「エンタープライズセキュリティ」は無線LANの魔境です。ある時は「EAP」と呼ばれ、またある時には「802.1X」とも呼ばれ、AP側の設定には「RADIUS」という項目があったりもしますが、一体それらがどういう関係にあるのか正しく理解している人は少ないような気がします。今回は複数シリーズに分けてこれを解説してゆきたいと思います。

何故エンタープライズセキュリティー?

 第25回「セキュリティーのはなし」で、PSK システムの問題は「設定更新が大変」であり、それ故に「一度設定された鍵が使い続けられる傾向がある=セキュリティーホールになり得る」と解説しました。 しかしこの問題だけに関していえば、集中管理型のAPを使用すればある程度は緩和されます。「集中管理型」というのは子機の認証を個々のAP独自で行うのではなく、ネットワークを経由して1箇所の認証サーバーで行うというシステムです。子機側の鍵管理の問題は残りますが、AP側の鍵管理はだいぶ楽になります。

 しかし、PSK システムにはもう一つの問題があります。それは「認証がパスワードだけで行われる」ことです。すなわち PSKには「ユーザー名」に相当する要素がありません。「暗号化(盗聴防止)」「不正なユーザーの排除(認証)」という機能はPSKで実現できるのですが、PSKでは全員が同じパスワードを使用するため、「誰がログインしているのか?」という情報は基本的にはわからないのです。唯一使えるのはMACアドレスですが、無味乾燥な数字の羅列に過ぎない MAC アドレスはユーザーIDとして管理しにくいものですし、PCやLANアダプターを変更すると値が変わってしまうので扱いづらいものでもあります。

 無線LANにおけるエンタープライズセキュリティーというのは決してPSKよりも暗号強度が優れているわけではなく(最終的な暗号アルゴリズムは同じAES-CCMPです)、「ユーザー情報を紐づけて管理できる」ところに最大の違いがあります。誰が・いつ・どこにログインしたのか追跡することも可能ですし、特定ユーザーのログインだけを禁止することも可能です。これに対し PSK システムで特定ユーザーを排除しようと思えば、そのユーザー以外の鍵を全員一斉に換えるか(面倒くさい)、MACアドレスフィルターを設定して身元の判明している機器以外のログインを禁止する(管理の手間が増えて不便)しかありません。