前回までにご紹介した、表札（SSID）や鍵（暗号化キー）に加えて、「ユーザ認証」の仕組みを用意することでセキュリティレベルを高めることができます。今回は「ユーザ認証」を行う仕組みと、認証を行う「認証サーバ」についてご説明します。

2つ目の鍵「ユーザ認証」

「ユーザ認証」というと、「難しそう」と感じたり、「また、IDとパスワードを覚えなきゃいけないの？」と思われるかもしれませんが、OS（Windows）にログオンする際に使用しているユーザIDとパスワードに加え、後述する「証明書」を使って、自動的に無線LANに接続してもよいかどうかを判断して許可する仕組みを用意するという方法を採用すれば、利用者が日常的に面倒な操作をする必要はありません。

前回、SSIDを「家の表札」、セキュリティキーを「家の鍵」のようなものだとご説明しましたが、「ユーザ認証」は、「指紋認証」や「顔認証」など、その人しか持っていないものを使った鍵の一種だと考えてください。

この「ユーザ認証」は、万が一家の表札（SSID）から誰の家かがばれてしまい、さらに玄関の鍵を複製されたり、盗まれたり（暗号化キーが漏えい）したとしても、他人が家の中に入ることができないようにする「2つ目の鍵」なのです。

この「2つ目の鍵」に、ユーザIDとパスワードを利用する場合は、適切に設定したものをご利用いただかないと、「鍵」の役割を果たせなくなることは、これまでもご説明したとおりです。無線LANの利用に限らず、パスワードの重要さは、先生方はもちろん、児童生徒や保護者にも十分にご理解いただきたいところです。

認証サーバとは

無線LANのユーザ認証には、主に2通りの方法があります。1つ目は、利用者のユーザIDとパスワードによって、無線LANが使用できるかどうかを判断する方法です。2つ目は、予めタブレット端末の中にデジタル証明書を入れておき、その証明書によって無線LANの使用可否を判断する方法です。

この2つの方法はいずれも「認証サーバ」を用いて実現するので、それぞれの認証方法を詳しくご説明する前に、「サーバ」というものが持つ役割について、簡単にご説明しておきたいと思います。

「サーバ」や「サーバー」と聞くと、「ああ、あの大きいコンピュータのこと？」と思われるかもしれません。「サーバ」は、英語の「Server（給仕人、仕える人）」に由来し、何か依頼すると、あなたに代わってその依頼内容を実行してくれる人だと理解していただくとよいかと思います。

例えば、あなたが電子メールを読みたいと思ったとします。そのときあなたは、まずコンピュータやタブレット端末のメールソフトウェアを起動し（または、Webメールが読めるようWebブラウザを起動して）準備します。そのときあなたのコンピュータは、メールを管理している「メールサーバ」に対して「メールが読みたいので、届いているメールをください」と要求します。すると、要求を受け取ったメールサーバが、あなた宛てのメールをあなたのコンピュータに届けてくれるのです。これが「メール受信」の流れです。逆に誰かにメールを送りたいと思って、メールの送信ボタンを押すと、あなたのコンピュータはメールサーバに「宛先に記入している人のところにメールを送って」と依頼します。すると、メールサーバがあなたに代わってインターネットを通じてメールを送信してくれます。

サーバにはほかにも「ファイルサーバ」「プリントサーバ」「Webサーバ」といったさまざまな役割を持つサーバがあります。例えば、ファイルサーバなら、「このファイルを見たい」と思ったときに、該当するファイルがあなたのコンピュータで見られるように届けてくれるServer（給仕人）であり、プリントサーバは、印刷したいと要求したときにあなたの代わりにプリンタに印刷指示してくれるServer（給仕人）、Webサーバは、Webページが見たいと要求したときに表示してくれるServer（給仕人）なのです。

これらと同様に、無線LANの「認証サーバ」とは、あなたが無線LANを使おうとしたときに、このコンピュータが無線LANを使用していいかどうかを判断するために「認証」してくれるサーバなのです。

この認証サーバは、各学校に設置することも可能ですが、必ずしも学校ごとに設置しなくてはならないものではありません。センターサーバ方式と呼ばれるような中央管理型のシステムを運用している場合は、この認証サーバを教育センターなどに設置することもできます。

証明書を使って認証する

認証サーバを使った認証方法には主に２通りあり、１つはユーザIDとパスワードを用いて認証する方法です。

この場合、利用者が無線LANを使おうとするたび、IDとパスワードを求められます。つまり、Windowsへのログオンとは別に、無線LANでもIDとパスワードの入力が必要になるので、少々面倒です。

もう1つは「証明書」を用いて認証を行う方法です。無線LANの証明書は、タブレット端末やスマートフォンだけでなく、ノートPCなどのコンピュータでも利用されています。デジタル証明書を予めタブレット端末の中に入れておき、「認証サーバ」に証明書を覚えてもらうことで、「この証明書を持つタブレット端末なら、この無線LANを使ってもいいよ」と許可してもらうという仕組みです。例えるなら、自動車運転免許証や職員（社員）証のようなものと考えていただければよいと思います。

免許証を持つ人だけが車を運転できたり、職員証を持つ人だけが入館できたりするのと同じです。「証明書」を持つコンピュータだけが無線LANに接続して利用できるという「認証」を行い、利用者を限定します。

公的証明書は証明能力が高い分、コストがかかる

われわれの生活のなかで、いわゆる「証明書」と呼ばれるものは大きく2種類に分けられます。1つは、自動車運転免許証やパスポートなどのように公的機関が発行しているもの。もう一つは、職員（社員）証や入校許可証のように私的に発行されているものです。

この2つの大きな違いは、「費用面」と「証明能力」です。パスポートなど公的機関が発行する証明書を入手する際、多くの場合に費用がかかります。しかし、職員（社員）証のような私的な証明書はほとんどの場合で発行手数料を支払う必要はありません。これが費用面の違いです。デジタル証明書の場合も公的機関が認定してくれたものには、コストがかかります。

その反面、公的証明書は証明能力が高いというメリットもあります。自動車運転免許証は、車の運転を許可するという本来の目的だけではなく、携帯電話の新規契約などの際に身分証明書として使えます。しかし、市役所の職員証を提示しても契約してもらえません。デジタルの証明書の場合も、証明能力の違いは一般的な証明書と同様だと考えていただければと思います。

多要素認証

近年、ユーザIDやパスワードの漏えいや、デジタル証明書の偽造といった良くないニュースを聞くことが増えてきました。その対策として提案されているのが「2要素認証」です。

2要素認証とは、「利用者だけが知っている何か」「利用者だけが所有している何か」「利用者だけが持っている特性」のうち、2つの要素を組み合わせて利用者を確認する仕組みです。

身近なところでは、銀行のキャッシュカードなどは古くから2要素認証を採用しています。ATMからお金を引き出したり振り込んだりする際、あなただけが所有している「キャッシュカード」を使い、あなただけが知っている「暗証番号」を入力することで認証しています。

学校の無線LANにおいても、利用者本人だけが知っている「ユーザIDとパスワード」を入力し、利用者が使っているタブレット端末だけに組み込まれている「デジタル証明書」で認証するというように、2つの要素を使って身元確認ができて初めて、ネットワークに参加できるという仕組みは、ぜひ導入を進めていただきたいと思います。

最近では、これらに加えて指紋や虹彩（眼球前面の膜）といった「利用者だけが持っている特性」を用いた多要素認証を求める企業もあります。そのほかの情報セキュリティ対策としては、ワンタイムパスワードや顔認証、声紋、ICカード、USB認証キーなど、そのほかの手段を併用することで不正アクセスに対するセキュリティを高めていくことが可能です。

しかし、こうした認証の回数を増やせば増やすほど手間が増え、導入にもコストがかかります。セキュリティレベルを上げるということは、そういうものだとご理解いただければと思います。

（山本 和人：Ｓｋｙ株式会社 ICTソリューション事業部）

（2016年12月掲載）