|
情報漏洩事件や就業中のインターネット不正利用など様々な問題を調査・解決する上で、ネットワーク利用状況の把握は重要な意味を持ちます。ところが、比較的管理のしっかりしたネットワークでも、あるアクセス記録に対応する端末やユーザを特定できない、といった悩みが聞かれます。
この状況を解決するために、IPアドレスと端末やユーザのIDを関連づける要求が高まっています。このために採用が増えている、認証DHCPの技術について紹介します。
背景−IPネットワークの匿名性
TCP/IP上で稼動しているアプリケーションでは、相手を特定したり、ログファイルの記録から関与する端末を特定したりといった用途で、IPアドレスが重要な役割を果たしています。ところが、IPアドレスだけに頼っていては、その発信元を完全に特定できないこともあります。特にDHCPでアドレスの割り当てを行っているネットワークでは、各機器に割り当てるIPアドレスを固定していないため、IPアドレスから発信元機器を特定することができません。つまり、インターネットの特徴としてよく言及される匿名性が、統制が必要とされる企業や公的機関の内部ネットワークにも当てはまってしまうのです。
解決策−認証DHCP
IPネットワークにおける匿名性による問題を解決するために、認証DHCPが有力な選択肢として注目されています。これは、DHCPでIPアドレスを発行する際に何らかの認証を行い、不正な接続の防止とネットワーク利用のアカウンタビリティ向上を実現する手法です。「認証」の内容としてはMACアドレスなどを用いた機器認証を含む場合もありますが、最近はユーザ名を使った認証の要求が増えています。典型的な処理の流れとしては、以下のようになります。
- 端末接続時に仮のIPアドレス発行
- 認証画面を表示し、ID情報を入力
- 認証されるとDHCPサーバより正式なIPアドレスを発行
- ネットワーク資源にアクセス
こうした仕組みの必要性は数年前から指摘されていましたが、適当なツールが存在せず構築が難しかったのと、不正接続を遮断する仕組みが不充分だったため、普及していませんでした。
最近では認証DHCPを構築するためのツールは、DHCPサーバを中心に充実してきています。例としてDHCPサーバと協調する認証ポータルを設置して、認証の成功/失敗によってIPアドレス発行を制御するしくみがあります。
認証DHCPの利点
ネットワークの匿名性を解決し、アクセス制御を行うための技術は認証DHCPだけではありません。以前から認証VLANや802.1xといった認証技術が利用されていますし、最近ではNACと呼ばれる技術や製品が出てきています。それらの技術に比較すると、認証DHCPは導入がしやすく柔軟性が高いといった特徴があります。メーカー独自技術への依存度が低くオープンなシステムを組むことができ、特にネットワーク機器の置き換えや端末へのソフトウェア導入が不要なことで、導入の敷居が低くなっています。
認証DHCP導入時の留意点
認証DHCPの導入に際しては、いくつか留意すべき点があります。まず不正接続については、IPアドレスを固定で設定した接続に注意が必要です。対策としては、要所にDHCP監視保護機能をもったスイッチを配置し、正規の払い出しを受けていない通信を遮断するのが効果的です。不正接続対策も考慮した構成例を図に示します。ネットワーク規模も要注意です。特に多数のネットワークや複数の拠点で構成されている場合、DHCPサーバや認証機能を一元管理できないと、管理工数が肥大化してしまいます。
運用においては、ユーザ登録の管理に気をつける必要があります。既存ディレクトリとの連携や、登録・削除などライフサイクルの管理が重要です。
まとめ
認証DHCPのためのツールやネットワーク機器の機能充実によって、比較的手軽にアクセス制御機能をもつネットワーク構築ができるようになりました。 東京エレクトロン デバイスでは、認証VLANや検疫も含めた「セキュア・エンタープライズ・ネットワーク」を提案していますが、その中でも認証DHCPは柔軟性に富んでおり、より高度な統制環境の基盤あるいは第一歩として、理想的なソリューションです。
コーポレート企画室
松永 豊
|
