ブログ|株式会社セシオス

無線LANでもシングルサインオンをするには

作成者: 株式会社セシオス|Sep 15, 2017 8:29:05 AM

 

無縁LANは、一般ユーザーに広く普及しました。構内での配線の必要がなく、電波の届く範囲であればどこでもネット接続が可能であることのメリットは計り知れません。無線LANは、家庭など、比較的小規模なネットワーク環境で、その可能性を大きく広げました。

 

 

そのいっぽうで企業や官公庁、学校や研究機関といった、比較的規模の大きな組織では事情が違いました。

 

多くの場合、内線電話網用に、フリーアクセスフロアが既に採用されていましたし、ケーブルラックにネットワーク通信用のケーブルを乗せることもできました。有線でのネットワーク化対応は、比較的やりやすかったのです。

 

さらに、大きな組織ではコンピューターネットワークの利用開始時期が、比較的早かったことが理由と考えられるでしょう。また、大規模な組織になればなるほど、設備費用が有線に比較して高額であったことも一因です。

 

特に大きな組織では、無線LANの使用が現実的には難しかったことがわかります。それに加え、無線の場合は、多くの場合何らかの暗号化が施されているとはいえ、傍受されるリスクも存在するなど、セキュリティ面の課題もありました。

 

時代は移り、タブレットなど、携帯性にすぐれた端末の使用も増えました。これらの機器は、無線でのネットワーク接続が前提です。無線LANでの接続が必須になっています。

 

実際には企業などでも、無線LANの利用については、従来の有線LANからの置き換えという形で導入が進んでいます。前出のセキュリティ対策などは必須とはなるものの、これは時代の趨勢ともいえるものでしょう。

 

さて、有線LANであっても、無線LANであっても、ユーザーの目線からは、そこにあるのは「ネットワークに接続されたコンピューター」という観点で、まったく同じものです。そこで操作性が変わることなどは、夢にも思わないでしょう。

 

 

しかし、実際には、無線LANに接続する場合に、その無線LANを本当に利用していいのか?という認証が入ります。これは、有線に比べると、ワンアクション多くなることを意味します。

 

無線LAN認証とActive Directoryの連携をさせれば問題はなさそうですし、事実そうすべきではあります。しかし、これを実現しても、両立には設定レベルでは乗り越えられない壁が存在しました。

無線LANは傍受のみならず、本来参加を許してはならない端末の接続というリスクがつきまといます。

 

 

招かれざるユーザーのネットワーク侵入は、絶対に避けるべきです。正規のユーザーでも、悪意を持ったソフトウェアに感染した管理外の端末を接続することで、ネットワーク上のコンピューターにウイルスやワームをばらまくリスクも発生します。

 

無線LANによるネットワーク接続については、例えば特定の端末からの全アクセスを無効にしてネットワークから切り離すくらいの、強烈な対策が必要になることもあります。安全性に対し、より厳格であるべきということがおわかりいただけたでしょうか。

 

この問題の有力な解決策として、古くからの技術であるRADIUSという認証を利用する方法があります。これにより無線LANからでも、シングルサインオンを安全かつ快適に利用可能です。RADIUSは、むしろ必須ともいえるでしょう。

 

 

典型的な例としては、無線LANクライアント(PC)から無線LANアクセスポイントにログインすることで、RADIUSサーバーがユーザーを認証します。それをもとに、脅威管理を兼ねた統合認証管理システムが、組織内システムの利用を許可するものです。

 

ユーザー側から見れば、普通にPCやモバイル端末にログインする手続きを行えば、これまでと同様に利用することができます。操作の変更や手順の追加といったユーザーの負担も、発生しにくいといえるでしょう。

 

環境の構築には、実績のあるSaaS型サービスの利用が合理的ではないでしょうか。堅牢性と利便性の両立は、一朝一夕にはいかないものです。サービス事業者の持つ豊富なノウハウを、活用していきたいものです。

 

(画像は「Pixabay」より)