今回は、企業で無線LANを導入する場合に重視すべきポイントを解説しよう。大きく3つある。

企業向け無線LANで重視すべきポイント
企業向け無線LANで重視すべきポイント
[画像のクリックで拡大表示]

 1つめのポイントはセキュリティーだ。例えば有線LANを流れるデータを盗聴するには、攻撃者はオフィスに侵入し、LANケーブルに盗聴用の機器を仕掛ける必要がある。しかし無線LANでは、オフィス外にも電波が届くので、オフィスに侵入しなくても盗聴が可能だ。その分、セキュリティーに配慮する必要がある。

 2つめは無線LANアクセスポイント(AP)の管理効率である。企業の規模にもよるが、企業ネットワークでは多数のAPを管理する必要がある。ネットワークをはじめとしたITインフラの運用に、常に潤沢な人的リソースを割ける企業は多くない。最低限の人員でも効率的に管理できる仕組みが必要だ。

 3つめは通信品質だ。ネットワークが安定して快適に使えないと、業務の遂行に支障を来しかねない。通信が途切れ途切れになれば、業務サーバーやSaaSの情報を正しく更新できないこともあるだろう。もし業務が停止するようなことがあれば、ビジネス上の重大な損失を引き起こす可能性さえある。

電子証明書でお互いを認証

 以上の3つのポイントについて、具体的に解説しよう。

 まずセキュリティーは認証の強化で対応する。例えば機器認証を導入して特定の機器のみAPに接続できるようにしたり、ユーザー認証で利用者を限定したりする。

 企業の無線LANでは、IEEE 802.1Xという規格に基づく認証が求められる。無線LANではWPA2/WPA3エンタープライズとして802.1Xの利用が規定されているからだ。802.1Xでは端末がAPに接続する際に認証サーバーを利用する。

 802.1Xにはよく使われる2種類の認証方式がある。1つはEAP-TLSだ。EAP-TLSでは、認証局が端末と認証サーバーに発行した電子証明書(クライアント証明書およびサーバー証明書)を使い、互いの正当性を確かめてから通信を開始する。双方が電子証明書を使うため安全性が高い。

EAP-TLSによる認証の流れ
EAP-TLSによる認証の流れ
[画像のクリックで拡大表示]

 半面、電子証明書の配布と管理に手間がかかる。ディレクトリーサービスのグループポリシーやMDMなどを使って配布するケースが多い。

 ネットワンシステムズのビジネス開発本部第1応用技術部ネットワークチームの田中 政満氏は「IT担当部署に端末を集めて電子証明書をインストールする方法もある。だが対象となる端末が多いと、現実的な手段ではない」と指摘する。

 マニュアルを配布し利用者自身に電子証明書をインストールしてもらう方法も考えられる。だがこれには、設定ミスが発生する可能性が高いという問題がある。

 よく使われるもう1つの認証方式がPEAPだ。PEAPは端末が認証サーバーの正当性を確認する際に電子証明書を使う。一方、認証サーバーが端末の正当性を確かめる際は、IDとパスワードを使う。

 このため端末に電子証明書を配布する必要がない。Active Directoryなどのディレクトリーサービスと連携すれば、運用負荷はEAP-TLSより低い。

半面、IDとパスワードが分かればどの端末からも接続できてしまう。安全性を重視するのであれば、EAP-TLSを採用するのが望ましい。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。