公開日: 2006年12月25日
ダウンロード
『How to Support Smart Card Log-on for Remote Access VPN Connections』(英語) をダウンロードする
トピック
リモート アクセス VPN のスマート カード ログオンのシナリオ
はじめに
拡大し続ける市場でコストを低く抑えて競争力を維持する必要性から、通信テクノロジは進歩を遂げ、組織は通信チャネルを毎日 24 時間維持できるだけでなく、ビジネス データおよびサービスへのリモート接続を提供できるようになっています。
インターネットは、組織や個人が世界中でコンピュータを使用して通信やデータの共有を行うことを可能にし、アクセシビリティ、スケーラビリティ、パフォーマンス、ビジネス関連コストの削減などの利点をもたらしています。 しかしインターネットは、インターネット上で事業活動を行う組織にとっては、セキュリティ保護されていない、潜在的に危険な環境です。そのため、インターネットの利点を活用し、必要なレベルのデータおよび通信のセキュリティを維持することが組織の課題となります。
仮想プライベート ネットワーク (VPN) は、組織のインターネット利用を可能にする一方で、データおよび通信チャネルの流出の制限に役立ちます。VPN は、信頼性の高い認証や暗号化メカニズムなどの多数のセキュリティ機能を提供することによってこれを実現します。
対象読者
このガイドの対象読者は、自社のネットワーク環境への VPN サービスの展開を担当する情報技術 (IT) プロフェッショナルです。
このガイドの情報は、自社のネットワークへの信頼性の高いリモート アクセスを実現する必要のある、小規模から中規模のビジネスに適用されます。
概要
ネットワーク リソースへのリモート VPN アクセスを構成する場合、社内でのネットワーク アクセスに使用するものと同じ資格情報セット (ネットワーク ユーザー名とパスワード) を使用できます。 ただし、これは最も安全なソリューションではない場合があります。 たとえば、名刺や文書にユーザー名が記載されていることがよくあります。 このように記載されたユーザー名も、試行錯誤攻撃の影響を受けやすいものです。 第三者にユーザー名が知られた場合、企業ネットワークを保護するセキュリティ メカニズムはパスワードだけになってしまいます。
パスワードのような秘密キー 1 つだけで、効果的にセキュリティを制御することは可能です。 文字、数字、特殊文字をランダムに組み合わせた長いパスワードの場合、解読は非常に困難です。 さらに、パス フレーズは、単一のパスワードよりもセキュリティに優れています。
しかし、残念ながら、ユーザーは必ずしも複雑なパスワードを覚えることができるわけではなく、パスワードを書き留めるという手段を取る場合があります。 また、パスワードの複雑さに関する制限を設けない場合、ユーザーは覚えやすく容易に推測されるパスワードを作成しがちです。
ユーザー名およびパスワード ソリューションは、1 要素の認証と呼ばれます。知っている情報のみを使用してネットワークにアクセスするからです。 複数要素の認証システムは、次のような要件を組み合わせることにより、1 要素の認証が抱える問題を解決します。
パスワードや個人識別番号 (PIN) など、ユーザーが知っている情報
ハードウェア トークンやスマート カードなど、ユーザーが所持する物
指紋や網膜スキャンなど、ユーザーの一部
スマート カードとこれに関連付けられた PIN は、 2 要素の認証の中でも信頼性と費用対効果の高い形式として一般的になってきています。 ユーザーがネットワーク リソースにアクセスするには、スマート カードを所持し、さらに PIN を知っている必要があります。 2 つの要素を必須にすることで、組織のネットワークに不正にアクセスされる危険は大幅に減少します。
VPN の利点
組織がリモート アクセスを可能にするために、機密性の高い独自のデータが含まれているネットワークをインターネットに接続しなければならない場合、接続性の向上によって重大なセキュリティ リスクが顕在化します。
インターネットという潜在的に危険な環境では、VPN ソリューションが重要になります。運用費の節約となる可能性があるだけでなく、プライベート ネットワーク インフラストラクチャに関連するセキュリティの維持に役立つからです。 VPN ソリューションでは、データを暗号化し、認証されたユーザーのみに企業ネットワークへの接続を許可する安全なトンネル接続を使用するため、セキュリティが提供されます。
VPN では、ビジネス データのセキュリティを維持するためにさまざまな認証方法、トンネリング プロトコル、および暗号化テクノロジがサポートされています。
VPN 認証方法には次のものがあります。
パスワード認証プロトコル (PAP)
チャレンジ ハンドシェイク認証プロトコル (CHAP)
Microsoft® チャレンジ ハンドシェイク認証プロトコル (MS-CHAP)
MS-CHAP version 2 (MS-CHAP v2)
拡張認証プロトコル (EAP)
VPN トンネリング プロトコルには次のものがあります。
Point-to-Point トンネリング プロトコル (PPTP)
レイヤ 2 トンネリング プロトコル (L2TP)
VPN 暗号化プロトコルには次のものがあります。
Microsoft Point-to-Point 暗号化 (MPPE)
IP セキュリティ (IPSec)
最も広範囲にわたってマイクロソフト クライアント オペレーティング システムをサポートするには、MS-CHAP、PPTP、および MPPE の組み合わせを使用します。
Microsoft Windows® 2000 以降を使用している場合、EAP、L2TP、および IPSec を使用すると、セキュリティ レベルを向上させることができます。
VPN 認証、トンネリング、および暗号化の詳細については、Microsoft TechNet のホワイト ペーパー「Virtual Private Networking: An Overview」(英語) を参照してください。
スマート カード テクノロジ
スマート カードは、2 要素の認証を提供します。 2 要素の認証は、単純なユーザー名とパスワードの組み合わせ方式に勝るものです。ユーザーは PIN と一緒に、特定の形式の一意のトークンを提示する必要があります。
スマート カードは、マイクロプロセッサと少量のメモリを内蔵したクレジット カード サイズのプラスチック製アイテムです。 このカードは、秘密キーや X.509 セキュリティ証明書に使用できる安全な不正防止ストレージになります。
コンピュータにアクセスするかリモート アクセスで接続する認証を受けるには、ユーザーはスマート カードを対応するリーダーに挿入して、PIN を入力します。 PIN だけ、またはスマート カードだけでは、ユーザーはネットワークにアクセスできません。 正しい PIN の入力に何度か失敗するとスマート カードはロックされるため、スマート カードの PIN に対してブルート フォース攻撃を行うことはできません。
スマート カードの内部には、オペレーティング システムとデータを保存できる一種のファイル システムが組み込まれています。 スマート カードのオペレーティング システムは、次のタスクを実行できる必要があります。
ユーザーの公開キーと秘密キーを保存する
関連付けられている公開キー証明書を保存する
公開キー証明書を取得する
ユーザーに代わって秘密キーの操作を実行する
スマート カードの詳細と、マイクロソフトがサポートするスマート カード リーダーのリストについては、Microsoft TechNet の「Smart Cards」(英語) を参照してください。
スマート カードの展開要件
リモート アクセス VPN 用のスマート カード ログオンをサポートするには、特定のハードウェア コンポーネントとソフトウェア コンポーネントがコンピュータ システムに必要となります。
スマート カードを展開するための仕様と要件の詳細については、Microsoft TechNet の「スマート カードを使用した安全なアクセス計画ガイド」 を参照してください。
スマート カードのクライアント ハードウェア要件
スマート カード VPN ソリューションをサポートするには、ユーザーのクライアント コンピュータで Windows XP を実行できる必要があります。
さらに、RS-232 シリアル、PS/2、PC カード、ユニバーサル シリアル バス (USB) などの標準的な周辺機器インターフェイスにスマート カード リーダーが接続されている必要があります。
スマート カードのクライアント ソフトウェア要件
リモート アクセス クライアントには、スマート カード VPN ソリューションをサポートする Windows XP が必要です。 さらに、Service Pack 2 (SP2) のインストールをお勧めします。
各クライアント コンピュータには、選択したスマート カードをサポートする暗号化サービス プロバイダ (CSP) をインストールする必要があります。 Windows XP には、多数のスマート カード ソリューションをサポートする CSP が組み込まれています。 または、スマート カード ソリューションのベンダによって CSP が提供されます。 CSP には、次の機能があります。
デジタル署名などの暗号化機能
秘密キーの管理
クライアント コンピュータのスマート カード リーダーとスマート カードの間の安全な通信
各クライアント コンピュータには、特定のスマート カード リーダー用のデバイス ドライバをインストールする必要があります。 デバイス ドライバは、リーダーの機能を Windows XP とスマート カード インフラストラクチャによって提供されるネイティブ サービスにマッピングします。 スマート カード リーダーのデバイス ドライバは、カードの挿入および取り出しイベントを伝達し、カードとのデータ通信機能を提供します。
接続マネージャは、ネットワーク接続、ダイヤルアップ接続、VPN 接続を容易にして管理する Windows XP の標準機能です。 さらに、接続マネージャ管理キット (CMAK) を使用すると、接続マネージャのプロファイルをカスタマイズし、VPN 接続を自動的に構成するインストール ファイルを作成してクライアントに配布することができます。
スマート カードの展開には、クライアントのカード管理ソフトウェアをクライアントにインストールする作業が含まれます。 このソフトウェアには、スマート カード管理、接続性、およびセキュリティの各ツールが含まれており、これらのツールによってスマート カードの内容の表示、PIN のリセット、証明書の追加が可能になります。
VPN サーバーのハードウェア要件
VPN 接続では、リモート アクセス サーバーのプロセッサに追加の負荷がかかります。 スマート カードでセキュリティ保護されたログオンの場合、追加の負荷はそれほどではありません。 大量の受信接続を処理する VPN リモート アクセス サーバーには高速プロセッサが搭載されている必要があり、高いネットワーク スループットをサポートするだけでなく、できればマルチプロセッサ構成にする必要があります。 組織が IPSec でセキュリティ保護された VPN を使用している場合は、ネットワーク カードを実装して、IPSec 暗号化プロセスをネットワーク カード上の別のプロセッサに分散することができます。
VPN サーバーのソフトウェア要件
スマート カード アクセスのための VPN サーバーのソフトウェア要件は比較的単純です。 リモート アクセス サーバーは、Windows 2000 Server 以降を実行し、ルーティングとリモート アクセスが有効になっており、拡張認証プロトコル-トランスポート層セキュリティ (EAP-TLS) をサポートしている必要があります。
EAP-TLS は、スマート カードやハードウェア トークンなどのセキュリティ デバイスと組み合わせて使用するために開発された相互認証メカニズムです。 EAP-TLS では PPP (Point-to-Point Protocol) 接続と VPN 接続がサポートされており、IPSec 以外にも MPPE 用の共有秘密キーを交換できるようになります。
EAP-TLS の主な利点としては、ブルート フォース攻撃に対して抵抗力があることと、相互認証に対応していることが挙げられます。 相互認証を使用する場合、クライアントとサーバーの両方が相互に ID を保証する必要があります。 クライアントまたはサーバーのどちらかが ID を検証するための証明書を送信しない場合、接続は終了します。
Microsoft Windows Server™ 2003 では、ダイヤルアップ接続および VPN 接続用の EAP-TLS がサポートされており、これを利用してリモート ユーザーがスマート カードを使用できるようにすることができます。 EAP-TLS の詳細については、「Extensible Authentication Protocol (EAP)」(英語) を参照してください。
EAP 証明書の要件の詳細については、マイクロソフト サポート技術情報「EAP-TLS、または EAP-TLS と PEAP を組み合わせて使用する場合の証明書の必要条件」を参照してください。
スマート カードの展開の前提となるネットワーク インフラストラクチャ
スマート カードを使用する場合、オペレーティング システムとネットワーク要素によりサポートされた適切なインフラストラクチャが必要です。 スマート カードの展開プロセスを開始する前に、次のコンポーネントの必要条件を満たす必要があります。
ユーザー要件
公開キー基盤 (PKI)
証明書テンプレート
Active Directory® ディレクトリ サービス
セキュリティ グループ
登録ステーションおよび登録エージェント
ユーザー要件
VPN アクセスを必要とするユーザーおよびグループの特定は、スマート カードを展開する際の重要な要素です。 このようなアカウントをプロセスの初期の段階で特定しておけば、プロジェクトと管理にかかるコストの見通しを立てることができます。
公開キー基盤 (PKI)
スマート カード ソリューションでは、Active Directory のアカウント マッピングを可能にする公開キー/秘密キーのペアを備えた証明書を提供する PKI が必要です。 この PKI は、 内部の証明書インフラストラクチャを外部の組織にプロビジョニングするか、Windows Server 2003 の証明書サービスを使用するかのいずれかの方法で実装できます。スマート カード ソリューションで Windows Server 2003 の証明書サービスを使用するには、エンタープライズ機関を証明機関 (CA) にする必要があり、これには Active Directory が必要です。
Windows Server 2003 の証明書サービスの詳細については、マイクロソフトの Web サイトの「Windows Server 2003 の公開キー基盤 (PKI)」 を参照してください。
PKI には、証明書の失効を処理するメカニズムが備わっている必要があります。 証明書の期限が切れた場合や、攻撃者が証明書をセキュリティ侵害した可能性がある場合などに、証明書の失効処理が必要になります。 証明書を失効させることによって、管理者はその証明書を使用するユーザーすべてに対してアクセスを拒否します。 各証明書には、証明書失効リスト (CRL) の場所が含まれます。
証明書の失効を管理する方法の詳細については、Microsoft TechNet の「証明書の失効を管理する」を参照してください。
PKI を使用して、証明書をすべての VPN ソリューション内のスマート カードに割り当てます。 VPN サーバーが信頼する CA が証明書を発行する必要があります。 Windows Server 2003 の証明書サービスを使用する場合、PKI のルート証明機関を必ず VPN サーバーにインストールしてください。
相互認証を行うには、クライアントが信頼する CA から VPN サーバーに証明書を割り当てる必要があります。 Windows Server 2003 の証明書サービスを使用する場合、PKI のルート証明機関を必ず VPN クライアントにインストールしてください。
証明書テンプレート
Windows Server 2003 では、スマート カード ソリューションで使用するデジタル証明書を発行するための固有の証明書テンプレートが用意されています。 スマート カード用の証明書テンプレートには、次の 3 つがあります。
登録エージェント。これにより、権限のあるユーザーが他のユーザーの証明書を要求できるようになります。
スマート カード ユーザー。これにより、ユーザーはスマート カードでログオンして電子メールに署名できます。 さらに、この証明書によってクライアント認証も行われます。
スマート カード ログオン。これにより、ユーザーはスマート カードでログオンできるようになり、クライアント認証も行われるようになりますが、電子メールに署名できるようにはなりません。
注 マイクロソフトでは、現在の Windows Server 2003 PKI を Windows Server 2003 Service Pack 1 (SP1) PKI にアップグレードして、強化されたセキュリティ機能を活用することを強くお勧めしています。
VPN ソリューションでは、登録エージェント証明書を持ち、スマート カードに証明書を割り当てる管理者が 1 人以上必要です。 さらに、クライアントには、スマート カードのスマート カード ログオン証明書が必要です。
証明書テンプレートの詳細については、Microsoft TechNet の「証明書テンプレート」を参照してください。
Active Directory
Active Directory は、ネットワークを構成する ID と関係を管理する手段を提供する、スマート カード ソリューションを実装するための主要なコンポーネントです。 Windows Server 2003 の Active Directory には、スマート カード ログオンやアカウントを証明書にマッピングする機能を実現するためのサポート機能が組み込まれています。 ユーザー アカウントを証明書にマッピングするこの機能があれば、スマート カード上の秘密キーを Active Directory 内に保持されている証明書に結び付けることができます。
登録エージェントによって特定のユーザーのスマート カードに証明書が割り当てられる場合、このプロセスでは Active Directory 内のユーザー アカウントに証明書がマッピングされます。 ログオン時にスマート カード資格情報を提示するには、Active Directory で特定のカードとユーザー アカウントが一致する必要があります。これにより、ネットワーク上での関連するアクセス許可と権限がユーザーに与えられます。
証明書のマッピングの詳細については、Microsoft TechNet の「Map certificates to user accounts」(英語) を参照してください。
Active Directory の詳細については、「Windows Server 2003 Active Directory」を参照してください。
セキュリティ グループ
Active Directory 内のセキュリティ グループを使用してユーザーをまとめれば、スマート カードの展開と管理のプロセスを大幅に簡略化できます。 たとえば、スマート カードを展開する場合、通常は次のセキュリティ グループを作成する必要があります。
スマート カード登録エージェント。 スマート カード登録エージェントは、ユーザーへのスマート カードの配布を管理します。
スマート カード ステージング。 スマート カード ステージング グループには、スマート カードを受け取ったが、登録エージェントによってまだ登録されておらず、カードが有効になっていないすべてのユーザーが含まれます。
スマート カード ユーザー。 スマート カード ユーザー グループには、登録プロセスが完了し、有効になったスマート カードを所持しているすべてのユーザーが含まれます。 ユーザーは、登録エージェントによりスマート カード ステージング グループからスマート カード ユーザー グループに移されます。
スマート カードの一時的例外。 スマート カードの一時的例外グループには、スマート カード要件に対して一時的な例外とする必要があるユーザーが含まれます (スマート カードを紛失した場合や忘れた場合など)。
スマート カードの恒久的例外。 スマート カードの恒久的例外グループには、スマート カード ログオン要件に対して恒久的な例外とする必要があるアカウントが含まれます。
VPN ソリューションでは、最低限でも、登録エージェント グループとスマート カード ユーザー グループが必要です。 これらのグループを作成することによって、複数のユーザーの管理と構成がより簡単になります。
登録ステーションおよび登録エージェント
Web ベースのインターフェイスを使用してスマート カードのユーザーを発行または登録することができますが、このアプローチはお勧めしません。 このアプローチでは、ユーザーがユーザー名とパスワードを入力してスマート カードを取得する必要があるため、スマート カードのセキュリティが実質 Web インターフェイスに提供される資格情報と同じレベルまで下がるためです。 登録ステーションを作成して、1 人以上の管理者を登録エージェントに指定することをお勧めします。
一般的な登録ステーションは、スマート カード リーダーとスマート カード ライターが接続されたコンピュータです。 リーダーは登録エージェントのログオンに使用し、ライターは新しいスマート カードをユーザーに発行するために使用します。 登録ステーションでは、登録エージェントが自分のスマート カードを取り出すとすぐに強制的にログオフされるように、グループ ポリシーが設定されています。
指定された管理者が登録エージェントの役割を引き受け、自分のスマート カードを使って登録ステーションにログオンします。 次に、証明書サービスの Web ページを開いてユーザーの ID を確認し、ユーザーを登録して、登録済みのスマート カードを発行します。 登録エージェントには、登録エージェント証明書が必要です。また、証明書テンプレートにアクセスするアクセス許可が必要です。
運用上の考慮事項
スマート カード VPN ソリューションは、ソリューションの運用状態を監視する機能に対応する必要があります。 監視ツールには、運用上のサポートを提供するために必要な情報が表示される必要があります。 ソリューションがこの要件を満たしていない場合、セキュリティ担当者は、ソリューションによってリモート アクセス接続のセキュリティ保護が効果的に維持されているかどうかを判断できません。
運用上の考慮事項は次のとおりです。
社内アプリケーションに対する認証をテストする。 スマート カードは、最初のログオン以外には影響しないようにする必要があります。 パイロット プログラムで、社内アプリケーションに対する認証が正常に行われるかどうかをテストおよび検証する必要があります。
リモート クライアントの問題のトラブルシューティングを行う。 クライアントの問題のトラブルシューティングを正常に行うには、別々のタイム ゾーンに分散している複数のチームの密接な協力が必要になる場合があります。 厳格なテストと適切なパイロット展開が実行されれば、サポート コールを減らすことができます。
組織のリモート アクセスのシナリオと脅威を理解する。 組織のリモート アクセスのシナリオ、セキュリティ上の脅威、およびそれらの間でどうバランスを取るかを理解する必要があります。 最も厳重な保護を必要とする資産の優先順位を設定し、コストとリスクの適切なバランスを判断します。
技術的な課題を予測する。 インストールのルーチン作業やスマート カード管理ツールの配布など、技術的な課題の発生を予測しておく必要があります。 場合によっては、スマート カード ソリューションを既存のエンタープライズ管理ツールに統合する必要があります。
パフォーマンスの問題を監視および管理する。 パフォーマンスの問題を監視および管理し、展開前にユーザーの期待する動作を把握する必要があります。
個人の資産について考慮する。 従業員の自宅のコンピュータは個人の所有物であり、組織の IT 部門が管理することはできません。 スマート カードでセキュリティ保護されたリモート アクセスに対応したハードウェアおよびソフトウェアを、従業員がインストールできない場合は、他のオプションを利用できます。 たとえば Microsoft Outlook® Web Access (OWA) を使用すれば、従業員は暗号化された SSL (Secure Sockets Layer) 接続で自分の Microsoft Exchange Server メールボックスに安全にアクセスできるようになります。
電子メール セキュリティの詳細については、このシリーズの「規制のある業界で電子メールの機密性を保護する方法」を参照してください。
ソリューションの変更を管理する。 初期展開に必要なプロセスと同様のプロセスで、ソリューションの変更と機能拡張を管理する必要があります。
ソリューションを最適化する。 スマート カード ソリューションは、すべての側面を定期的に検証して最適化する必要があります。 セキュリティと整合性を向上させる目的で、登録のプロセスとアカウントの例外の必要性を定期的に検証する必要があります。
リモート アクセス VPN のスマート カード ログオンのシナリオ
リモート アクセス VPN のスマート カード ログオンを構成するためにこのセクションで定義するプロセスは、小規模および中規模ビジネスのシナリオに関するものです。 次の図は、中規模のビジネス ネットワークを示したものです。表示されているサービスの一部またはすべてを自社の環境に取り入れることができます。
.gif)
図 1. 中規模 IT 環境におけるリモート アクセス
具体的には、このプロセスは、リモート ユーザーが企業データおよびサービスへのアクセスを外部から要求するというシナリオに適したものです。 このアクセスを実現するために、リモート ユーザーは Windows Server 2003 VPN サーバーへの VPN 接続を確立し、スマート カードを使用して認証を受けます。
次の手順は、リモート アクセス VPN でスマート カードをサポートするための準備、展開、および構成に役立ちます。
スマート カード証明書を発行する CA を準備する方法
まず、必要な証明書、登録エージェント、およびスマート カード ログオンを割り当てるために CA を準備する必要があります。
スマート カード証明書を発行する CA を準備するには
管理者権限でログオンします。
[Active Directory サイトとサービス] を開きます。
[表示] メニューの [サービス ノードの表示] をクリックします。
[サービス] を展開し、[公開キー サービス] をクリックしてから [証明書テンプレート] をクリックします (次のスクリーンショット参照)。
.gif)
[EnrollmentAgent] 証明書テンプレートを右クリックし、[プロパティ] をクリックします。
展開の前提条件の一貫として作成した登録エージェントのセキュリティ グループを追加し、[読み取り] および [登録] アクセス許可を割り当てます (次のスクリーンショット参照)。 次に、[OK] をクリックします。
.gif)
[Active Directory サイトとサービス] を閉じます。
[証明機関] を開きます。
サーバー名を展開してから [証明書テンプレート] をクリックします。 右側のペインに、CA が割り当てることができる証明書のリストが表示されます (次のスクリーンショット参照)。
.gif)
[証明書テンプレート] を右クリックして [新規作成] を選択し、次に [発行する証明書テンプレート] をクリックします。
Ctrl キーを押したまま、[証明書テンプレートの選択] リストで [登録エージェント] と [スマート カード ログオン] をクリックします (次のスクリーンショット参照)。 次に、[OK] をクリックします。
.gif){kind=link}
.gif){kind=link}
.gif){kind=link}
.gif)
[拡大表示する](https://technet.microsoft.com/ja-jp/cc875840.sclvpn05_big(ja-jp,technet.10).gif)
- [証明機関] を閉じます。
スマート カードに証明書を配布する方法
次に、リモート ユーザーのスマート カードに証明書を割り当てることができるようになります。 ユーザーのアカウントがあるドメインの登録エージェントとしてログオンします。
スマート カードに証明書を配布するには
Microsoft Internet Explorer® を開きます。
アドレス バーで、スマート カード ログオン証明書を発行する CA のアドレスを入力し、Enter キーを押します。
[証明書の要求] をクリックしてから [証明書の要求の詳細設定] をクリックします。 次のような画面が表示されます。
.gif)
[スマート カードの登録ステーションを使用してほかのユーザー用のスマート カードの証明書を要求します。] をクリックします。 Microsoft ActiveX® コントロールを受け入れるように要求された場合は、[はい] をクリックします。 Internet Explorer で ActiveX コントロールの使用を有効にする必要があります。
[スマート カード証明書の登録ステーション] 画面 (次のスクリーンショット参照) で、[スマート カード ログオン] を選択します。 さらに、[証明機関]、[暗号化サービス プロバイダ]、[管理者の署名証明書] の名前を確認します。 管理者の署名証明書を選択できない場合は、ログオン ユーザーに登録エージェントの証明書が割り当てられていません。
.gif)
[証明機関] ボックスの一覧から、スマート カード証明書の発行元にする CA の名前を選択します。
[暗号化サービス プロバイダ] ボックスの一覧から、スマート カードの製造元を選択します。
[管理者の署名証明書] で、登録要求に署名する登録エージェントの証明書の名前を入力するか、[証明書の選択] をクリックして名前を選択します。
[ユーザーの選択] をクリックしてから、該当するユーザー アカウントを選択します。 [登録] をクリックします。
メッセージが表示されたら、コンピュータのスマート カード リーダーにスマート カードを挿入し、[OK] をクリックします。 個人識別番号 (PIN) の入力を要求された場合は、スマート カードの PIN を入力します。
.gif){kind=link}
.gif){kind=link}
スマート カード認証のための VPN サーバーの構成方法
これで、VPN サーバーを構成できるようになりました。
EAP 認証を受け入れるようにルーティングおよびリモート アクセス サービスを構成するには
[ルーティングとリモート アクセス] スナップインを起動します。
<サーバー名>を右クリックして [プロパティ] をクリックします。次に、[セキュリティ] タブをクリックします。
[認証方法] をクリックします。
[拡張認証プロトコル (EAP)] チェック ボックス (次のスクリーンショット参照) をオンにし、[OK] をクリックします。
.gif)
[OK] をクリックします
.gif){kind=link}
スマート カード認証用のリモート アクセス ポリシーの構成方法
これで、リモート アクセス ポリシーで EAP を有効にできるようになりました。 [リモート アクセス ポリシー] コンポーネントは、既定では [ルーティングとリモート アクセス] スナップインにあります。 ただし、インターネット認証サービス (IAS) (リモート認証ダイヤルイン ユーザー サービスまたは RADIUS とも呼ばれます) がインストールされている場合は、[リモート アクセス ポリシー] コンポーネントは [IAS] スナップインに含まれています。
リモート アクセス ポリシーで EAP を有効にするには
[ルーティングとリモート アクセス] の左側のペインで [リモート アクセス ポリシー] をクリックします。
右側のペインで、[Microsoft ルーティングとリモート アクセス サーバーへの接続] をダブルクリックします。 次のような画面が表示されます。
.gif)
[プロファイルの編集]、[認証] タブ、[EAP メソッド] の順にクリックします(次のスクリーンショット参照)。
.gif)
次のスクリーンショットに示されているように [EAP の種類] リストに [スマート カードまたはその他の証明書] が表示されない場合、[追加] をクリックして [スマート カードまたはその他の証明書] を選択してから [OK] をクリックします。
.gif)
[スマート カードまたはその他の証明書] を選択し、[編集] をクリックします。 次のような画面が表示されます。
.gif)
ボックスの一覧で、EAP 認証に使用する証明書を選択し、[OK] を 3 回クリックします。
[リモート アクセス許可を与える] が選択されていることを確認して [OK] をクリックし、[ルーティングとリモート アクセス] を閉じます。
.gif){kind=link}
.gif){kind=link}
.gif){kind=link}
.gif){kind=link}
スマート カード認証のための VPN クライアントの構成方法
次は、スマート カードをサポートするために EAP 認証を使用するようにクライアントを構成します。
電話帳エントリを作成するには
[スタート] をクリックして[接続の設定]、[すべての接続の表示] の順にポイントし、[ネットワーク タスク] で [新しい接続を作成する] をクリックします。 次に、[新しい接続ウィザード] 画面で [次へ] をクリックします。 次の画面が表示されます。
.gif)
[職場のネットワークへ接続する] をクリックし、[次へ] をクリックします。
[仮想プライベート ネットワーク接続] をクリックし、[次へ] をクリックします。
[会社名] ボックスに接続名を入力し、[次へ] をクリックします。 次の画面が表示されます。
.gif)
インターネットへの常時接続を使用している場合、[最初の接続にダイヤルしない] をクリックして [次へ] をクリックします。 また、VPN を作成する前にダイヤルアップ接続が必要な場合は、[次の最初の接続に自動的にダイヤルする] をクリックし、ボックスの一覧からダイヤルする接続を選択して [次へ] をクリックします。
[ホスト名または IP アドレス] ボックスに VPN サーバー名または IP アドレスを入力し、[次へ] をクリックします。
[自分のスマート カードを使う] をクリックして [次へ] をクリックし、[完了] をクリックします。
.gif){kind=link}
電話帳エントリを作成したら、EAP を使用するようにこのエントリを構成します。
スマート カード認証を使用するように現在の接続を構成するには
接続を右クリックして [プロパティ] をクリックし、[接続] タブをクリックします。 次の画面が表示されます。
.gif)
[標準 (推奨設定)] が選択されていることを確認してから、[ID を確認する方法] ボックスの一覧の [自分のスマート カードを使う] をクリックします。
[詳細 (カスタム設定)] をクリックし、[設定] をクリックします。
[スマート カードまたはその他の証明書 (暗号化は有効)] をクリックします。
[プロパティ] をクリックし、[自分のスマート カードを使う] をクリックします。
[サーバーの証明書を有効化する] オプションがオンになっていることを確認します。
必要に応じて、[サーバー名が次で終わる場合のみ接続する] チェック ボックスをオンにします。
[信頼されたルート証明機関] ボックスで、スマート カードで使用する証明書またはインストールされているユーザー証明書を発行した CA の名前をクリックします。
必要に応じて、[この接続で別のユーザー名を使う] チェック ボックスをオンにします。
ユーザー証明書で EAP を使用するには、ユーザーはコンピュータにログオンする必要があります。
接続マネージャを使用してスマート カード認証用に VPN クライアントを構成する方法
複数のクライアントの VPN 接続を構成する必要がある場合は、接続マネージャを使用できます。
Windows Server 2003 を実行しているコンピュータに CMAK (接続マネージャ管理キット) をインストールするには
[スタート]、[コントロールパネル] の順にクリックし、[プログラムの追加と削除] をクリックします。
[プログラムの追加と削除] ダイアログ ボックスで、[Windows コンポーネントの追加と削除] をクリックします。
[Windows コンポーネント ウィザード] 画面で [管理とモニタ ツール] をクリックし、[詳細] をクリックします。 次のような画面が表示されます。
.gif)
[管理とモニタツール] ダイアログボックスで、[接続マネージャ管理キット] チェック ボックスをオンにし、[OK]、[次へ]、[完了] の順にクリックします。
.gif){kind=link}
CMAK を使用して、ユーザーに配布できる VPN 接続プロファイルを作成するには
[スタート] をクリックして、[管理ツール] をクリックし、[接続マネージャ管理キット] をクリックします。
[接続マネージャ管理キット ウィザードの開始] 画面で、[次へ] をクリックします。
[新しいプロファイル] が選択されていることを確認し、[次へ] をクリックします。
プロファイルの名前を [サービス名] ボックスに入力し、クライアントに配布する実行可能ファイルの名前を [ファイル名] ボックスに入力します。
[領域名] 画面 (次のスクリーン ショット参照) では、ユーザー名に領域名を追加できます。 ユーザーが、RADIUS を使用してネットワーク認証資格情報を企業のインターネット認証サービス (IAS) サーバーに送信するサードパーティ製のネットワーク アクセス サーバーを使用して企業の VPN に接続する場合は、領域名を追加してユーザーを識別する必要があります。
(必要でない場合は) [領域名をユーザー名に追加しない] をクリックし、[次へ] をクリックします。
.gif)
[プロファイル情報の結合] 画面では、以前に構成した接続マネージャ プロファイルを結合することができます。 結合は、他のプロファイルに含まれている情報 (ネットワーク アクセス 番号など) を現在のプロファイルに組み込む必要がある場合に行います。 必要なプロファイルを追加して、[次へ] をクリックします。
[VPN サポート] 画面 (次のスクリーンショット参照) では、プロファイルから電話帳を作成したり、VPN クライアントが使用する VPN サーバーを構成することができます。
.gif)
電話帳には、市外局番、電話番号、ユーザーの認証方法などの情報が含まれます。 接続マネージャの電話帳には、CMAK ウィザードの実行時に構成するさまざまなネットワーク設定も含まれます。
クライアントが複数の VPN サーバーに接続できるようにする場合は、VPN サーバーのリストをテキスト ファイルで作成できます (次のスクリーンショット参照)。 接続時に VPN サーバーのリストを使用させる場合は、[接続する前にユーザーが VPN サーバーを選択できるようにする] をクリックし、該当のテキスト ファイルを参照して [次へ**]** をクリックします。
.gif)
[VPN エントリ] 画面で、作成中のプロファイルを選択し、[編集] をクリックして [セキュリティ] タブをクリックします。 次のダイアログ ボックスが表示されます。
.gif)
[セキュリティ設定] ボックスの一覧の [セキュリティの詳細設定を使用] をクリックし、[構成] をクリックします。 次のダイアログ ボックスが表示されます。
.gif)
[データの暗号化] ボックスの一覧で [暗号化が必要] が有効になっていることと、[VPN 戦略] ボックスの一覧で適切なトンネリング プロトコルが選択されていることを確認します。
.gif){kind=link}
\[拡張認証プロトコルを使う (EAP)\] をクリックし、そのボックスの一覧で \[スマート カードまたはその他の証明書 (暗号化は有効)\] をクリックして \[プロパティ\] をクリックします。 次のような画面が表示されます。
.gif)
[自分のスマート カードを使う] が選択され、サーバーの妥当性をクライアントに確認させる場合は [サーバーの証明書を有効化する] が選択されていることを確認します。 さらに、接続先のサーバー名を 1 つまたは複数入力し、そのサーバーの検証に使用する証明書のルート証明機関を選択できます。 クライアントが、証明書のユーザー名とは異なるユーザー名を使用して認証を行う必要がある場合は、[この接続で別のユーザー名を使う] チェック ボックスをオンにします。 [OK] を 3 回クリックして [次へ] をクリックします。
[電話帳] 画面では、プロファイルに追加の電話帳ファイルを含めたり、電話帳の更新内容を自動的にダウンロードすることができます。 電話帳には、市外局番、電話番号、サポートされているユーザーの認証方法などの情報が含まれます。 接続マネージャの電話帳には、CMAK ウィザードの実行時に構成するさまざまなネットワーク設定も含まれます。 [電話帳の更新内容を自動的にダウンロード] チェック ボックスをオンにした場合は、更新内容のダウンロード元の場所を入力する必要があります。 電話帳の更新内容をダウンロードする必要がない場合は、このチェック ボックスはオフにします。 [次へ] をクリックします。
ダイヤルアップ ネットワーク接続を使用している場合は、[ダイヤルアップ ネットワーク エントリ] 画面でエントリを選択してから [編集] をクリックします (ダイヤルアップ ネットワーク接続を使用していない場合は、ダイヤルアップを無効にする方法を後述の手順で示します)。 必要な構成を行うか、ダイヤルアップ ネットワーク接続を使用する必要がない場合は、[次へ] をクリックします。 手順 14 ~ 25 で説明するウィザード画面では、主に接続の外観を変更するオプションのコンポーネントを構成します。
[ルーティング テーブルの更新] 画面の各設定を使用すると、接続のルーティング情報を構成できます。 既定では、VPN クライアントが VPN インターフェイスを介してすべての非直接接続ネットワークに接続する設定になっています。 しかし、既定のゲートウェイとして VPN 接続を使用するように VPN クライアントを構成しない場合は、VPN クライアントが内部ネットワーク上の選択したサブネットにアクセスできるようにするカスタム ルーティング テーブルのエントリを作成できます。 完了したら [次へ] をクリックします。
[プロキシの自動構成] 画面の各設定を使用すると、VPN クライアントが VPN サーバーを Web プロキシ サーバーとして使用するように設定できます。 [次へ] をクリックします。
[カスタム動作] 画面の各設定を使用すると、VPN への接続前、接続後、または接続中に自動的に起動するプログラムを指定できます。 [次へ] をクリックします。
[ログオンのビットマップ] 画面の各設定を使用すると、ユーザーが VPN 接続を開いたときに表示される固有のグラフィックを作成できます。 カスタム グラフィックを作成する場合は、必ず 330 x 140 ピクセルにします。 [次へ] をクリックします。
[電話帳のビットマップ] 画面の各設定を使用すると、ユーザーが電話帳を開いたときに表示される固有のグラフィックを作成できます。 カスタム グラフィックを作成する場合は、必ず 114 x 309 ピクセルにします。 [次へ] をクリックします。
[アイコン] 画面の各設定を使用すると、接続マネージャのユーザー インターフェイス (UI) で表示するアイコンを指定できます。 [次へ] をクリックします。
[通知領域のショートカット メニュー] 画面の各設定を使用すると、接続マネージャーのショートカット メニューに項目を追加できます。 [次へ] をクリックします。
[ヘルプ ファイル] 画面の各設定を使用すると、カスタム ヘルプ ファイルをユーザーに割り当てることができます。 [次へ] をクリックします。
[サポート情報] 画面の各設定を使用すると、ユーザーにサポート情報を提供できます。 [次へ] をクリックします。
[接続マネージャ ソフトウェア] 画面では、設定を確認できます。 接続マネージャ version 1.3 がまだコンピュータに インストールされていないクライアントに、マネージャをインストールするオプションもあります。 [次へ] をクリックします。
[使用許諾契約書] 画面の各設定を使用すると、接続のカスタム使用許諾契約書を含めることができます。 [次へ] をクリックします。
[追加ファイル] 画面では、接続マネージャ プロファイルに追加ファイルを含めることができます。 [次へ] をクリックします。
[サービス プロファイルを作成する準備ができました。] 画面で、[高度なカスタマイズ] チェック ボックスをオンにして [次へ] をクリックします。
[高度なカスタマイズ] (次のスクリーンショット参照) では、プロファイル構成ファイル内の設定値を構成できます。 スマート カード対応の VPN 接続の場合、[Dialup] の値を 0 に設定することによってダイヤルアップを無効にする必要があります。また、[HideDomain]、[HideUserName]、および [HidePassword] の設定も有効になっています。
.gif)
プロファイル構成ファイルは、.inf、.cms、および .cmp のファイル名拡張子を持つテキスト形式のファイルです。 ウィザードは、CMAK とともにインストールされる default template.inf、template.cms、template.cmp の各ファイルを読み取ります。
ウィザードを完了すると、そのプロファイルの新しい構成ファイルが profilename.inf、profilename.cms、profilename.cmp として作成されます。既定のテンプレート ファイルを編集して、ウィザードのすべてのユーザーが構成できる設定を追加することができます。
接続マネージャの高度なカスタマイズのオプションの詳細については、「Advanced Customization Options for Connection Manager」(英語) を参照してください。
この template.cms (次のスクリーンショット参照) は、ドメイン、ユーザー名、およびパスワードの各ボックスを非表示にする機能を含めるために編集されており、必要に応じて各機能を含めることができるようになっています。 MPPE では暗号化プロセスでユーザー パスワードを使用します。したがって、場合によってはソリューションでユーザー名とパスワードのボックスが必要になることがあります。
.gif)
すべての設定変更を完了したら、[次へ] をクリックして実行可能ファイルと構成ファイルを作成します。 ファイルの保存先をメモしてから、[完了] をクリックします。 お使いの標準的なソフトウェア配布メカニズムを使用して、クライアントに実行可能ファイルを配布します。 クライアントが手動でファイルを実行こともできますが、管理者が VPN 接続のインストール プロセスを自動化することもできます。
.gif){kind=link}
スマート カード VPN ソリューションの検証方法
検証プロセスの目的は、全体的な展開の前に、ソリューションの設計または構成のあらゆる問題を特定することです。 スマート カード VPN ソリューションを検証するには、ソリューションの主な手順を実行する必要があります。 検証する主な手順は次のとおりです。
スマート カードに証明書を割り当てる
接続マネージャ プロファイルを配布する
接続マネージャ プロファイルをインストールする
スマート カード認証を使用して VPN サーバーに接続する
VPN 接続を介して内部ネットワーク リソースにアクセスする
スマート カード VPN ソリューションのトラブルシューティング方法
検証プロセスの目的は、ソリューションのトラブルシューティングを行い、プロセスのエラーの箇所を特定し、その領域に力を注ぐことです。
次の表は、スマート カード VPN ソリューションのトラブルシューティング ガイドラインの一部です。
表 1. スマート カード VPN トラブルシューティング ガイドライン
| 問題 | ソリューション |
|---|---|
| CA で適切な証明書を使用できない | [Active Directory サイトとサービス] で証明書テンプレートを有効にします。 [登録] アクセス許可を割り当てます。 |
| スマート カードに証明書を割り当てることができない | スマート カード ライターをインストールします。 登録エージェント証明書を割り当てます。 |
| VPN サーバーがリモート クライアントを認証できない | EAP-TLS 認証をサポートするようにサーバーを構成します。 サーバーで使用する証明書が、クライアントによって信頼されていることを確認します。 |
| クライアントが、VPN を確立する前にダイヤルアップ接続を試行する | 最初の接続でダイヤルしないようにクライアントを構成します。 |
| クライアントが、VPN を確立する前にダイヤルアップ接続を試行しない | 最初の接続でダイヤルするようにクライアントを構成します。 |
| クライアントが VPN を確立しようとすると、ユーザー名、ドメイン名、およびパスワードの入力が要求される | スマート カードを使用するように VPN 接続が構成されていることを確認します。 [HideUserName]、[HideDomain]、[HidePassword] の各設定が有効になっていることを確認します。 |
| クライアントの [ネットワーク接続] 内に接続オブジェクトがない | 接続マネージャ プロファイルがクライアントに配布されていることを確認します。 接続マネージャ プロファイルの実行可能ファイルが実行済みであることを確認します。 |
| クライアントが VPN サーバーに接続しない | 正しい VPN サーバー名を使用してクライアント接続が構成されていることを確認します。 クライアントが VPN サーバーのリストから正しいサーバーを選択していることを確認します。 |
| クライアントが VPN サーバーで認証を行えない | クライアントが正しい VPN サーバーに接続していることを確認します。 VPN サーバーによって信頼されている証明書がスマート カードに割り当てられていることを確認します。 |
VPN 接続の一般的なトラブルシューティングの詳細については、Microsoft TechNet の「**VPN のトラブルシューティング」を参照してください。
要約
リモート アクセス接続の認証にスマートカードを実装すると、単純なユーザー名とパスワードの組み合わせに比べて大幅にセキュリティを強化できます。 スマート カードは、スマート カードと PIN の組み合わせにより、2 要素の認証を実装します。 2 要素の認証は、強固なパスワードと比べてもきわめてセキュリティ侵害されにくく、しかも PIN は強固なパスワードより覚えるのが簡単です。
リモート アクセス ユーザー用にスマート カード認証を使用すると、信頼性が高く、費用対効果に優れた方法でネットワーク セキュリティを強化することができます。