場所に配置します。 次の表に、このアプローチの長所と短所を示します。

表 5. IAS とドメイン コントローラを同じ場所に配置する場合の考慮事項

この表に示すように、多くの組織は、各自のサーバーとドメイン コントローラ機能の分離に関して、既存のポリシーを持っていますが、この理由は、組織のサーバーがネットワーク環境に不可欠であるためです。 また、IAS サービスをドメイン コントローラ上に配置することに伴い、セキュリティ上の問題も発生します。この問題は、両方の管理グループ間の作業を分離する場合に発生しますが、これは、IAS 管理は本来ローカルの Windows 管理者グループ機能と切り離されていないためです。 このような問題は、IAS サービスが同じ場所に配置可能かどうかを決定する前に検討する必要があります。しかしこの点を除けば、同じ場所に配置することにはパフォーマンス上の利点があります。コスト上の利点についてはいうまでもなく、遠隔地であればなおさらのことです。

支社オフィスにサーバー ハードウェアを追加することに伴うコスト上の問題を相殺するには、支社オフィスにある既存のドメイン コントローラを IAS サーバーとして直接使用するか、仮想マシンを既存のドメイン コントローラに追加して使用します。

サーバーの負荷とハードウェア要件を見積もる

潜在的なサーバーの負荷を評価および計画する場合は、最悪のシナリオを想定して行います。 特に、フェールオーバー イベント中の短時間に、すべての WAN ユーザーが認証を実行する必要が生じた場合を想定します。 当然、最適な設計は、復元に必要な最低限の数のサーバーを展開し、同時に将来の成長に備えてスペースを確保しておくことです。

IAS サーバーの負荷と要件を計画する場合、次の情報を考慮する必要があります。

EAP-TLS 方式の証明書サービスを持つ WPA または WPA2 を使用するこのソリューションで重要なのは、WEP とは異なり、WPA と WPA2 ではセッション キー更新のための強制的な再認証の必要性が減り、これにより、この処理に伴うオーバーヘッドを軽減できることです。 また、EAP-TLS では、初回の認証時に CPU を消費する公開キー操作が必要になりますが、その後のログオンでは、高速再接続用にキャッシュされた資格情報を使用します。キャッシュされた資格情報の有効期限は、既定で 8 時間です。 クライアントがアクセスポイント間を移動すると、再認証が行われることも重要な点です。再認証は、ある RADIUS サーバーに対して認証を行うワイヤレス アクセス ポイントから、別の認証サーバーに対して認証を行うワイヤレス アクセス ポイントに移動した場合に行われます。この処理は、認証サーバーごとに 1 回のみ実行され、ユーザーには透過的です。

IAS サーバーの容量を見積もる場合、負荷の目安として 1 秒あたりの認証数を使用すると便利です。 次の表は、Intel Pentium 4 2 GHz CPU を搭載し、Active Directory 機能を持つ IAS サーバーの 1 秒あたりの認証の容量を概算で示しています。

表 6. 1 秒あたりの認証

注   この表の情報は、処理能力計画用のガイドラインの 1 つとして使用可能な概算値であると考えてください。

この表では、フェールオーバーまたは要求イベントのピーク時に、このサーバーで 1 秒あたり 36 の新しい認証を処理できることを示しています。したがって、100 ユーザーの認証に約 3 秒かかることになります。

また、ディスクベースのログ記録による認証時間への影響も考慮する必要があります。 認証処理の追跡に詳細なログ記録を使用する場合、ディスク サブシステムの処理能力が低いと、認証時間に影響が出る可能性があります。 各 IAS サーバーで適切な応答時間を維持するには、処理能力の高いディスク サブシステムを使用してください。

WPA 802.11 認証

ここまでは、証明書インフラストラクチャと RADIUS を使用して、ユーザーとデバイスの認証でワイヤレス通信を保護することについて説明しましたが、ここからは、ワイヤレス デバイス間で転送されるデータが、調査や他のリスクからどのように保護されるかについて説明します。

有線通信で特にポート セキュリティが使用されている場合、ケーブルやパッチ パネルへの侵入には非常に手間がかかりますが、ワイヤレス通信ではデータが無線で転送されるため、データの傍受が簡単です。このため、ワイヤレス通信の使用は、有線通信に比べて安全性が低いと常に考えられてきました。 ワイヤレス通信は本来安全でないため、盗聴者による傍受で情報が簡単に読み取られないようにするには、データを暗号化する必要があります。

ワイヤレス暗号化用の初期の WEP 仕様は、暗号化に関して不十分であったため、802.11i 仕様 (当時は保留中) の暫定仕様およびサブセットとして、WPA が策定されました。 最終的に、現在の公式な 802.11i 標準の完全な実装として、WPA2 のドラフト案が策定されました。 WPA と WPA2 では、主に暗号化の方法が異なります。WPA は TKIP を使用するのに対し、WPA2 ではより安全な AES-CCMP 標準を使用します。

このガイドで説明するソリューションでは、WEP または WPA によるセキュリティ保護が可能ですが、ワイヤレス通信で最高のセキュリティと信頼性を実現するには、WPA2 を使用することをお勧めします。WPA2 の使用は、セキュリティ保護を管理上の観点から行う場合に適しています。 それ以外の場合は、このガイドで説明するソリューションと WPA で、十分なレベルのセキュリティを実現できます。

クライアントの要件

このガイドで説明しているソリューションは、Windows XP Professional SP2 または Windows XP Tablet Edition を使用するワイヤレス対応のクライアント コンピュータ用に設計されています。 これらのバージョンの Windows オペレーティング システムは、組み込み 802.1X と WLAN をサポートしています。 また、Windows XP ベースのクライアントには証明書の自動登録と更新機能があり、証明書インフラストラクチャと併用した場合、このような証明書ベースのソリューションで特に費用対効果が上がります。

Windows XP SP2 では、WPA の組み込みサポートが提供されますが、Windows XP SP2 ベースのクライアントで IEEE 802.11i WPA2 を有効にするには、追加の更新プログラムをインストールする必要があります。 追加の更新プログラムとダウンロードの手順の詳細については、「Service Pack 2 で Windows XP のワイヤレス提供サービス情報要素 (WPS IE) アップデートが入手できる Wi-Fi 保護アクセス 2 (WPA2)」を参照してください。

サーバー インフラストラクチャの要件

既に説明したように、このソリューションでは、Windows Server 2003 の証明書サービスと IAS コンポーネントを使用する必要があります。このソリューションには、Windows Server 2003 に実装される 802.1X WLAN 固有の証明書サービスと IAS に対応した組み込み機能がいくつか用意されています。 IAS と 証明書サービスは Windows の古いバージョンでも展開できますが、このガイドは、Windows Server 2003 Active Directory 環境を念頭に作成されています。

ワイヤレス アクセス ポイントの要件

このガイドでは、WLAN ソリューションのセキュリティ要素について重点的に説明します。このため、ワイヤレス アクセス ポイント ハードウェアの展開、配置、またはチャネルの選択については扱いません。 個々のワイヤレス アクセス ポイント ハードウェアの問題、構成、または配置の詳細については、ベンダの説明書または Web サイトを参照してください。

このソリューションでは、IEEE 802.11i WPA2 認証の組み込みフェールオーバー/フェールバック機能を搭載したワイヤレス アクセス ポイント ハードウェアを使用した場合に、最も高いセキュリティ保護が実現します。 このガイダンスの内容をあまり変更せずに、WPA 認証の機器を使用してこのソリューションを実装し、非常に高いレベルのセキュリティを維持することも可能です。 WEP 標準を使用してこのソリューションを実装することも可能ですが、このガイドでは推奨およびサポートしていません。

展開と管理

ここでは、このソリューションに必要なサーバーとサービスのインストールと構成に関する手順を段階的に説明しますが、Windows Server 2003 や Windows XP Professional などのオペレーティング システムに必要なインストールと構成の実際の手順については説明しません。 ほとんどの企業が構築プロセスと強化指針を確立していることを前提としています。

証明書

このセクションには、PKI のインストールに関する詳細なガイダンスが記載されていますが、サーバー構築と強化プロセスについては、標準化されたプロセスが既に確立されていることが前提になっているため、これらの手順についての詳細は記載されていません。

また、このソリューションのこのフェーズの前に、CA サーバーが基本イメージで構成済みであり、標準の組織プロセスごとに強化されていることも前提としています。

注   ルート CA はネットワークに接続されないため、この例外に対応するためには、ネットワーク接続を伴う組織サーバーの構築と強化プロセスの手順を変更してください。

ユーザー定義の構成情報の必要条件

次の表に、このガイドの後半に記載されているソリューションの展開を開始する前に、収集または決定する必要がある組織固有のパラメータの一覧を示します。 このガイド全般にわたって、設定内容の記述に使用するプレースホルダが用意されています。設定内容は、設定名と同様の形式を使用します。 たとえば、Active Directory フォレストのルート ドメインの DNS 名は、"DomainName.com" のように示されます。斜体で表示されている値は、このプロセスで収集される組織固有の情報に置き換えてください。

表 7. ユーザー定義の構成情報

ソリューションで規定されている構成項目の必要条件

次の表に示されている設定は、別の設定が適切である場合を除いて、変更する必要はありません。 この表に記載されている設定を変更する前に、これらのパラメータの変更による影響と依存関係ついて、十分に把握しておく必要があります。

表 8. ソリューションで規定されている構成項目