大企業や中堅企業では、無線LANや有線LANの安全性を保つためにIEEE802.1X認証を行うことが常識となっている。非認証のクライアントからの通信をすべて遮断し、認証されたユーザーだけに通信を許可できるからだ。

　だが、中小企業でこのIEEE802.1X認証を行っているのは少数派だ。それなりのコストと手間が掛かるからである。

オススメはEAP-TLS方式だが　必要な要素が多く敷居が高い

ヤマハ 楽器・音響事業本部 音響事業統括部 SN事業推進部 国内営業グループ 主幹 平野尚志氏（左）と、同グループ 主事の細江誠一郎氏。平野氏が手にするのが「WLX402」。細江氏が持つのが「SWX2300シリーズ」

　IEEE802.1X認証を行うには、サプリカントとオーセンティケーター、認証サーバーの3つの要素が必要となる。

　サプリカントとは認証を行うためのクライアントソフトのことで、WindowsやMac OSなどのOSにはこの機能が備わっている。オーセンティケーターとは、IEEE802.1Xに対応した無線LANアクセスポイント（以下、無線AP）やレイヤ2スイッチのこと。サプリカントからの認証要求を認証サーバーへ中継する役割を担う。認証サーバーにはRADIUSサーバーが用いられる。

　この3要素の間で使われるプロトコルがEAPで、これにはいくつかの方式がある。「なかでも、EAP-TLS方式はデジタル証明書を発行して認証するものであり、非常に強固なセキュリティーを確保できるためお勧めしたい」と語るのは、ヤマハの楽器・音響事業本部 音響事業統括部 SN事業推進部 国内営業グループ 主幹の平野尚志氏だ。

　ただし、EAP-TLS方式を採用するには、デジタル証明書を発行する認証局（CA）が必要となるため、その分、導入の敷居は高くなる。これらすべてを用意するためのコストは、中小企業にとってかなりの負担だ。

　同グループ主事の細江誠一郎氏は「例えば、RADIUSサーバーの初期導入費用は50万円以上と言われており、中小企業にとって決して安くない買い物になるのが実情だ」と説明する。

　そのため、こう考えている中小企業やLAN工事事業者は少なくない。デジタル証明書による認証は高嶺の花だと。

　だが、諦めるのは早計だ。「ヤマハには、こうした先入観を払拭できる製品がある」と平野氏。それが、無線AP「WLX402」と、「SWX2300シリーズ」の併用だ。

RADIUSサーバー搭載の無線AP　無線LANの安全性を高める

　WLX402は、RADIUSサーバーとプライベートCAを搭載している（図表1）。つまり、これらを別途用意する必要がなく、WLX402さえあれば、無線LANにおけるデジタル証明書による認証が可能になるのだ。2000ユーザーまでの証明書発効に対応しているため、例えば小中学校などの教育施設では先生と生徒全員のタブレット端末の認証を、1台のWLX402で十分カバーできる。

図表1　「WLX402」と「SWX2300シリーズ」を用いたIEEE802.1X（EAP-TLS方式）認証システムの概要

　しかも、初めてRADIUSサーバーを扱う場合でも、無線APの操作さえわかれば特に難しいことはないという。「例えば、ユーザーがデジタル証明書を紛失したときでも、無線APの管理者が簡単に再発効できる。証明書の無効化、有効化も管理者が容易に行える」（平野氏）。

　WLX402のRADIUSサーバーには、初めて利用するユーザーに必要十分な機能が装備されている。もちろん、RADIUSサーバー専用機の方が豊富な機能を備えていることは間違いないが、細江氏は、“入門機”的な位置づけでWLX402を採用することを勧める。

　「WLX402でRADIUSサーバーの使い方や便利さを知ってもらい、その上でより豊富な機能が必要だと感じたら専用機導入のご検討を。WLX402は引き続き無線APとして専用機と外部連携できるため、機器の無駄無くステップアップできる」

　WLX402の希望小売価格は9万9800円（税別）。一般的な無線APと比べても決して高くない。無線電波を可視化する「無線の見える化ツール」も装備していることを考えれば、コストパフォーマンスの高さは群を抜いているといえる。

802.1X認証対応のL2スイッチ　無線APとの連携で有線LAN守る

　このように、WLX402を導入すれば無線LANの安全性を高めることができる。だが、多くの企業は有線LANも併用しており、無線LANのセキュリティーだけを強化しても片手落ちになってしまう。

　「有線LANのセキュリティーを向上させる際、3つのステップでレベルアップすることが多い」と平野氏は話す。

　ステップ1は、スイッチの空きポートを無効化して、無断使用を防止すること。ステップ2は、使用中のLANケーブルを抜いて、勝手に他のネットワーク機器を接続させるのを避けること。これにはMACアドレス認証を用いることで対応できる。

　そしてステップ3が、MACアドレスを偽装されても勝手に接続させないことだ。ここでは、デジタル証明書による認証が効果を発揮する。

　だが、先にも述べた通り、デジタル証明書による認証を実行するにはRADIUSサーバー等が必要で、かつ設定や運用管理の手間も掛かる。

　こうした課題を解決するのが、L2スイッチのSWX2300シリーズである。IEEE802.1X認証に対応しており、WLX402と連携して利用すれば、WLX402内蔵のRADIUSサーバーとプライベートCAを活用できる。有線LANにおいてもデジタル証明書による認証が可能になるのだ。さらに、ヤマハ製ルーターとも連携させれば、ルーター搭載の「LANマップ機能」でLAN全体のネットワーク状況をGUIで可視化できる。

　「LANのセキュリティーに関しては、施設内のエリアによってメリハリをつけることがポイントだ。セキュリティーレベルをエリアごとに分けて、費用対効果を高めるためだ」（細江氏）

　クリニックを例にすると、患者の待合室のセキュリティーレベルを高める必要はそれほどないが、診察室には電子カルテ用のIT機器（PCやタブレット等）があるため、セキュリティーレベルを高める必要がある（図表2）。そうした場合に、WLX402とSWX2300を併用すれば、診察室のみセキュリティーレベルを高めるといった運用が簡単に行える。

図表2　クリニックでの利用イメージ

証明書による認証が身近に　まずは体験して知見を得よう!

　このように、WLX402とSWX2300シリーズを連携させることで、無線LANと有線LANの両方でデジタル証明書による認証が可能になる。平野氏は「まずは手軽にデジタル証明書による認証でセキュリティーレベルを高める方法を体験していただきたい。そこで得た知見は、後に本格的にRADIUSサーバー等を導入する際にも必ず役に立つはず」と言葉に力を込める。

　中小企業にとってデジタル証明書による認証は高嶺の花だったかもしれない。だが、WLX402とSWX2300シリーズによって、実現の可能性を感じていただけたのではないだろうか。