IoTをネットワークに接続する時に一番課題となるのがセキュリティです。
なぜなら、多くのIoTはPCやスマートデバイスと違い、セキュリティの機能をほとんど持っていないからです。
アンチマルウェアなどのエージェントがインストールできないだけでなく、
ネットワーク接続で重要な802.1X認証を行うためのサプリカントをサポートしてないケースがほとんどです。
Wi-Fiの場合は、無線の暗号化のためにPSK(Pre-Shared Key:事前共有鍵)を使うしかないのですが、
単純なPSKは全ての端末で同じ共有鍵を使うため、その共有鍵を知っていれば、だれでもそのWi-Fiにアクセスできてしまします。
MAC認証と組み合わせて使うこともできますが、MAC認証自体、MACアドレスの偽証という課題が残ります。
MSPKとはそこで出てきたのが、MPSK(Multi Pre-Shared Key)です。
MPSKでは同じWi-Fi(SSID)に接続する時、端末毎に固有の共有鍵を使うため、共有鍵を他のユーザに教える必要がありません。
ArubaのMPSKでは、MPSKの発行にClearPassを利用します。
MPSKを発行する時に、端末のMACアドレスを登録するため、同じMPSKを使って別の端末をWi-Fiへ接続することもできません。
つまり、MACアドレスと、しれに紐づいたMPSKの両方を知る必要があります。
このMPSKを使うことで、IoTもセキュアにWi-Fiに接続することができます。
有線だと同じことはできないので、IoTの接続はWi-Fiの方がセキュアな接続が可能と言えますね。
端末(MACアドレス)の登録、MPSKの発行は誰がやるのか?MPSKを使う場合、上述の通り、端末のMACアドレスとMPSKを紐づける必要があります。
つまり、端末毎にMPSKを登録、発行、配布する必要があります。
全てを管理者が実施してもいいのですが、そうすると管理者の負荷も大きくなってしまします。
ClearPassにはポータルサイトを提供する機能もあり、ユーザ自身で簡単に端末(MACアドレス)を登録してもらうことができます。
もちろん、ページへのアクセスにはログインが必要なので、
誰がどの端末を登録したのかを管理者が確認できるようになっています。
この時に、オプションで端末のRoleを指定することもできるため、
端末に応じたネットワークのRBACを適用することもできます。
また、発行されたMPSKをClearPassからメールで自動配信することも可能です。
↓実際の登録ページ
MPSKと従来のPSKの動作の違いPSKはWi-Fiに接続する時に必要な事前共有鍵です。
MPSKではこの事前共有鍵を端末毎にClearPassが発行するということは、
端末がWi-Fiに接続する時に、AP/ControllerはClearPassにこの事前共有鍵を聞きに行くということです。
以下の図を見ると、Controller <-> ClearPass でMAC認証をしていることがわかります。
(MPSKはIAPでもサポートしているので、IAPの場合はAP <-> ClearPassになります)
このときにMACアドレスに応じたMPSKをRADIUS VSA(ベンダー属性値)として返すことで、MPSKを実現しています。
IoTもMPSKを使って、セキュアに接続をして、もっとWi-Fiを有効活用してみましょう。
#Wireless #ClearPass
------------------------------
Keita Shimono,
Aruba Japan SE Manager & Airheads Leader
------------------------------