証明書の発行と配布の実際

無線LANのセキュリティを考えるとき、不正アクセス対策では、“なりすまし”防止や不正端末の排除の観点から、サーバにもクライアントにも電子証明書を利用するEAP-TLSが最適な認証方式だろう。

一般的にハードルが高いと思われがちな認証局（CA）の設計構築については、前回の記事でその様子を紹介したように、ソリトンシステムズのNetAttest EPSを用いることで手軽に構築することができる。ただ、証明書による認証環境を実現するためには、設計構築の難解さに加えて、証明書をクライアント端末に配布する際に「セキュリティと効率性をいかに両立させるのか？」という課題がある。証明書を意図した端末のみに確実に展開する必要があるが、その対象が多くなるほど管理者に大きな負荷がかることになるからだ。

この課題についても、NetAttest EPSで解消することができる。オプション製品であるNetAttest EPS-apを組み合わせることで、管理者が1台1台のクライアント端末に対して作業しなくても、ユーザーがネットワークを介して証明書の申請し、安全に証明書を取得できるようになる。

今回は、このNetAttest EPSとNetAttest EPS-apを組み合わせた証明書の管理の仕組みを主に解説していきたい。

証明書の配布方法の比較

NetAttest EPSのみを用いた場合とNetAttest EPS-apを組み合わせた場合の証明書の配布方法を比較する。

NetAttest EPSのみでの証明書の発行と配布

まずは、NetAttestのみを利用した場合だ。NetAttest EPSはRADIUSサーバとして動作するだけではなく、認証に用いる証明書を自らが発行するプライベートCAを有している。NetAttest EPSのみでの証明書の発行については、前回の記事のなかでも簡単に紹介している。証明書を利用したいユーザーのアカウントをNetAttest EPSに登録した後、管理画面のメニュー[ユーザー]→[ユーザー一覧]から、発行対象のユーザーの[発行]ボタンをクリックする。そして、証明書の有効期間などを指定して発行すれば、証明書ファイルがダウンロードされる。難解になりがちなPKI(公開鍵暗号基盤)の知識を要求することなく、とても平易な操作で完了する。

NetAttest EPSのみを利用したケース。証明書を発行し、管理者側で端末に配布する手順についてまとめると、以下のようになる。

表1　 NetAttest EPSのみでの証明書発行のおおまかな流れ

「手順2」でダウンロードした証明書ファイルの配布は、セキュリティの観点からは、望ましくないデバイスへの導入や複製を防ぐためにも、管理者が手動で行うことが望ましい。

しかしながら、配布対象とするクライアントデバイスの台数が多い場合、1台1台に証明書ファイルを展開する負荷が大きく現実的ではないケースもあるだろう。

このような場合、NetAttest EPSでは、Windows端末に対して、ユーザー側からの証明書申請・取得も可能にする「拡張CA」機能も提供している。本機能では証明書ファイルを取り扱うことなく、ユーザーが申請を行った端末にのみ証明書を配布できる。

NetAttest EPS + NetAttest EPS-apでの証明書の発行と配布

続いて、NetAttest EPSとNetAttest EPS-apを組み合わせた場合の証明書の発行と配布について見ていこう。ユーザーの証明書の発行申請は、NetAttest EPS-apに対して行うことになる。先に説明した「拡張CA」機能が、Windows端末に限定した機能であるのに対して、NetAttest EPS-apは Windows、Mac、iOS、Android端末からの発行申請に対応する。iOSのデバイスであれば標準WebブラウザであるSafariで発行申請を、iOS以外のデバイスではKey Managerという専用アプリケーションで発行申請を行う。

発行申請が承認された後の証明書の生成・配布・導入の処理はNetAttest EPSとEPS-apが連携し半ば自動的に行ってくれる。

具体的な処理の手順は以下の通りである。

まず、NetAttest EPS-apが承認されたクライアント端末に対してプロファイル情報を送付する。この中には証明書の発行と取得に必要な情報が含まれており、受け取ったクライアント端末側では、自身で鍵ペア（公開鍵・秘密鍵）を生成した後、NetAttest EPSに対して証明書発行要求 (CSR：Certificate Signing Request)を送信する。CSRを受取ったNetAttest EPSが公開鍵証明書を発行し、最後にクライアント端末がネットワーク経由で取込み、展開が完了する。 なお、NetAttest EPS-apでは、証明書関連の情報のほかに、Wi-Fi設定などを指定することもできるため、証明書の展開が完了すると同時に社内ネットワークに接続させることも可能である。

NetAttest EPSとNetAttest EPS-apを組合せた証明書の発行手順についてまとめると、以下のようになる。

表2　NetAttest EPS + NetAttest EPS-apでの証明書発行のおおまかな流れ

NetAttest EPS-apを組み合わせることで、NetAttest EPSのみの場合に比べて、管理者・ユーザー共に作業量が大きく軽減されていることがわかるだろう。クライアント端末が増えれば増えるほど作業量の違いは著しくなる。

管理者は1台1台の端末に対して導入作業を行う必要は無く、NetAttest EPS-apの管理画面上から発行申請を承認すればよい。またこの承認プロセスは、予め承認したいクライアント端末の情報をリスト登録しておくことで、自動化することもできる。

同時に、NetAttest EPS-apは、管理者だけでなくユーザー側にもメリットの大きい仕組みを提供している。申請画面・ツールに表示される指示に従い操作していけばよく、この中で難解なPKIの知識や面倒な操作を求められることはない。また、ユーザー側で無線LANの接続設定などを省略してくれることも、日頃忙しいユーザーにとっては嬉しいポイントだろう。

ここまで説明してきたとおり、NetAttest EPS-apを組み合わせることで、管理者にとってもユーザーにとっても証明書の利用についての作業負荷を大幅に削減できるようになるのだ。

証明書配布の操作の流れ

ここからは、NetAttest EPS-apを組み合わせた証明書配布についての操作の流れを紹介する。操作の流れは以下のようになる。

表3　NetAttest EPS + NetAttest EPS-apでの証明書配布のおおまかな流れ

以降、主なスクリーンショットを交えて操作の流れをみていこう。

1. クライアントデバイスにKey Managerをインストール(ユーザー)

NetAttest EPS-apでの証明書配布を行うためには、クライアントデバイスに専用アプリケーションのKey Managerをインストールする。 なお、iOSデバイスはKey Managerをインストールせず標準のWebブラウザSafariを利用した。

2. 証明書の発行申請(ユーザー)

証明書の発行申請はユーザーが操作することになる。NetAttest EPS-apに接続し、連絡用のメールアドレス等の情報を入力した上で申請を行う。以下は、各デバイスでの証明書発行申請を行うための操作をスクリーンショットしたものだ。

Windows
申請者は、NetAttest EPS-apが設置してあるIPアドレスを図のように入力し、ユーザーID、パスワードを入力。[接続]を押すと、証明書申請画面へと変わるので、必要な項目を入力して[申請開始]を押せば良い。

Android
Androidでも同様にIPアドレスを入力して接続すると、画面が切り替わるのでIDとパスワードを入力し、[ユーザー認証]ボタンを押す。

[証明書申請]を押すと、画面が変わるのでメールアドレスや承認者へのメモを入力して[申請する]ボタンを押す

iOS
iOSでは、Safariから直接NetAttest EPS-apのIPアドレスを入力した。ユーザーID/パスワードを入力し、必要事項を入力して[申請ボタン]を押す

3. 発行申請の承認(管理者)

ユーザーからの証明書発行申請に対して、管理者はNetAttest EPS-ap上で承認する。管理者はWebブラウザでNetAttest EPS-apにアクセスし、管理者用アカウントでログインする。申請一覧から承認したい申請の[詳細]から承認すればよい。以下は、管理者が発行申請を承認する画面のスクリーンショットだ。

承認者には申請一覧が表示される。ユーザーごとに[詳細]ボタンで申請内容が確認できる。プロファイルを選択し、[承認]を押すと申請が承認される。

4. デバイス登録(ユーザー)

管理者が証明書の発行申請を承認すると、あとは、ユーザー側でデバイス登録を行う。デバイス登録を行うことで、ユーザー側のクライアント端末にプロファイル情報やNetAttest EPSの情報が送信される。そして、NetAttest EPSから発行された証明書をダウンロードできる。 以下は、主なデバイス登録画面のスクリーンショットになる。

Windows
承認されたユーザー側では、デバイス登録画面で[デバイス登録開始]を押すことで証明書のインストールが行われる。申請を取下げることもできる。

Android
Androidでの証明書デバイス登録画面。基本的な操作はWindowsと同様だ。

iOS
iOS画面。同様にデバイス登録を押すことで、プロファイルと証明書のインストールが完了する。

以上が、証明書配布の簡単な操作の流れだ。クライアントデバイスによってインタフェースが異なってしまうが、NetAttest EPS-apを組み合わせることで、管理者にとってもユーザーにとっても証明書発行から配布を効率よく行うことができる。

まとめ

3回(第1回 無線LANセキュリティの概要 / 第2回無線LANの認証環境を構築する)にわたって、無線LANのセキュリティを確保するためにIEEE 802.1X認証環境の構築について紹介してきたので、全体を総括したい。

＜企業内の無線LANには強固な暗号と認証が欠かせない＞
企業で利用する無線LANのセキュリティを考える上では、AESによる暗号化は必須だ。それに加えて、無線LANに接続するクライアントデバイスやユーザーを認証するためにIEEE 802.1Xの導入が望ましい。より強固な認証を行うためには、サーバとクライアントそれぞれの認証にデジタル証明書を用いるEAP-TLSが最適だ。

IEEE 802.1Xの認証環境を構築するには、RADIUSサーバが必要になる。さらに証明書を発行するためにプライベートCAも必要だ。しかし、企業内にRADIUSサーバやプライベートCAをあらたに構築するのはハードルが高い。そこで、ソリトンシステムズのNetAttest ESPを導入することでEAP-TLSのIEEE 802.1X認証環境を手軽に構築することができるのだ。

NetAttest EPSは、IEEE 802.1X認証環境を構築するためのアプライアンス製品でRADIUSサーバの機能はもちろんプライベートCAとして証明書の発行や管理も可能になる。

＜証明書の配布は大きな課題＞
EAP-TLSではクライアントデバイス用の証明書の配布についても考えておくことが重要だ。特にクライアントが多くなればなるほど、どのようにしてそれらのデバイスに証明書を配布するかは大きな課題になる。

NetAttest EPSに加えてNetAttest EPS-apを組み合わせると、証明書の配布を大幅に効率よくできる。管理者の介在を最小限にして、ユーザーがクライアントデバイスの証明書が必要になれば、オンデマンドで発行申請をする。そして、発行された証明書を用いて、EAP-TLSの強固な認証をすぐに利用できるようになる。

IEEE 802.1X認証は無線LANの認証だけでなく、IPSecなどインターネットVPNの認証も可能だ。IEEE 802.1X認証をこれから導入しようとしているシステム管理者にとっては、ソリトンシステムズのNetAttest EPSおよびNetAttest EPS-apは、有力な選択肢になるだろうまた、すでにIEEE 802.1X認証を導入している場合でも、NetAttest EPSおよびNetAttest EPS-apに置き換えることで、より管理しやすいセキュアな認証環境にできるようになるだろう。

本稿で使用している製品

（マイナビニュース広告企画 ： 提供 株式会社ソリトンシステムズ）

[PR]提供：ソリトンシステムズ