社内無線LANのセキュリティ向上～そのPC,会社PC？！～

本社がmsb Tamachi ステーションタワーSへ移転して1年半ほど経ちましたが、当時課題に挙がっていたWi-Fiに関するセキュリティ向上実施施策について書きます。

会社PCしか繋げられないんだよ、ホントに。

そです、SSIDと暗号化キー（Wi-Fiパスワード）を知ってたら、どんな機器でもアクセスできてしまうネットワーク環境は脆弱です。最低限のレベルとして、情シス担当者のみ知っているという対応では心細かったところを、802.1x認証のクライアント証明書運用をベースに「それ、会社のPCね」を担保でき、また、有効期限付きの証明書を用いることで、定期的に陳腐化したPCのあぶり出しにも成功しました。

副産物があってうれしい

情シス界隈あるあるですが、「セキュリティと利便性のバランス」はいつも天秤だと思っていたのですが、この件は私にとって両方とも向上する珍しい事例だと思っています。

と言いますのも、SSIDと暗号化キーの値を手動で値入力するのではなく、接続したいノードから一覧で表示されるSSIDを選択して然るべき接続方法を指定すればそれで接続完了しますし、暗号化キーの定期更新で無線LANネットワークのセキュリティレベルを担保しているような運用も、クライアント証明書の定期更新という運用に変更することができました。

最後に

今回ご紹介したシステムでご協力いただきましたベンダーさん側サイト内には導入事例としての掲載がありますので、より技術的に知りたい方はこちらをご覧ください。