テクノロジー解説

無線 LAN のアクセス ポイントからの電波は、その電波が届く範囲にあるすべてのデバイスで受信することができます。何のセキュリティ対策も施していないと、外部からでも簡単に社内ネットワークにアクセスしたり、電波として空気中にあるデータを傍受できてしまいます。そのため無線 LAN には、正当なユーザ以外の接続を禁止するユーザ認証、LAN 上を流れる情報の機密性を維持する暗号化が必須となります。現在販売されている無線 LAN 製品はいずれも、認証や暗号化に関する基本的なセキュリティ機能を備えていますが、より安心して無線 LAN を利用するためには、多層的防御が必要です。

有線 LAN の場合、物理的に LAN ケーブルを接続しなければならないため、無線 LAN に比べると、データの傍受や不正アクセスの可能性は低くなります。しかし、LAN ケーブルの接続さえしてしまえば、ネットワークへのアクセスが可能になり、スキャナを使ってデータが盗まれる危険性もあります。有線 LAN にも認証や暗号化は必要なのです。

Network Access Manager は、AnyConnect ユーザからはネットワーク接続のためのインターフェイスのように見えます。社内の有線 LAN や無線 LAN はもちろん、リモートアクセスも含めて、同じ手順でネットワークにアクセスできます。画面には接続可能な有線/無線 LAN とその状態（認証要/不要、信号強度）が一覧表示され、ユーザはその中から接続したいネットワークを選択します。

AnyConnect には IEEE 802.1x サプリカントとしての機能を備えていますので、有線/無線 LAN のどちらについてもネットワーク接続前にユーザ認証が実施され、登録ユーザのみがネットワークに接続できます。物理接続の認証方式としては、パスワード、証明書、およびトークン認証をサポートしており、認証情報に従って接続する VLAN を決定するといった運用も可能になります。また、無線 LAN については Wireless LAN Controller が RADIUS を介した認証をサポートしているので、あらゆるネットワーク接続方式の認証基盤を統一することができます。

有線ネットワークでは、デバイスの物理的な接続が必要となるため、物理セキュリティが重視されることが多いと思います。しかし、いったん接続されてしまうと、簡単にネットワークにアクセスできるという危険があります。また、イーサネットに接続したデバイスから送信される情報が暗号化されていない場合、すべてのデータがクリアテキストとして伝送されるため、不正に接続されたネットワーク スキャナによって通信を読み取られるおそれがあります。

シスコが TrustSec ソリューションの一部として提供している MACsec は、MACsec 対応スイッチとデバイスとの間の通信をレイヤ 2 レベルで暗号化し、情報漏えいのリスクを軽減します。