証明書サービスを使用してワイヤレス LAN のセキュリティを保護する
第 1 章 : ソリューションの概要
最終更新日: 2005年5月24日
トピック
はじめに
多くの組織でワイヤレス LAN (WLAN) の利用がテストされてきましたが、範囲が大きいために展開をためらうようになるか、展開を完全に中止してしまうことがよくあります。 ワイヤレス テクノロジを利用すると生産性が大幅に向上し、技術上の利点も多々活用できるようになるにもかかわらず、セキュリティがよくないという理由で多くの組織が展開を見送っています。
「証明書サービスを使用してワイヤレス LAN のセキュリティを保護する」は、ワイヤレス ネットワークをセキュリティで保護された状態で展開することを求めている組織を対象としています。 この文書は (設計、展開、管理に関する) 規範的なガイドとして作成され、マイクロソフト自体のセキュリティ保護された WLAN の展開に基づいています。
このソリューション ガイドには、製品マニュアルや多くのテクニカル ホワイト ペーパーとは異なる 2 つの重要な特徴があります。 第 1 に、このガイドは、規範的なガイドとしての性格を備えています。設計の選択肢が複数ある場合に、マイクロソフト社内の展開例とお客様のフィードバックから得られた最善の知識に基づいて決断が行われています。 その後、ソリューションはガイドの記載どおりに構築され、マイクロソフトの研究室でテストされてガイドの記載どおりに機能することが確認されています。 第 2 に、このソリューションは、設計、計画、構築、構成から、継続的な監視、保守、管理までをも含んだ、エンドツーエンドソリューションです。
あとの章で詳しく説明しますが、このソリューションは IEEE (Institute of Electrical and Electronic Engineers: 米国電気電子学会) 802.1X に基づいており、RADIUS (Remote Authentication Dial-In User Service: リモート認証ダイヤルイン ユーザー サービス) インフラストラクチャおよび公開キー基盤 (PKI) を必要とします。 柔軟な設計が採用されているため、ワイヤレス ネットワークのユーザー数が数百人から数千人いる組織に適しています。 RADIUS と PKI は、他のネットワーク アプリケーション (リモート アクセス VPN など) やセキュリティ アプリケーション (暗号化ファイル システムなど) でも再利用できるように意図的に設計されています。 このソリューションは、Microsoft® Windows® XP クライアントおよび Microsoft Windows Server™ 2003 サーバー (Active Directory® ディレクトリ サービス ドメイン コントローラを含む) を使用して構築とテストが行われていますが、Windows 2000 ドメイン コントローラおよび Windows 2000 以前のクライアントでも動作するように設計されています。
.gif)
図 1.1: 証明書サービスを使用したワイヤレス LAN のセキュリティ保護の概要
.gif){kind=link}
ソリューションの概要
この「ワイヤレス LAN のセキュリティ保護」ソリューションは主に、設計ガイド、構築ガイド、運用ガイド、テスト ガイドの 4 つのセクションで構成されています。 配信ガイドも、付録の 1 つとして含まれています。 これらのガイドには、プロジェクト計画のサンプル、実装タスクや運用タスクを自動化するスクリプト ファイル、固有環境でソリューションを構築する際にソリューションの機能検証に使用できる詳細なテスト事例一式など、さまざまなツールが付属しています。
次のセクションでは、それぞれのガイドの目的、対象読者、 要約など、概要を簡単に説明します。 ガイダンスの大部分は参照用であるため、始めから終わりまですべてを読む必要はありません。これは特に、運用ガイド (第 11 章と第 12 章) に当てはまります。 ただし、ソリューションのアーキテクチャと設計を理解するため、第 2 章から第 6 章まで (設計ガイドの各章) だけはお読みください。
設計ガイド - 第 2 章から第 6 章
このガイドは、このソリューションの最初のガイドです。 設計ガイドの主要な目的は 2 つです。1 つは、このソリューションがユーザーの組織に適したものであるかどうかを十分な情報に基づいて判断できるようにすることです。もう 1 つは、このソリューションの設計の技術的な側面とその設計を採用するに至った理由について十分な理解が得られるようにすることです。
概念上、このガイドは 3 つの部分に分かれており、それぞれ、前の部分の内容を論理的に展開したものになっています。 まず最初に (第 2 章)、WLAN を導入するビジネス上のさまざまな理由について検討し、多くの WLAN 実装に存在する深刻な脆弱性を悪用するセキュリティ上のさまざまな脅威と比較して、その必要性を評価します。 ここでの検討内容は、WLAN を安全に実装するための方針を提案する際の基礎となります。 次に (第 3 章)、提案した WLAN 方針に基づいて論理的なソリューション設計を行い、実装する主要なコンポーネントを特定します。 残りの部分が (第 4 章、第 5 章、第 6 章)、このガイドの主要部分です。 これらの章では、第 3 章で特定したコンポーネントの 1 つ 1 つの設計について詳しく説明します。 これらの章の内容については、以降のサブセクションで詳細に説明します。
よくある設計ガイドと異なり、このガイドは規範を示すことを意図して作成されたものです。 このタイプのソリューションを構築する場合に参考として使用できる 1 つの設計例を提供することを目的としています。 文書内に異なる設計を選択できる箇所がある場合、決定するための論理的な根拠についてもそこで説明しています。 また、異なる方針を選択できる場合はその方針が該当箇所に記載されており、異なる設計を採用する必要がある場合でも、各章にそのための情報が記載されています。 ただし、このガイド全体で意図されている目的は、単一のソリューションの実現です。このソリューションは実際に実装とテストが行われ、ソリューション ガイドの記載どおりに正確に機能することが確認されています。
このガイドは主に、IT 設計者および業務上の意思決定者 (第 2 章のみ、特に後者) を対象にしています。 IT 設計者は、第 2 章および第 3 章を熟読し、その他の章については特に重要な点のみ把握してください。 このソリューションの構築、展開、および管理に携わる IT 専門家も、これらの章に記載されているソリューションの全体的な構造と設計について十分理解することが望まれます。
IT セキュリティの専門家は、このガイドのすべての章に目を通し、特に後半の章を注意してお読みください。 ソリューションを展開する前に、組織の IT セキュリティ担当者が設計、構築、および運用の処理を確認し、承認する必要があります。
第 2 章 : セキュリティで保護されたワイヤレス LAN ネットワークの構築方針を決定する
この章では、セキュリティで保護されたワイヤレス ネットワークを構築する技術的ソリューションの選択について説明します。 WLAN テクノロジの導入を推進するビジネス上の理由、および WLAN を安全に導入するために克服する必要のあるセキュリティ上の問題を挙げ、 そのようなセキュリティ上の問題を解決するための方法について検討し、公開キー証明書を使用した強力な認証およびデータ保護に基づくソリューションを提案します。 最終的な決定は、中規模から大規模の組織を対象に調査されたセキュリティ ニーズに基づき、堅牢なセキュリティという緊急のニーズと、ソリューションによる組織の投資保護効果という長期的展望とのバランスを勘案して行われます。
第 3 章 : セキュリティ保護されたワイヤレス LAN ソリューション アーキテクチャ
この章では、セキュリティ保護されたワイヤレス ソリューションの基本設計について説明します。 まず最初に、802.1X および EAP–TLS (Extensible Authentication Protocol–Transport Layer Security プロトコル) に準拠する WLAN ソリューションの動作の概要と、次に挙げるこのソリューションの主要コンポーネントについて説明します。
堅牢な認証およびデータ保護の標準をサポートする WLAN インフラストラクチャ
RADIUS 認証インフラストラクチャ
PKI
前の章に記載されているセキュリティ要件を、対象組織のプロファイルと併せて使用し、ソリューションの設計条件を導き出します。 これらの条件に基づいた論理設計について説明し、その設計を拡張してさまざまな規模の組織に適合させるオプションを紹介します。
最後に、ここで提案した設計をベースに使用して、仮想プライベート ネットワーク (VPN) や有線ネットワーク アクセス制御など、他のネットワーク アクセス ソリューションを構築する方法をいくつか紹介します。 また、この設計の PKI コンポーネントによる、さまざまなセキュリティ サービスおよびセキュリティ アプリケーションのサポートについても簡単に説明します。
第 4 章 : 公開キー基盤を設計する
この章では、マイクロソフト証明書サービスに基づいた PKI の設計について説明します。 組織の多くが、WLAN セキュリティに加えて別のアプリケーション (セキュリティ保護された電子メール、ファイル暗号化、スマート カード ログオンなど) でも PKI の使用を望むことが考えられます。 したがって、設計では 2 つの要素のバランスを考慮する必要があります。つまり、セキュリティ保護された WLAN 向けの比較的単純で低コストな証明書ソリューションにするか、数多くの多様なアプリケーションをサポートするように拡張できる柔軟性とセキュリティを備えたソリューションにするか、ということです。
証明書のニーズの文書化について説明し、次に適切な証明機関 (CA) 階層の設計について説明します。 CA と Active Directory、Internet Information Services (IIS)、およびその他の PKI との統合についても説明します。 最後に、証明書の管理計画の作成と証明書テンプレートの作成について説明します。
第 5 章 : ワイヤレス LAN のセキュリティに対応した RADIUS インフラストラクチャを設計する
この章では、RADIUS インフラストラクチャの設計について詳細に説明します。 このインフラストラクチャにより、WLAN で強力な認証とセキュリティで保護されたキー管理サービスを利用することが可能になります。 この章ではまた、Microsoft インターネット認証サービス (IAS) を使用して実装された RADIUS が広範なネットワーク アクセス管理ソリューションを提供する方法、および、特に WLAN で機能する方法についても説明します。 このソリューションに必要な環境的な前提条件を列挙し、802.1X WLAN に適した RADIUS インフラストラクチャを設計する際に必要な設計上の決定事項について詳細に説明します。 また、IAS サーバー インフラストラクチャを長期にわたって維持するための管理方針についても説明します。
第 6 章 : 802.1X を使用してワイヤレス LAN のセキュリティを設計する
第 6 章では、ワイヤレス ネットワークのセキュリティ部分の構造と設計について説明します (ワイヤレス ネットワーク設計のセキュリティとは関係ない部分については説明しません)。802.1X ベースのソリューションが基本的な Wired Equivalent Privacy (WEP) WLAN に存在するセキュリティ上の弱点を解決する仕組み、パスワードではなく証明書の使用を決定する理由、展開を成功させるための前提条件の特定などについて説明します。 その次のセクションでは、WLAN セキュリティ オプションの選択とそれらのオプションの RADIUS アクセス ポリシーへの構成、ワイヤレス アクセス ポイント (AP)、およびクライアント (グループ ポリシーを使用する) について説明します。 最後に、移動プロファイルの扱い方やワイヤレスのみのクライアントの構成をブートストラップする方法など、展開時に発生する主要な問題のいくつかについて検討します。
構築ガイド - 第 7 章から第 9 章
構築ガイドでは、ソリューションのすべてのコンポーネント (Windows Server 2003 証明書サービスに基づく PKI、IAS に基づく RADIUS インフラストラクチャ) の実装手順、ならびにワイヤレス アクセス ポイント (AP) およびクライアントの構成手順を、順を追って説明します。 各章には、オペレーティング システムをインストールしてセキュリティ保護を行う手順、ソフトウェア コンポーネントを構成する手順、およびコンポーネントをソリューションに統合する手順が、詳細に記載されています。 エラーを最小限に抑えるため、主要な手順には検証手順も付記されています。
このガイドは主に、PKI、RADIUS、および WLAN の各コンポーネントの設計、構築、展開に携わる IT 専門家を対象にしています。 その中には、IT インフラストラクチャの設計と仕様に携わる IT エンジニアリングの専門家や、ソリューションを運用環境に展開する IT 環境整備の専門家も含まれます。
IT 設計者は、ソリューションが組織の標準と実務に準拠することを確実にするために、ここに記載されている構築手順をすべて読むことをお勧めします。 ただし、各章に記載されている詳細情報の多くは、IT 設計者には関係のない情報です。 IT セキュリティの専門家は、設計ガイドの読了後にこのガイドを通読してください。 前述のとおり、ソリューションを展開する前に、組織の IT セキュリティ担当者が設計、構築、および運用の処理を確認し、承認する必要があります。
このソリューションのコンポーネントを担当する IT サポートおよび運用担当者は、このガイドの各章に目を通し、IT インフラストラクチャのソリューション コンポーネントとそれ以外の部分との相互依存関係を把握してください。 技術サポートの専門家は、このガイドおよび設計ガイドの各章を参照する必要があります。
第 7 章 : 公開キー基盤を実装する
この章では、CA サーバー用のハードウェアおよびオペレーティング システムの準備、サーバーへのセキュリティ ポリシーの適用、PKI (Active Directory および IIS) をサポートするインフラストラクチャの整備など、ソリューションの公開キー基盤 (PKI) を構築する手順を詳細に説明します。 次に、証明書サービスをインストールして構成し、オフラインのルート CA と発行 CA を構築します。 Active Directory とグループ ポリシーを使用したクライアント PKI の設定、および構成タスクと管理タスクの委任についても説明します。 以上により証明書のインフラストラクチャが用意され、これを使用して、このガイドの後半の章で完全なソリューションを構築します。
第 8 章 : RADIUS インフラストラクチャを実装する
この章では、サーバーの準備と構築、セキュリティ ポリシーの適用、Active Directory セキュリティ グループの準備、各サーバーの IAS の構成など、ソリューションの RADIUS インフラストラクチャを実装する方法について説明します。 この結果、ソリューションの認証および承認コンポーネントを提供する強固な RADIUS インフラストラクチャが構築されます。
第 9 章 : ワイヤレス LAN のセキュリティを実装する
この章では、ここまでの章で構築した PKI コンポーネントと RADIUS コンポーネントを使用して、WLAN のセキュリティ ソリューションを構成する方法を説明します。 ネットワーク インフラストラクチャ (DHCP および Active Directory) の準備、正しい証明書タイプの作成と発行、IAS サーバーでのリモート アクセス ポリシーの作成、ワイヤレス AP を構成して新しい RADIUS インフラストラクチャで使用する方法などについて説明します この章で、ソリューションのインストールは完了です。
運用ガイド - 第 10 章から第 12 章
運用ガイドでは、ソリューション コンポーネントを長期にわたって維持する手順の概略を説明します。 このガイドは Microsoft Solutions for Management (MSM) に基づくものです。証明書サービスおよび IAS コンポーネントを運用、監視、変更、サポートするためのタスクと手順が、すべてひとまとめにして記載されています。 具体的には、日次および週次の定期的な状態チェックや監視スクリプトなど、管理システムを実装するセットアップ タスク、バックアップと復旧の手順、トラブルシューティング リソースなどが記載されています。
これらの章は、このソリューションに含まれる他のガイドとは異なり、最初から最後まで参照する必要はありません。 各章はそれぞれ 2 つの部分から構成されています。 前半部分は比較的短く、運用プロセスや運用に関連する技術インフラストラクチャを計画してセットアップする場合に必要となるあらゆる情報が記載されています。 この部分はすべて読むことをお勧めします。 後半部分は主に参照用の資料となっており、ソリューション コンポーネントの保守に必要な運用タスクおよびサポート タスクがすべて記載されています。
このガイドは主に、このソリューションに含まれる PKI、RADIUS、WLAN の各コンポーネントの管理に携わる IT 専門家を対象にしています。 多くの組織では、ソリューションを構成する各コンポーネントの保守を、複数の担当者や複数の部署が別々に担当していることがよくあるため、参照する章も担当者や部署によって異なります。
IT 設計者は、これらの章の内容を十分に把握し、ソリューションの運用上の要件が IT インフラストラクチャ全体に与える影響を総合的に理解する必要があります。 ただし、各章に記載されている詳細情報の多くは、IT 設計者には関係のない情報です。 IT 設計者は、設計ガイドに記載されている設計を変更した場合、運用の手引書が適切に改訂されるように、IT サービス管理の担当者にその変更を連絡してください。
組織の IT インフラストラクチャの構築と展開に携わっている IT の専門家は、ソリューションの構築と展開に関係する情報を IT サービス管理スタッフに効率的に連絡できるように、このガイドの内容を幅広く理解する必要があります。
IT セキュリティの専門家は、設計ガイドと構築ガイドの読了後にこのガイドを通読し、運用方法が企業のセキュリティ標準に一致していることを確認してください。
第 10 章 : 運用ガイドの紹介
この章では、Microsoft Operations Framework (MOF) に関する背景情報を紹介します。この章の内容は、次に続く 2 つの章を正しく理解するために重要です。 MOF の概念を十分に理解していない場合は、この章の最後の「関連情報」セクションで紹介されている背景情報を参照してください。
第 11 章 : 公開キー基盤を管理する
この章を参照すると、公開キー基盤 (PKI) の完全な管理システムを実装できます。 ここでは、システムの監視や保守の開始に必要なセットアップ タスク、システムの動作を正常に保つために必要な定期的な運用タスク、ならびにサポート インシデントの処理、環境の変更管理、およびシステムのパフォーマンスの最適化を行う手順などについて説明します。
第 12 章 : RADIUS およびワイヤレス LAN のセキュリティ インフラストラクチャを管理する
この章を参照すると、リモート認証ダイヤルイン サーバー (RADIUS) およびワイヤレス LAN (WLAN) のセキュリティ インフラストラクチャの完全な管理システムを実装できます。 前の章と同じく、システムの監視や保守の開始に必要なセットアップ タスク、システムの動作を正常に保つために必要な定期的な運用タスク、ならびにサポート インシデントの処理、環境の変更管理、およびシステムのパフォーマンスの最適化を行う手順などについて説明します。
テスト ガイド - 第 13 章
テスト ガイドは第 13 章のみで構成され、マイクロソフトがこのソリューションの検証に使用した全般的なテストの方針が記載されています。 また、組織のラボでソリューションの検証に使用できる主要なテスト事例についても紹介されています。 この章の内容は、マイクロソフトが社内のラボでソリューションの検証に使用したテスト プロセスとテスト事例から作成されており、すべてのテスト事例が記載されています。 このソリューションは、サード パーティによるペネトレーション テストも行われています。
付録と補足ファイル
このソリューション ガイドには、次の付録があります。
付録 A: プラットフォームのサポート表
これは、ソリューションに含まれるワイヤレス クライアントおよび各種サーバー ロールに対応するオペレーティング システムのバージョンを示す表です。
付録 B: スクリプトとサポート ファイル
構築ガイドと運用ガイドの各章では、スクリプトなど多数のサポート ファイルが手順の中で使用されます。 この付録には、そのようなファイルに関する説明と、スクリプトに付属する Readme.txt ファイルに関する説明が記載されています。
付録 C: 配信ガイド
この付録には、Microsoft Solutions Framework (MSF) および MSM に基づいたフレームワークの概略が記載されています。これらは、ソリューションを実装する際に利用できます。
付録 D: WPA のサポート
この付録には、ソリューションの WiFi Protected Access (WPA) セキュリティのサポート状況に関する情報が記載されています。 このソリューションは WPA をサポートするように設計されており、このガイドのほぼ全体で WPA に関する言及があります。 ただし、Windows XP および WLAN のアダプタとアクセス ポイントでの WPA のサポートは、このソリューションの開発中は出荷の初期段階でした。
表記規則
次の表は、このガイドで使用されている表記規則です。
表 1.1: 表記規則
| 語 | 意味 |
|---|---|
| 太字フォント/二重引用符 ("") | コマンドやスイッチなど、そのまま入力される文字。 語句を強調する場合も、太字または二重引用符 ("") で表記されます。 |
| 斜体フォント | 斜体フォントが使用されるのは、次の 2 つの場合です。 本文中で、他の文書のタイトルを示す場合。 コマンドやコード (またはコマンドやコードを引用するテキスト) で、特定の値を指定する必要がある変数のプレースホルダを表す場合。 たとえば、Filename.extと表記されている場合、これは適切なファイル名で置き換える必要がある部分であることを示します。 |
| スクリーン テキスト | 画面上に表示されるテキスト (コマンド ライン ツールからの出力など)、およびコマンド ラインに入力する必要があるコマンド。 コマンドがページの幅に収まらない場合もあります。 その場合、コマンド テキストは次の行に折り返され、2 行目以降はインデントされます (コマンド行の右端の記号によって示されます)。 |
|
コード サンプルと構成ファイルの内容。 |
| %SystemRoot% | Windows オペレーティング システムがインストールされているフォルダ。 |
| 注 | 読者に補足情報を示します。 |
| 重要 | タスクの完了に不可欠な補足情報を読者に示します。 |
| 注意 | 特定のアクションに失敗した場合や、そのアクションを行わなかった場合にデータを失うおそれがあることを読者に警告します。 |
| 警告 | 特定のアクションに失敗した場合や、そのアクションを行わなかった場合にユーザーやハードウェアに物理的な害が及ぶおそれがあることを読者に警告します。 |