MerakiとSoliton OneGateで実現する無線LANの簡単認証強化

 

Meraki無線LAN導入における当社の提案

Merakiは「ネットワークをシンプルに」というコンセプトのもと、ダッシュボードがわかりやすく、設定作業も極力シンプルにしたことで、お客様の無線LAN導入から運用のハードルを下げてくれました。

シンプルが故に、セキュリティ部分については、通信の暗号化機能とID/PWでの認証及び、MACアドレスのホワイトリスト登録の機能のみとなります。

そこで当社では、企業無線LANとしてご利用いただくにあたって、それ以上のセキュリティ対策を講じる場合は、MerakiのMDMオプションを利用する提案や、外部RADIUSを立て、セキュリティ向上の提案をはかってきました。

ただ、お客様のご予算の都合などで、RADIUSを入れないMeraki単体で可能なセキュリティ対策をご採用するケースが多かったのも事実です。

ところが、最近のMerakiの機能変更により、強固なデジタル証明書認証(EAP-TLS認証)を別途RADIUSサーバー不要のシンプル構成で簡単に3ステップで実装が出来るようになりました！

【結論をすぐ知りたい方はここをクリック！】

無線LANのセキュリティが必要な理由

内容に入る前に、なぜ無線LANのセキュリティが必要なのか？こんなリスクがあります・・・

社内無線LANの不正アクセスのリスク

• • 部外者が電波を拾い、ネットワークに接続してしまう
  • 社員が私物のスマートフォンをつないでしまう

無線LANのセキュリティ対策における問題

有線LANと違い、不正接続されても、その事実に気づけない。
正規ユーザーは自身のパスワードを知っており、すぐつなごうとする。

>>  今すぐお問い合わせ！  >>

無線LANのセキュリティ対策について

無線LANに関するガイドライン

一般社団法人 日本自動車工業の【自工会/部工会・サイバーセキュリティガイドライン】と
文部科学省の【教育情報セキュリティポリシーに関するガイドライン】の技術的にできる無線LANのセキュリティには、【暗号化方式】【認証方式】についての記載があります。

自工会/部工会・サイバーセキュリティガイドライン No.80　レベルLv3　（15　社内接続ルール） 許可された機器以外は社内ネットワークに接続できないよう、システムで制限している 【規則】 　・許可された機器以外の接続を検知・遮断する仕組みを導入すること 【対象】 　社内ネットワークに接続する機器 No.112　レベルLv2　（17　通信制御） 端末と無線 LAN アクセスポイントの間の通信を暗号化している 【規則】 　端末とアクセスポイントの間の通信を暗号化すること 　政府推奨暗号において危殆化している暗号技術は利用しないこと 【対象】 　社内無線LAN

教育情報セキュリティポリシーに関するガイドライン ６.１. コンピュータ及びネットワークの設定管理 （１０）無線LAN及びネットワークの盗聴対策 ① 統括教育情報セキュリティ責任者は、無線LANの利用を認める場合、解読が困難な通信経路の暗号化及び認証技術の使用を義務付けなければならない。  ② 統括教育情報セキュリティ責任者は、機密性の高い情報を取り扱うネットワークについて、情報の盗聴等を防ぐため、通信経路の暗号化等の措置を講じなければならない。 （解説） 無線LANを利用する場合は、解読が困難な暗号化及び認証技術を使用し、アクセスポイントへの不正な接続を防御する必要がある。 （注６）暗号化方式の1つであるWEP（Wired Equivalent Privacy）及びWPA（WPA（Wi-Fi Protected Access）については、既に脆弱性が公知となっているため、暗号強度が確認されているWPA2以降の暗号方式を採用しなければならない。 5.2 教職員等の遵守事項 （１６）無許可でのネットワーク接続の禁止 教職員等は、統括教育情報セキュリティ責任者の許可なくパソコンやモバイル端末をネットワークに接続してはならない。 （解説） セキュリティ上、ネットワークとの接続には適切な管理が必要であることから、無許可での接続を禁止する。  （注１０）特に、学校内で無線LANを使用している場合に、教職員等や外部委託事業者がパソコンやモバイル端末等を持込み、無許可でアクセスポイントへ接続する行為を禁止する必要がある。

簡単にいうと、2つのガイドともに以下の下記要件を満たす必要があるということです。

暗号方式（無線LAN規格）	脆弱性が報告されていない暗号方式が必須
認証方式	無許可端末の不正接続をブロックできる認証方式

では、認証方式について詳しく紐を解いてみましょう。

認証方式の長所・短所

一般的な3つの認証方式の長所と短所を見てみましょう。

	PSK認証＋MACアドレスフィルタ	ID・パスワード（EAP-PEAP認証）	デジタル証明書（EAP-TLS認証）
認証強度	極めて弱	弱～中	強
長所	アクセスポイントのみで実現可能	導入が容易	高い安全性と運用性
短所	全ユーザーで同じ認証情報を使用するため、端末紛失や職員の退職時の対応が困難 MACアドレス情報は偽装可能で不正アクセス対策にならない	社員/職員（ID・パスワードを知っている者）による個人端末の不正接続を防止できない	デジタル証明書の展開・運用のしくみが提供されていない場合、導入や運用に工数がかかる場合がある
適する場所	家庭	企業/組織	企業/組織

左２つの認証方式【PSK認証＋MACアドレスフィルタ】【ID・パスワード（EAP-PEAP認証）】より、
【デジタル認証書（EAP-TLS認証）】が企業、組織においては、認証強度が高く、安全性と運用性が高いことがわかります。

デジタル証明書

デジタル証明書は、公開鍵暗号を利用してユーザーの身分などを証明するデータのセットです。公開鍵暗号方式は、公開鍵と秘密鍵という鍵ペアを使い、片方で暗号化したデータは、ペアのもう一方の鍵でしか復号できない性質を持ちます。

なお、秘密鍵はデバイス内にエクスポート禁止の状態で格納することができ、端末認証の要素として利用することができます。

クライアントとサーバーの両方を明尚するため、不正なデバイスやアプリケーションのアクセスを防ぎます。これにより、シャドウITの使用が検出されやすくなり、排除が容易になります。

証明書認証の優位性

ID/PWなどの利用者承認は、正規のユーザーはID/PWを知っているため、不許可デバイスを無線LANに接続可能です。

デジタル証明方式では、許可のないデバイスにはデジタル証明書がないため無線LANに接続できません。許可されたデバイスはデジタル証明書があるため、無線LANに接続可能です。

 

 

ちなみに、なぜMACアドレスの認証は弱いのか

無線通信上のMACアドレスは、暗号化されておらず、Wi-Fi機能を持つ端末のMACアドレスは、外部からでも容易に収集可能なのです。そのため、無線LANでは、MACアドレス認証は不向きなのです。

Meraki無線LANによるセキュリティ強化　簡単３ステップとは？

Merakiの機能変更により、RADIUSサーバー不要で、セキュリティ強度が高くなる強固なデジタル証明書認証(EAP-TLS認証)がシンプル構成で 実現できます！

ステップ１：CAサーバの用意しクライアントに証明書を配布（Soliton OneGate）

ステップ２：Merakiダッシュボードから信頼する認証局を設定（証明書キャッシング）

ステップ３：対象のSSIDに対しエンタープライズ認証(LocalAuth)を設定

※クライアント側のネットワーク接続設定は別途必要です

この３ステップで、お客様の無線LAN環境が現行技術の中で最も強度の高いセキュリティ環境となります。

また、すべてをクラウドで実現することにより、お客様の導入、運用負荷も低く抑えられます。

>>  Meraki無線LANのセキュリティ強化をもっと詳しく知りたい！  >>

Meraki無線LAN導入における当社の“新”提案

☑シンプルで安価な無線LANセキュリティを提供

Meraki×SolitonOneGate(CAソリューション)の組み合わせで、

別途RADIUSサーバーが不要の最小限のオンプレミス機器構成でセキュアな無線LAN環境を安価に実現できます。

☑簡単３ステップをパッケージ価格で

導入方法もシンプルにしております。価格を押さえお客様に提案いたします。

☑Merakiはこれまで通り導入提案

無線LAN環境のお悩みは当社ノウハウで解決いたします。

あくまで当該サービスは無線LANのセキュリティ向上をさせるための最短経路のサービスです。有線LAN含むその他の認証についても、この提案環境を活用しつつソリューション追加することで実現可能です。

様々なお客様の環境に合わせ、投資効果が適正なご提案を実施させていただきます。　

お問い合わせから気軽にご質問ください。

ご相談・お問い合わせ 製品・サービスに関するご質問・ご相談は「ご相談・お問い合わせ」ボタンからお気軽にお問い合わせください。

---