モビリティとコラボレーションのためのワイヤレス ネットワーキング
Jerry Honeycutt、Roslyn Lutsch
Microsoft Corporation
発行 : 2002 年 12 月
概要
ワイヤレス ネットワーキングによって、ユーザーの生産性は向上し、組織がインフラストラクチャにかける費用は低減されます。ワイヤレス ネットワーキングは、それ自体がすでに、あらゆる組織で役立つ可能性を持っています。しかし Microsoft Windows XP を使用すれば、その展開、構成、およびサポートがより簡単になるという利点があります。この文書では、Windows XP を使用したワイヤレス ネットワーキングの利点と、組織内でこの組み合わせを使用する方法について説明します。
トピック
はじめに
ワイヤレスのシナリオ
企業でのワイヤレス
Windows XP を使用したワイヤレス
ワイヤレス機能の展開
ワイヤレスのセキュリティ
まとめ
詳細情報
用語集
はじめに
ワイヤレスネットワーキングは、モバイルコンピューティングの世界に大きな変革をもたらしました。モバイルユーザーは、どの公衆ワイヤレスネットワークからでも企業のネットワークリソースにアクセスできるようになり、またラップトップコンピュータを抱えて社内を移動しながら、どこからでもネットワークにアクセスできるようになり、生産性が大幅に向上しました。ワイヤレスネットワーキングを活用することで、モバイルユーザーは 1 日のうちのより多くの時間を本来の仕事に費やせるようになり、生活の質が向上します。
また IT プロフェッショナルの効率性もアップし、IT への投資をより有効に活用できます。ワイヤレスネットワーキングにより、会議室、カフェテリア、コミュニティエリアといった、通常のオフィスの外でのネットワーク利用が簡単に短時間で実現できるようになり、ネットワークインフラストラクチャの費用を低減できます。
ワイヤレスネットワーキングは、Windows XP を利用すると、よりよく活用できます。たとえば、Windows XP の自動構成機能により、ワイヤレス機能の展開費用を節減できます。また、構成の簡易さ、自動ローミング、組み込み Wi-Fi サポートなどにより、ワイヤレスネットワーキングに関する電話問い合わせへのヘルプデスク対応時間も削減できます。Windows XP により、以前は一般モバイルユーザーにとって便利とは言えなかったワイヤレスネットワーキングが現実的なものとなります。
この文書では、これらの利点をすべて説明します。まず、さまざまなタイプのモバイルユーザーと、それぞれのワイヤレスに対するニーズを説明し、Windows XP とは別に単独でワイヤレスネットワーキングの利点について検討できるよう、ワイヤレスネットワーキングについて説明し、その後 Windows XP がもたらす付加価値について説明します。最後に、Windows XP を使用したワイヤレスネットワーキングの展開方法を簡単に説明し、基礎的なベストプラクティスを紹介します。802.11ワイヤレスネットワーキングや WLANといった用語についてよくわからない場合は、用語集を参照してください。また、より詳細な情報が提供されたリソースへのリンクも記載されています。ほとんどは、マイクロソフトの WiFi (英語) Web サイトへのリンクです。
この文書には以下のセクションがあります。
セクション名 |
内容 |
---|---|
ワイヤレスのシナリオ |
モバイルユーザーの基本 4 タイプ |
企業でのワイヤレス |
ワイヤレスが企業にもたらす利点 |
Windows XP を使用したワイヤレス |
Windows XP のワイヤレス機能の利点 |
ワイヤレス機能の展開 |
ワイヤレスネットワーキングの展開に関する詳細 |
ワイヤレスのベスト プラクティス |
Windows XP を使用したワイヤレス機能展開のベストプラクティス |
ワイヤレスのシナリオ
このセクションでは、モバイルユーザーの基本 4 タイプと、それぞれのワイヤレスに対するニーズについて説明します。
**外出して飛び回る人々。**外出が多く、リモートアクセスを必要とするプロフェッショナル。
**社内を飛び回る人々。**会議に多くの時間を費やすナレッジワーカー。
**在宅勤務者。**自宅でも業務を行うナレッジワーカー。
**データを収集する人々。**常に社外で業務を行うためにリモートアクセスを必要とするフィールドサービスワーカー。
外出して飛び回る人々
企業の幹部、コンサルタント、営業担当者、保険外交員、医薬情報担当者 (MR) などがこれにあたります。外出して飛び回る人々にとってはコミュニケーションがスムーズに流れることが大切であり、ワイヤレスの接続性が非常に重要な意味を持ちます。しかし、この関係は、営業担当者からクライアントへ、といった一方向ではありません。Windows XP Professional が提供する新しい接続性によって、外出して飛び回る人々とクライアントとの関係は、コラボレーションのエクスペリエンスにもなり得ます。このタイプのユーザーは勤務時間の 8 割以下を社外で過ごし、社内ネットワークとの接続性も非常に重要です。
こうした人たちに推奨する装備はラップトップまたはTablet PCです。また重要なファイルを管理するために、社内ネットワークとの有線無線両方の接続が必要です。外出中にラップトップで接続する場合は、ワイヤレスワイドエリアネットワーク (WWAN)、またはワイヤレスホットスポットが利用可能な場合は 802.11b (Wi-Fi) が推奨されます。また、電話会議にその場で参加するためのワイヤレスPocket PCまたはSmartphone、および電子メールやカレンダー機能のためのハンドヘルド PC も、外出して飛び回る人々にとって主要なツールの 1 つです。Pocket PCのインターネット接続には、General Packet Radio Service (GPRS) を推奨します。
社内を飛び回る人々
大きな企業内の幹部やナレッジワーカーなどがこれにあたります。また、大学内で移動の多い学生もこのタイプのユーザーに入ります。社内であれ、学内であれ、このタイプのユーザーは、アプリケーションや情報にすぐアクセスできる必要があります。またこのタイプのユーザーは、会議中だけでなく、次の会議やクラスへの移動中にもネットワークへの接続を必要とするため、ワイヤレスネットワークに対する需要が大きいといえます。通常、このタイプのユーザーが移動にかける時間は、全体の 2 割程度です。
こうした人たちに推奨する装備は、ラップトップまたはTablet PCです。また、社内ネットワークや学内ネットワークとの有線無線両方の接続が必要です。ラップトップを使用している場合は、オフィス内にドッキングステーションまたはデスクトップ PC が必要です。また、電子メールやカレンダー用にPocket PC も必要です。社内をワイヤレスで移動する際の接続形態として、Wi-Fi を推奨します。
在宅勤務者
週に 1 日以上は自宅で業務を行う従業員、コンサルタント、および契約社員や、自宅またはオフィスから業務を行う人々がこれにあたります。オフィス外ではネットワークアクセスが必要ですが、そう頻繁ではありません。また、自宅や会社への移動にかける時間は、全体の 25% 程度です。
在宅勤務者に必要な装備は、オフィスにラップトップまたはデスクトップ PC であり、自宅にも PC が必要です。自宅で業務を行うには、社内ネットワークへのアクセスが必要であり、ダイヤルアップ接続を介したスマートカードアクセス、またはダイヤルアップやケーブル/デジタル加入者回線 (DSL) アクセスを介した仮想プライベートネットワーク (VPN) 接続などを使用します。在宅勤務者は、オフィスのデスクトップ PC やラップトップには有線接続でアクセスし、自宅から社内ネットワークへは、VPN を介してアクセスします。
データを収集する人々
製造業から救急、救助活動まで、各種の垂直産業におけるフィールドサービスワーカーなどがこれにあたります。データ収集は単調で退屈な仕事ですが、Windows XP と Office XP の新機能と拡張機能により、以前と比べて、迅速に安全にデータを収集できるようになりました。
このタイプのユーザーは、どこからでもデータにアクセスできる必要があり、また必要に応じてすぐ幅広いサービスを提供できるよう、十分なリソースを持ち歩く必要もあります。勤務時間の 8 割またはそれ以上を社外で過ごします。必要な装備は、ラップトップまたはTablet PCと、社内ネットワークへのワイヤレス接続、およびハンドヘルド PC またはデータ機能を持つ携帯電話です。推奨する接続形態は WWAN ですが、一日を通してデータ更新が可能なワイヤレスホットスポットを利用できる場合は、Wi-Fi を使用することも可能です。
企業でのワイヤレス
Gartner のアナリスト、Andy Rolfe の“Wireless LAN Equipment Market: Strong Growth Set to Continue” (Gartner, Inc. 2002 年 10 月) という研究によれば、モバイル PC および PDA のユーザーを含むモバイルユーザーのニーズの高まりにより、ワイヤレス LAN (WLAN) 機器の成長はますます加速します。Rolfe は、ビジネス向けモバイル PC 業界への WLAN テクノロジの進出は、2001 年には 20%、2007 年には 90% 以上成長するだろうと予測しています。パフォーマンスとセキュリティが向上し、コストが低減され、業界標準規格が確立されることで、ワイヤレスネットワークの 2007 年までの年平均成長率は 42% に上ると見込んでいます。ワイヤレス NIC の価格は 2007 年末には 30 ドル以下になり、モバイルコンピュータの 3 分の 2 以上は出荷時に WLAN アダプタが組み込まれるようになるだろうと予測しています。
Wireless LAN Association (WLANA) もワイヤレスネットワーキングの利点について研究しています。WLANA では、教育、医療、製造、小売といったさまざまな業界の 34 の組織で働くユーザーおよび IT プロフェッショナルを対象に調査を行いました。その結果、非常に興味深いことがわかりました。まず、調査の対象となったすべての業界において、WLAN の導入後 12 か月以内に投資額が回収されたことがわかりました。ワイヤレスネットワーキングの投資回収期間は、オフィスオートメーション業界で最も早く (6.3 か月)、次に教育 (7.1 か月)、製造 (7.2 か月)、小売 (9.7 か月)、そして医療 (11.4 か月) と続いていました。調査では、ほかにも次のような点を含め、さまざまな興味深いフィードバックが得られました (Wireless LAN ROI を参照)。
調査対象となった企業の 89% で、展開が成功していました。
調査対象となった企業の92% で、明らかなビジネス上の利点が得られていました。
調査対象となった企業の 92% で、ユーザーおよび IT スタッフへの展開実績に基づいて、今後もワイヤレステクノロジを展開し続ける予定であることがわかりました。
調査の対象となったユーザーの 97% が、情報にリアルタイムでアクセスする必要のある業務の完了に要する時間が、ワイヤレスネットワーキングの導入によって短縮されたかという問いに対して、"そう思う" または "非常にそう思う" と回答しました。
これらの予想はすべて、モバイルコンピューティングとワイヤレスネットワーキングの利点を示しています。しかし、『ワイヤレスネットワーキングは私の仕事にどう役立つのか』という重要な疑問には答えていません。以下のセクションでは、ワイヤレスネットワーキングが企業にもたらす利点について見ていくことにしましょう。ワイヤレスネットワーキングは、ユーザーの能力を拡大し、生産性をアップさせ、組織のインフラストラクチャの費用を低減し、IT の費用も低減します。また「Windows XP を使用したワイヤレス」セクションでは、Windows XP がもたらす付加価値について説明します。
生産性
ワイヤレスネットワーキングによって、あらゆるタイプのモバイルユーザー、中でも外出して飛び回る人々や、社内を飛び回る人々、またデータを収集する人々の生産性がアップし、生活の質が向上します。
**ユーザーは生産的な時間を過ごすことができます。**ワイヤレスネットワーキングを使用すれば、モバイルユーザーは、ケーブルによるネットワーク接続が利用できないような場所にいるときでも社内ネットワークに接続することができ、これまで無駄になっていた時間も生産的な仕事に使うことができます。たとえば、企業幹部は、出発時刻が遅れた飛行機を待つ間、空港にある公衆ホットスポットを利用して社内のネットワークに接続することができます。ナレッジワーカーは、会議中にネットワークに接続して共同作業を行うことができます。
**一業務に必要な時間が短縮され、迅速な意思決定が可能になります。**ワイヤレスネットワーキングを利用すると、有線ネットワークに接続できるかどうかに関係なく、すぐ共同作業を行うことができます。たとえば、製造現場にいる技術者から設計部門にすぐ情報を送ることができます。また医師は、他の部屋に行かなくても患者のカルテを見ることができます。ユーザーはこれまでのようにオフィスのデスクトップコンピュータまで戻る必要がなく、社内ネットワークにすぐワイヤレス接続できるため、意思決定もすばやく実行できます。
**ユーザーの生活の質が向上します。**ワイヤレスネットワーキングにより、モバイルコンピューティングがより便利になります。電話を探してネットワークにダイヤルするのはフラストレーションが大きいので、その不便さのために、後で接続することにしてしまうモバイルユーザーは多いのです。簡単にリソースに接続できれば、モバイルユーザーのフラストレーションは軽減されます。
インフラストラクチャ
ワイヤレスネットワーキングは、企業のインフラストラクチャにとっても有益です。
**一時的なネットワーク接続は、より実用的で低コストです。**ワイヤレスネットワーキングなら、必要に応じて簡単に一時的なネットワークをセットアップし、使用し、終了させることができます。マイクロソフトではこれを活用しています。展示会などでは、スタッフや参加者の利便を図って、一時的なワイヤレスネットワークを設定しています。より一般的な例としては、大きなプロジェクトの最終段階で一時的なワイヤレスネットワークを作成し、プロジェクトの完了とともに終了させるといった使い方があります。
**ケーブル配線と比べ、ワイヤレスネットワークは短時間で展開できます。**ワイヤレスネットワークは、有線ネットワークよりも柔軟性があります。ビル内にケーブルを配線しなくて済む分、展開が短時間で実行できますし、さらに Windows XP を使用すれば構成も簡単です。
**ケーブル配線が無理な場所でも、ワイヤレスネットワーキングなら使用可能です。**会議室やカフェテリアにケーブルを配線するのは実用的な考え方とは言えません。ワイヤレスネットワーキングなら、これらの場所でも簡単にネットワークを使用できます。また、配線が必要なネットワークは、屋外での利用は困難です。ワイヤレスネットワーキングは、このような場合でも最適なソリューションです。また、古い建物や特殊な建物では、従来のようなネットワーク配線が禁止されている場合があります。ワイヤレスネットワーキングは、このような状況でのネットワーク活用のための費用を大幅に低減し、以前は不可能だったような環境でもネットワーキングを実現できます。このような面において、ワイヤレスネットワーキングは、カテゴリー 5 を使用して建物にケーブル配線を行うよりも展開費用を抑えることができ、また拡張も簡単です。
Windows XP を使用したワイヤレス
REJ (Rapid Economic Justification) と各種の TCO 調査を行った結果、Windows XP Professional をインストールした場合、信頼性と安定性の向上が、ユーザーの生産性、効率性、そしてサポートコストに直接影響を及ぼすことがわかりました。調査によれば、ワイヤレス機能と組み合わせた場合、管理運用費が大幅に削減され、生産性と効率性が上昇しました。また、プラグアンドプレイ (PnP)、ウォームドッキング、休止、アドバンストパワーマネージメントといった機能を使用することで、ラップトップコンピュータ 1 台あたり年間で 259 ドルの節約になることが分かりました。モバイルのシナリオで Windows XP を使用する利点の詳細については「モバイルユーザーにとってのWindows XP と Office XP」を参照してください。Windows XP のワイヤレスネットワーキング機能だけでも、ラップトップコンピュータ 1 台あたり年間で 830 ドルの節約になります。REJ の詳細については、https://www.microsoft.com/business/enterprise/value.mspx を参照してください。
Windows XP Professional には、あらゆるワイヤレスユーザーにとってリモートアクセスとワイヤレスアクセスを簡単にするための新機能と拡張機能が備えられており、生産性の大幅な向上に役立ちます。Windows XP Professional にはワイヤレスネットワーキングを自動的に有効化できる機能があり、非常に有益です。また、IT サポートスタッフの介入なしにユーザーが機能を使用できるようにする Wireless Zero Configuration サービスといった機能により、費用が低減されます。次のような状況で、Windows XP と Wireless Zero Configuration サービスによってユーザーの生産性を向上させることができます。
ワイヤレスネットワークアダプタをインストールすると、Windows XP Professional は、接続可能なネットワークを検索します。接続可能なネットワークと優先するネットワークが一致すると、Windows XP Professional はそのネットワークに接続します。優先するネットワークが設定されていない場合、または優先するネットワークが見つからない場合は、接続したいネットワークをユーザーが選択できます。ユーザーは優先するネットワークの一覧に優先順位を付けることができます。Windows XP Professional は、その優先順位リストを保管し、その順にネットワークに接続します。接続は、ユーザーの介入なしに管理できますが、特定のネットワークの選択や接続順序の優先順位付けにユーザーの介入が必要な場合もあります。
自動構成機能により、モバイルユーザーにとってのワイヤレスネットワーキングがより実用的なものになります。以前の Windows バージョンでの、サードパーティのデバイスドライバを使用したワイヤレスネットワークの構成と比較し、Windows XP では非常に簡単に構成を実行できるため、あらゆるタイプのモバイルユーザーが簡単に各自のワイヤレス接続を構成できます。ネットワーク構成が単純化されることで、組織では、ラップトップ 1 台あたり年間 68 ドルが節約できると見込まれます。ワイヤレスネットワーキングと単純化されたネットワーク構成は、IT プロフェッショナルにも利点をもたらします。ユーザーが自分自身でネットワーク接続を構成できるようになるため、サポートする必要はあまりありません。IT プロフェッショナルは、モバイルユーザーにオペレーティングシステムを展開する際に、接続計画と構成をすべて行っておく必要がなくなります。モバイルユーザーが環境を変更して新しいネットワーク接続を構成する際も、ヘルプデスクへの依頼はこれまでより少なくなります。
ユーザーがワイヤレスコンピュータを別の場所に移動すると、Windows XP Professional は、最適な通信先ワイヤレスアクセスポイント (AP) を自動的に探して接続を維持します。新しいワイヤレス AP が見つかると、ユーザーの介入を必要とすることなく、そのワイヤレス AP に自動的に認証と承認をネゴシエートします。これはモバイルユーザーにとって非常に便利です。ユーザーは特定のワイヤレスネットワーク内で自由に移動でき、ネットワークとの接続を常に維持できます。また、一時的なワイヤレスネットワークも設定できます。これは、会議中にユーザーが情報を共有したり共同作業を行ったりする場合に便利です。
Windows XP は、Wireless Zero Configuration サービスで定義されていること以外にも、さまざまな方法でワイヤレスネットワーキングを向上させています。たとえば、このオペレーティングシステムには、ほとんどの一般的なワイヤレスアダプタのデバイスドライバが含まれています。また、Windows XP に含まれるデバイスドライバは、Wireless Zero Configuration を完全にサポートしています。IT プロフェッショナルは、ワイヤレスアダプタ用にサードパーティのデバイスドライバを展開する必要がほとんどなく、モバイルユーザーは、デバイスドライバを自分でダウンロードしてインストールする必要がありません (ワイヤレスアダプタの購入前にハードウェア互換性リスト [HCL] を確認してください)。また、Windows XP には、IEEE 802.1X セキュリティのサポートが組み込まれています。802.1X は Wi-Fi ネットワーキングの基本的セキュリティフローの一部を緩和し、セキュリティ保護された認証方式やセッションごとの暗号キーを使用するワイヤレスネットワークの展開を可能にします。Windows XP と 802.1X ワイヤレスセキュリティの詳細については、「ワイヤレスのセキュリティ」 セクションを参照してください。
ワイヤレス機能の展開
マイクロソフトでは、敷地内全域にワイヤレスネットワーキングを展開しています。まず、当社の経験の紹介から始めるのが、展開過程の説明にはよいでしょう。このプロジェクトの詳細については、Microsoft Wireless LAN Deployment and Best Practices (英語) を参照してください。この文書では概要のみを紹介していますので、ワイヤレスネットワーキングの展開の詳細については、「Deploying Enterprise Mobility and Collaboration」を参照してください。以下に、マイクロソフトが自社のプロジェクトで実行した展開手順を紹介します。
設置準備。この段階の手順は、3 つに分かれます。最初のステップは、ワイヤレス AP の設置場所計画です。これは各社の設計ガイドラインに基づいて決定します。たとえば、マイクロソフトのガイドラインでは、設置場所の 95% では、特別なアンテナを必要としてはならないと定められていました。次のステップは、提案されたワイヤレス AP の場所を実際に検証し、物理的な障害の有無を調べることです。最後のステップは、AP の実際の設置前に、最終的に決めた場所の承認を得ることです。
設置。ワイヤレス AP の物理的な設置には、3 つのステップがあります。最初のステップは、ワイヤレス AP とアンテナに、火災防止規約に沿った囲いを設置することです。次のステップは、無停電電源装置を使用して、バックアップ電源に、集中化した低電圧電源装置を構成することです。最後のステップは、認証インフラストラクチャを構築することです (マイクロソフトの場合は、インターネット認証サービス[IAS] と公開キーインフラストラクチャ[PKI] を使用しました)。
引き渡し。これは、技術者がワイヤレス AP の設置を抜き取り検査し、仕様に準拠していることを確認するプロセスです。技術者は、各 AP の無線周波数受信可能範囲およびネットワーク接続も検査します。このプロセスの最後に、技術者は、各ワイヤレス AP の最終配置を示した現況文書を提出します。
ロールアウト。マイクロソフトの場合、ロールアウトは 3 つのステップで実行されました。最初のステップで、証明書をインストールするための暗号化 API コンポーネントオブジェクトモデル (CAPICOM) スクリプトを作成しました。それから、手順書、最新ドライバ、および CAPICOM スクリプトに関する情報を提供するための Web サイトを作成しました。最後に、ワイヤレスアクセス取得のための情報とともに、この Web サイトについてユーザーに通知しました。ワイヤレスアクセスに必要なコンピュータとユーザー証明書を取得するため、ユーザーは有線のEthernet 接続を使用して社内ネットワークに接続する必要があります。
これ以降のセクションでは、ワイヤレスネットワーキングを組織に展開する際に突き当たる可能性のある課題について説明します。具体的には、パフォーマンス、拡張性、ローミング、モビリティ、セキュリティなどについて、マイクロソフト自身の大規模展開の経験に基づいて述べます。これらは、以下に説明する構成および図1. セキュリティ保護されたワイヤレス構成 (PEAP with MS-CHAP Version 2 for Secure Password-based Wireless Access の記事で説明するような、PEAP MS-CHAP v2 によるサードパーティ証明書を使用する場合は、証明機関 (CA) サーバーはオプションです)に示す構成を前提としています (コンポーネントとセキュリティワイヤレス認証のプロセスの詳細については、Windows XP Wireless Deployment Technology and Component Overview (英語) の記事を参照してください)。
Windows XP **を実行しているワイヤレスクライアントコンピュータ。**Windows XP には、Wi-Fi ワイヤレスネットワーキングおよび拡張認証プロトコル (EAP) を使用した 802.1X 認証のサポートが組み込まれています。802.1X および EAP の詳細については、「IEEE 802.1X」セクションを参照してください。
2 台以上の Windows 2000 IAS **サーバー。**リモート認証ダイヤルインユーザーサービス (RADIUS) ベースの認証用にフォールトトレランスを提供するため、2 台以上の IAS サーバー (プライマリおよびセカンダリ各 1 つ) を使用します。RADIUS サーバーが 1 台しか構成されていない場合、その 1 台が使用不能になると、ワイヤレスアクセスクライアントは接続できなくなります。2 台の IAS サーバーを使用して、すべてのワイヤレス AP を RADIUS クライアントとしてプライマリおよびセカンダリ両方の IAS サーバーに構成すると、プライマリ RADOUS サーバーが使用不能になった場合に RADIUS クライアントがそれを検出し、自動的にセカンダリ IAS サーバーにフェールオーバーします。Windows 2000 IAS サーバーには Service Pack 3 (SP3) が必要です。詳細については 「RADIUS」 を参照してください。
Active Directory **サービスドメイン。**Active Directoryョ ドメインに、ユーザーアカウント、コンピュータアカウント、およびダイヤルインプロパティを含めます。これは、各 IAS サーバーが資格情報を認証して承認と接続の制限を評価するために必要です。IAS の認証および承認の応答時間を最適化し、ネットワークトラフィックを最小化するために、必須ではありませんが、Active Directory ドメインコントローラに IAS をインストールすることをお勧めします。ドメインコントローラには SP3 が必要です。詳細については 「Active Directory」 を参照してください。
**証明書インフラストラクチャ。**ワイヤレスクライアントを認証する際に、EAP-Transport Level Security (TLS) 認証プロトコルと、ローカルにインストールされたコンピュータおよびユーザー証明書を使用します。証明書インフラストラクチャは PKI とも言い、証明書の発行と検証に必要です。詳細については 「証明書」 を参照してください。または、サードパーティの証明機関 (CA) からコンピュータの証明書を購入し、Microsoft チャレンジハンドシェイク認証プロトコル(MS-CHAP) v2 認証で Protected EAP (PEAP) に使用することもできます。詳細については、ホワイトペーパー 「セキュリティ保護されたパスワード ベースのワイヤレス アクセスのための PEAP および MS-CHAP v2」 を参照してください。
**ワイヤレスリモートアクセスポリシー。**従業員が組織のイントラネットにアクセスできるよう、リモートアクセスポリシーがワイヤレス接続用に構成されていること。
複数のワイヤレス AP **。**複数のサードパーティワイヤレス AP が、企業内の各ビルでワイヤレスアクセスを提供していること。ワイヤレス AP は 802.1X と RADIUS をサポートしている必要があります。
図 1 : セキュリティ保護されたワイヤレス構成
(「セキュリティ保護されたパスワード ベースのワイヤレス アクセスのための PEAP および MS-CHAP v2」 の記事で説明するような、PEAP MS-CHAP v2 によるサードパーティ証明書を使用する場合は、証明機関 (CA) サーバーはオプションです)
パフォーマンス
最高のパフォーマンスを実現するためには、次のベストプラクティスを活用してください。
ワイヤレス AP の負荷が超過しないように、接続するワイヤレスクライアントの数を制限してください。ほとんどのワイヤレス AP は数百のワイヤレス接続をサポートできますが、現実的には 20 ~ 25 のクライアント接続が限界です。WLAN を効果的に使用しながらパフォーマンスを最大化するには、ワイヤレス AP 1 つにつき 2 ~ 4 ユーザーまでが最適です。
密集度が高い環境では、ワイヤレス AP の信号強度を下げ、受信可能範囲を狭くしてください。こうすると、より多くのワイヤレス AP を特定の空間に割り当てられ、より広いワイヤレス帯域幅を多くのワイヤレスクライアントに配分できます。
拡張性
拡張性を最大化するためには、次のベストプラクティスを活用してください。
ワイヤレス AP のいずれかに障害が発生した場合に備え、また建物内でのシームレスなローミングを実現するため、無線受信可能範囲が相互に重なるように設計してください。このため、マイクロソフトでは、WLAN の受信可能範囲を直径 20 メートルとしました。また、各ワイヤレス AP について、受信可能範囲とネットワーク接続性について詳細に検証しました。マイクロソフトでは、受信可能範囲を狭くした後、チャネル構成を使用して受信可能範囲が重なるようにしたり、Bluetooth (BT) 干渉を緩和したりして、テストを行いました。
Active Directory フォレスト内で発生する大量の認証トラフィックのため、ワイヤレス AP と RADIUS サーバーとの間に、Windows .NET Server 2003 IAS を実行した RADIUS プロキシを使用してください。既定では、IAS RADIOUS プロキシが、認証ごとにリモート RADIUS サーバーグループの全メンバー間で RADIUS トラフィックの負荷を分散し、フェールオーバーやフェールバックのメカニズムを使用します。IAS プロキシが特定の RADIUS サーバーを優先的に使用するよう、リモート RADIUS サーバーグループの個々のメンバーに優先度と負荷を設定することもできます。
ローミングとモビリティ
最適なワイヤレスローミング環境を実現するには、各ビル内のすべてのワイヤレス AP を、同じ IP サブネット上に構成してください。こうすることで、各ビル内でのワイヤレスローミングがシームレスになります。ワイヤレスクライアントが複数の異なるワイヤレス AP に関連付けられている場合、DHCP の更新プロセスでは、既存の TCP/IP 構成のリースのみが更新されます。ビル間でのローミングと DHCP 更新プロセスにより TCP/IP 構成が変更されるため、TCP/IP 構成の変更を適切に処理できないアプリケーションでは問題が発生する場合があります。どちらの場合も認証に EAP-TLS と証明書が使用されるため、ユーザーは WLAN の承認を受けるよう求められることはありません。
セキュリティ
マイクロソフトでは、ワイヤレス接続の認証方式として、レジストリに基づいて、ユーザーおよびコンピュータ証明書を使用する EAP-TLS を選択しました。その理由については、「ワイヤレスのセキュリティ」 セクションで説明します。EAP-TLS は、セキュリティ保護された認証とキーの管理を行います。
また EAP-TSL は、WLAN のスヌーピング防止にも役立ちます。802.1X ネゴシエーションの EAP メッセージは、標準テキストとして送信されます。しかし、EAP-TLS および公開キー暗号化を使用することにより、盗聴者がワイヤレスクライアントや認証サーバーに偽装するために必要な情報を取得することを防止できます。EAP-TLS ネゴシエーションが完了した後、認証済みのワイヤレスクライアントと、その関連付けられたワイヤレス AP との間で送受信されたすべてのトラフィックは、認証ごとに変更される Wired Equivalent Privacy (WEP) セッションキーで暗号化されます。
マイクロソフトの WLAN で不良なワイヤレス AP の発生を防止するためにも、EAP-TLS が使用されています。これにより、ワイヤレス AP と認証 RADIUS サーバー間の相互認証が実行されます。ある AP が、マイクロソフトのワイヤレス AP であるかのように偽装するには、Microsoft RADIUS サーバーとセキュリティ関係を持っている必要があります。ワイヤレス AP がセキュリティ関係および構成を持たない場合、RADIUS サーバーとの間で RADIUS メッセージを交換できないため、802.1X ワイヤレスクライアントを認証できません。不良なワイヤレス AP を不良な RADIUS サーバーの RADIUS クライアントとして構成することは可能です。しかし、マイクロソフトのワイヤレスクライアントは、既定の設定で RADIUS サーバーの証明書を検証することになっています。このため、ワイヤレス AP の RADIUS サーバーが、有効な証明書と、対応する秘密キーを認識しているという証明を提示できない場合、ワイヤレスクライアントは接続を終了します。ワイヤレスネットワークのセキュリティ保護の詳細については、次の 「ワイヤレスのセキュリティ」 を参照してください。
ワイヤレスのセキュリティ
このセクションでは、次のような、セキュリティの課題とソリューションについて説明します。
ワイヤレスネットワーク上を通過するデータの盗聴を防止する。
強力な認証を使用して、ワイヤレスネットワークへの侵入を防止する。
不良なワイヤレス AP からネットワークを保護する。
WLAN 市場の中で Wi-Fi 標準規格は急速に成長してきましたが、業界では、多くのセキュリティ問題も持ち上がっています。Wi-Fi 標準規格は、WEP アルゴリズムに基づいて認証および暗号化サービスを定義しています。WEP アルゴリズムは認証と暗号化に 40 ビット共有秘密キーを使用し、多くの Wi-Fi 実装は 104 ビット秘密キーもサポートします。ただしこの標準規格ではキー管理プロトコルは定義されておらず、秘密、共有キーが、Wi-Fi からは独立した安全なチャネルを介してクライアントに配信されていると見なします。つまり、WEP ではキー管理がほとんど不可能であるため、大企業規模のワイヤレス展開には適さないということです。
WEP キー管理プロトコルがないという点は、Wi-Fi セキュリティの実現における重大な制限事項となります。特に、ワイヤレスインフラストラクチャネットワーク (有線ネットワーク接続のために AP を使用して構築しているワイヤレスネットワーク) で多くのステーションを持つ場合に影響します。このようなタイプのネットワークには、企業の敷地内に配備されたネットワークや、空港やショッピングセンターといった公共スペースのネットワークなどがあります。手動で構成した共有キーが使用される場合、そのキーは長期間有効である傾向があるため、ハッカーがさまざまな攻撃を仕掛けて、ネットワークにアクセスするチャンスが増えます。認証や暗号化サービスがないと、一時的にワイヤレスネットワーク (ピアツーピアのワイヤレスネットワーク) を使用して、ファイル交換やワイヤレスでの共同作業を行いたいと、ユーザーが考えるかもしれない業務にも影響します。たとえば、会議室でファイルを共有する場合などがこれにあたります。結果として、ワイヤレス環境での認証および暗号化の重要性は増し、Wi-Fi でのキー管理プロトコル定義を含む、アクセス制御およびセキュリティ機構の必要性は明らかです。
キー管理プロトコルがない点以外にも、WEP に関する問題点がいくつか指摘されており、そのセキュリティ水準が懸念されています。次のような問題点があります。
**キーの再利用。**WEP によるキーの割り当て方法が原因となって、キー解明のための攻撃が成功する場合があります。この種の攻撃で WEP キーを完全に解読するには 500 ~ 600 万もの大量のパケットが必要ですが、負荷の高い大規模ネットワークでは、10 分ほどの短い時間でこの程度のパケットが発生することがあります。ただし、非常に大規模な企業ネットワークでは、必要なパケットを集めるのにより長い時間が必要となる場合もあります。WEP 保護されたワイヤレスネットワークでは、多くの場合、複数のステーションまたはすべてのステーションが同じ共有キーを使用しており、WEP キーが頻繁に変更されない限り、ネットワークの安全性が損なわれます。このことからも、WEP キー管理プロトコルの必要性がさらに高まります。
**不正パケットの注入。**ハッカーが暗号化パケットの構造 (既知のプロトコルヘッダフィールドなど) を知っている場合、いくつかのビットを投入して不正パケットを作成し、パケットを変更して、コマンドやアドレスを変えることができます。暗号化パケットは改ざんされていないことを証明するために整合性チェックを受けますが、WEP 内で実行されるため、新しいパケットに対して有効になるよう整合性チェックを修正することが可能です。従って、宛先で受け入れられてしまいます。ハッカーがこのパケット内での宛先アドレスの場所を知っている場合、未知のパケット上でアドレスを変更できます。そしてハッカーが制御するマシンを宛先に指定されてしまいます。パケットがワイヤレスネットワーク上で送信される場合、AP がパケットを解読し、不正な宛先に送信します。
**リアルタイムの解読。**WEP アルゴリズムの脆弱性により、ハッカーは、すべてのトラフィックをリアルタイム に解読できてしまいます。
**その他の脆弱性。**Wi-Fi には、ほかにも次のようなセキュリティの脆弱性があります。
ユーザー識別およびユーザー認証が行われない。
一か所で集中して認証、承認、アカウンティングを行うためのサポートがない。
パケットの送信元を特定するためのパケットごとの認証機構が存在しない。
実装によってはパスワードに基づいてWEP キーが生成されるため、パスワードの脆弱性の原因になる。
トークンカード、証明書/スマートカード、一時パスワード、バイオメトリックスといった拡張認証機能をサポートしていない。
グローバルキーの再キーイングや、ステーションごとまたはセッションごとの動的なキー管理のしくみがない、といったキー管理の問題点がある。
これらの問題はすべて、ユーザー管理、キー管理、およびセキュリティの 3 つに分類できます。マイクロソフトは、この問題を解決するための、ポート単位のネットワークアクセス制御 (802.1X) ドラフト版標準規格の定義のため、IEEE 標準化グループのほかの企業と密接に協力し合ってきました。また、802.1X をどのようにして Wi-Fi ワイヤレスネットワークに適用できるかを定義するため、IEEE 内でも作業してきました。次のセクションでは、これらの問題に対する 802.1X のソリューションについてお話しします。ワイヤレスセキュリティのソリューションに関する技術情報については、Microsoft がリードする確実なワイヤレス ネットワークおよび Windows XP でのワイヤレス 802.11 セキュリティ を参照してください。
IEEE 802.1X
802.1X は、キー管理とセキュリティの課題に対応しています。802.1X 標準規格は、ポート単位でネットワークアクセス制御を定義しており、Ethernetネットワーク用のネットワークアクセス認証を提供しています。このネットワークアクセス制御では、スイッチ型 LAN インフラストラクチャの物理特性を利用して LAN ポートに接続されたデバイスを認証します。認証プロセスが失敗した場合はそのポートへのアクセスが拒否されます。この標準は、元来、有線のEthernetネットワーク用に作成されましたが、IEEE はWi-Fi LAN 用としても採用しました。
802.1X の標準的な認証のしくみとして、IEEE は EAP を選択しました。EAP はポイントツーポイントプロトコル (PPP) 認証のしくみを基盤としていますが、ポイントオンポイント LAN セグメントで利用するように採用されました。Ethernet や WLAN セグメント上で EAP メッセージの送信を可能にするため、802.1X 標準規格は、EAP メッセージをカプセル化する標準的な方法である EAP over LAN (EAPOL) を定義しています。802.1X の詳細については、Wireless Network Security with IEEE 802.1X (英語) を参照してください。
EAP-TLS は、証明書に基づいて、セキュリティ環境で使用するタイプの EAP です。リモートアクセス認証にスマートカードを使用する場合は、EAP-TLS 認証方式を使用する必要があります。EAP-TLS 認証プロセスでは、アクセスクライアントと認証サーバーにインストールされた証明書を交換して、相互の認証、暗号化、セキュリティ保護秘密キー交換、および判定を可能にします。EAP-TLS は、非常に強力な認証方式を提供します。
Windows XP には、802.1X サポートがあらかじめ組み込まれています。主要な NIC ベンダはすべて 802.1X をサポートしており、そのほとんどは 802.1X の Windows ドライバをリリースしています。同様に、主要なエンタープライズ AP ベンダはすべて、802.1X をサポートしています。サポートに関する詳細については、ハードウェアのベンダにお問い合わせください。Microsoft Windows 2000、Windows Millennium Edition、Windows 98、および Windows NTョ 4.0 Workstation の 802.1X サポートの詳細については、Microsoft 802.1x Authentication Client (英語) を参照してください。
RADIUS
RADIUS は、認証、承認、およびネットワークアクセスのアカウントを集中的に管理するためのプロトコルで、広く普及しています。本来、RADIUS はダイヤルアップリモートアクセス用に開発されましたが、現在ではワイヤレス AP でサポートされ、Ethernetスイッチ、VPN サーバー、DLS アクセスサーバー、およびその他のネットワークアクセスサーバーを認証しています。
Windows 2000 Server および Microsoft Windows .NET Server 2003 ファミリで提供されている IAS は、マイクロソフトが実装したRADIUS サーバーであり、Windows .NET Server 2003 ファミリでは、RADIUS プロキシでもあります。IAS は、ワイヤレス、認証スイッチ、ダイヤルアップ、VPN ベースのリモートアクセスとルータ間接続を含む、多様なタイプのネットワークアクセスの接続認証、承認、およびアカウンティングを集中管理します。IAS により、ワイヤレス、スイッチ、リモートアクセス、VPN 機器などの異機種セットの使用が可能になり、また Windows 2000 Server や Windows .NET Server 2003 ルーティングとリモートアクセスサービスとともに使用できます。
IAS サーバーが Active Directory ベースのドメインのメンバーである場合、IAS は Active Directory をユーザーアカウントデータベースとして使用し、シングルサインオン (SSO) ソリューションの一部となります。ネットワークアクセス制御 (ネットワークへのアクセスの認証と承認)、Active Directory ベースのドメインへのログオン、およびリソースへのアクセスに、同じ資格情報が使用されます。この統合により、ワイヤレスネットワークのユーザー管理の計画、構成、および展開が非常に簡単になります。
RADIUS サーバーの利用についての情報は、次のリソースを参照してください。
RADIUS サーバーの詳細と、展開のベストプラクティスについては、ホワイトペーパー 「RADIUS Protocol Security and Best Practices」 (英語) を参照してください。
IAS の詳細については、ホワイトペーパー 「Internet Authentication Service for Windows 2000」 (英語) を参照してください。
ワイヤレスの展開に使用される IAS の詳細については、「Enterprise Deployment of IEEE 802.11 Using Windows XP and Windows 2000 Internet Authentication Service」 (英語) を参照してください。
マイクロソフトが自社のインフラストラクチャに IAS を展開した方法と、その結果得られたベストプラクティスについては、ホワイトペーパー 「Microsoft Wireless LAN Deployment and Best Practices」 (英語) を参照してください。
Active Directory
Active Directory は、分散コンピューティング環境用に設計されたディレクトリサービスです。Active Directory は、ネットワークのリソースとユーザーに関する情報を共有し、リソースとユーザーを集中管理し、同時にネットワークセキュリティの集中管理機関としても機能します。Active Directory は、Windows 環境に包括的なディレクトリサービスを提供するだけでなく、ディレクトリの分離、移行、集中管理、およびディレクトリ削減のための統合ポイントにもなります。ワイヤレスアクセス用に、Active Directory ドメインには認証用のユーザーおよびコンピュータアカウントが保存されており、またコンピュータ証明書展開のためのグループポリシー設定も保存されています。マイクロソフトがワイヤレスネットワーキング用に Active Directory を展開した方法と、その結果得られたベストプラクティスについては、ホワイトペーパー 「Microsoft Wireless LAN Deployment and Best Practices」 (英語) を参照してください。
証明書
証明書とは、公開キー暗号化テクノロジでデジタル署名されたステートメントであり、公開キーの値を、対応する秘密キーを所持するユーザー、デバイス、またはサービスの ID と結合します。証明書は、証明機関 (CA) によって発行されます。公開キー暗号化技術では、公開キーと秘密キーのペアを使用して、メッセージを暗号化したり、メッセージにデジタル署名を付けたりします。公開キー暗号化と Windows 2000 PKI の詳細については、Windows 2000 セキュリティ サービスの Web ページを参照してください。マイクロソフトがワイヤレスネットワーキング用に証明書を展開した方法と、その結果得られたベストプラクティスについては、ホワイトペーパー 「Microsoft Wireless LAN Deployment and Best Practices」 (英語) を参照してください。
まとめ
Windows XP Professional と Office XP は、ワイヤレスネットワーキングとコラボレーションを幅広くサポートします。Windows XP Professional と Office XP への移行は、モバイルソリューション構築の最初のステップかもしれませんし、ビジネスプロセスにモビリティを組み込むために現在進めている戦略の一部かも知れません。いずれにしても、このテクノロジは今ここにあり、レガシーシステムとも互換性があるテクノロジです。つまり、Windows XP と Office XP のビジネスデスクトップは、ワイヤレスソリューションを利用して、現在からあるべき未来へと向かう布石となるのです。
企業の大規模なネットワークシステムをアップグレードするのは困難な作業ですが、このホワイトペーパーで説明したように、Windows XP Professional に組み込まれた機能を利用すると、セキュリティ保護されたワイヤレスネットワークへの移行プロセスは非常に簡単になります。さらに、Systems Management Server (SMS) といったアプリケーションにより、展開と資産の記録も簡単に実行できます。無人インストールや Wireless Zero Configuration といった機能を備えた Windows XP Professional は、ワイヤレスネットワークエクスペリエンスを実現するための、最適な選択肢です。
外出が多かったり、社内を飛び回る人々も、在宅勤務者も、データ収集を行う人々も、時間と場所を選ばずに仕事を行い、コラボレーションできることで、能力や意欲を高めることができるでしょう。Windows XP Professional と Office XP は、モビリティとコラボレーションの実現によってユーザーの生産性を向上させる、強力なビジネスツールとなります。
詳細情報
Enterprise Deployment of Secure 802.11 Networks Using Microsoft Windows (英語)
Wi-Fi (英語)
Windows XP Wireless Deployment Technology and Component Overview (英語)
用語集
CDMA **。**コード分割多重アクセス方式 (CDMA) テクノロジは、第二次世界大戦中に米軍によって使用されたのが最初です。CDMA はランダムシーケンスを使用して電波信号をコード化し、それによってチャネルを定義し、会話をデジタル信号に変換します。他のワイヤレス伝送テクノロジと比べて、信頼性、バッテリ寿命、およびセキュリティに優れていると言われています。第二次世界大戦中に軍にハードウェアを提供した QUALCOMM は、現在、戦後公開されたこのテクノロジの特許を申請しています。
GPRS **。**General Packet Radio Service (GPRS) は、Global System for Mobile Communication (GSM) ネットワーク上で高速インターネットサービスを提供します。このプロセスでは、パケットをバースト送信するため、すばやい接続、高速なデータ伝送、そしてローミングユーザーへの高速応答が実現されます。セットアップやインストールも簡単です。
GSM **。**GSM は 1991 年に導入され、1997 年にサービスが開始されました。このパケットテクノロジは、モバイルデバイス用に GSM ネットワーク上での高速ワイヤレスアクセスを提供し、周波数ごとに 8 件の同時コールをサポートします。GSM は 100 か国以上で利用可能で、既定サービスは、ヨーロッパ、アジア、およびオーストラリアで利用できます。GSM は、1990 MHz 周波数で南北アメリカでも使用できます。
IEEE 802.11 **。**IEEE 802.11 プロトコルは、ワイヤレス業界の標準規格です。メディアアクセス制御 (MAC) を管理する物理レイヤとサブレイヤを定義します。このプロトコルは、2 つの認証方式を定義します。オープンシステム認証は、ネットワークへのフリーアクセスを許可し、共有キー認証は、事前に設定した署名を使用して、セキュリティを提供します。オープンシステム認証と共有キー認証の詳細については、802.11 Authentication (英語) と Configuring Wireless Network Policies (英語) を参照してください。
IEEE 802.11b (Wi-Fi) **。**IEEE 802.11b プロトコルは、物理レイヤを拡張および標準化するため、より高いビットレートをサポートでき、高速でのワイヤレスネットワーキングを可能にします。このプロトコルは、5.5 Mbps および 11 Mbps のビットレートをサポートします。
IEEE 802.1X **。**802.1X 標準規格はポート単位のネットワークアクセス制御を定義しており、Ethernet (有線) ネットワークおよびワイヤレスネットワーク用にネットワークアクセス認証を提供しています。Windows XP Professional には 802.1X サポートが組み込まれています。Windows 2000、Windows Millennium Edition、Windows 98、および Windows NT 4.0 Workstation での 802.1X サポートは、Microsoft 802.1X Authentication Client (英語) で提供されています。
IETF **。**Internet Engineering Task Force (IETF) は、ネットワーク開発者、アーキテクト、設計者、およびインターネットアプリケーションの設計向上とインターネットツールおよびアプリケーションの効果的な開発に関心を持つあらゆる人々のコミュニケーションを促進するための、オープンな組織です。
ITU **。**International Telecommunication Union (ITU) はスイスのジュネーブにあり、国際的な通信ネットワークおよびサービスの標準規格を確立するため、国連と共同作業を行っています。ITU の目的は、国際的なテレフォニーおよびワイヤレスの標準規格を確立するために政府とともに働く、国際独立エージェントとして機能することです。
TDMA **。**時分割多重アクセス方式 (TDMA) テクノロジは、携帯電話からベースステーション AP にデジタルパケットを伝送するために使用されます。TDMA は、伝送データを小さく分割し、短時間のユニットを連続させて、同時に多数の通話を送信できるようにします。「GSM」の項で説明したように、GSM は、TDMA を使用して、周波数ごとに 8 件のコールをサポートします。
Wi-Fi Alliance **。**Wi-Fi Alliance は、IEEE 802.11 仕様に基づいて WLAN 製品の相互運用性を認定するために 1999 年に組織された、非営利の国際的な協議会です。Wi-Fi Alliance のメンバーの目的は、製品の相互運用性によってユーザーエクスペリエンスを向上させることです。マイクロソフトの Wi-Fi サイト (Wi-Fi) (英語) には、一連の技術情報へのリンクがあります。
WLAN **。**ワイヤレスローカルエリアネットワーク (WLAN) は、企業環境内にワイヤレスネットワークアクセスを提供します。ローミングワイヤレス接続を使用することで、ユーザーは、接続サービスを維持したまま、ビル間やフロア間を移動することができます。WLAN には、インフラストラクチャとアドホックの 2 種類があります。インフラストラクチャネットワークは、ワイヤレス AP を介して、個々の PC (ステーション) を、有線ネットワークに接続します。アドホックネットワークでは、個々のユーザーが一時的なワイヤレスネットワークを形成して、ワイヤレス AP なしにデータ共有や共同作業を行うことができます。
WPAN **。**ワイヤレスパーソナルエリアネットワーク (WPAN) は、個人のスペース内にワイヤレス接続を提供するために設計されています。ユーザーを中心として 10 メートル (約 30 フィート) 以内で、アドホックなワイヤレス接続を提供します。このようなネットワークは、携帯電話、ラップトップ、または PDA に使用され、赤外線を使用して 1 メートル (3 フィート) 以内にあるデバイスにデータを送信するか、または Bluetooth を使用します。
WWAN **。**ワイヤレスワイドエリアネットワーク (WWAN) は、広範囲の地域内にワイヤレス接続を確立するために設計されています。WWAN が伝送を行う範囲は非常に広いため、ワイヤレスサービスプロバイダが管理するサテライトや複数のアンテナサイトを使用してデータを送信します。ワイヤレスのメーカーや開発者は、ワイヤレス業界の標準化に努力していますが、現在のところはまだ統合されていません。GSM は、その中でも広く使用されていますが、CDMA およびその 1xRTT 標準規格も使用できます。
ダウンロード
モビリティとコラボレーションのためのワイヤレス ネットワーキング
260 KB
Microsoft Word file