1. 背景
無線LAN(Wi-Fi)は利便性が高い一方で、初期の WEP は暗号が脆弱であり、数分で解読可能でした。
また、共通パスワード(PSK方式)では、パスワードが漏れると誰でも接続できてしまう問題がありました。
そこで登場したのが、IEEE802.1X+RADIUS を基盤とする WPA2-Enterprise / WPA3-Enterprise です。
2. IEEE802.1Xの基本構成
IEEE802.1Xは「3つの役割」で成り立ちます。
| 役割 | 実装場所 | 主な機能 | RADIUSとの関係 |
|---|---|---|---|
| サプリカント (Supplicant) | PC・スマホ | 自分が正規利用者であることを証明 | ❌ RADIUSは直接利用しない |
| オーセンティケータ (Authenticator) | アクセスポイント・スイッチ | 認証要求を中継 | ✅ RADIUSクライアントとして動作 |
| 認証サーバ (Authentication Server) | RADIUSサーバ | 実際のユーザ認証 | ❌ RADIUSサーバ側 |
3. 認証フロー
- クライアント(Supplicant)はAPに接続要求
- AP(Authenticator)が RADIUSクライアント としてRADIUSサーバに問い合わせ
- サーバが結果を返し、APが接続可否を制御
4. 家庭用Wi-Fiとの比較
| 項目 | 家庭用Wi-Fi(PSK方式) | 企業・大学Wi-Fi(IEEE802.1X+RADIUS方式) |
|---|---|---|
| 標準規格 | WPA2-PSK / WPA3-PSK | WPA2-Enterprise / WPA3-Enterprise |
| 認証方式 | 共通パスワード(PSK) | 個別認証(ID/証明書+RADIUS) |
| 利用者認証 | 全員同じパスワード | ユーザごとに異なる認証情報 |
| セキュリティ | 漏洩すると誰でも接続可 | 不正利用者を個別排除可能 |
| 管理 | 簡単(ルータ設定のみ) | 複雑(RADIUSサーバ・証明書管理) |
| 主な利用シーン | 家庭・小規模オフィス | 企業・大学・公共Wi-Fi(eduroamなど) |
5. 認証方式(EAPメソッド)の例
- EAP-TLS:証明書ベース(最もセキュア、企業で推奨)
- PEAP/MSCHAPv2:ユーザ名+パスワード(簡便だが中間者攻撃リスクあり)
- EAP-TTLS:サーバ証明書+パスワード認証
6. メリット・デメリット・対策
| 観点 | メリット | デメリット | 対策 |
|---|---|---|---|
| セキュリティ | 不正端末を排除できる | パスワード方式は攻撃に弱い | EAP-TLS、WPA3-Enterprise |
| 管理性 | ID・証明書を集中管理可能 | 証明書配布や失効管理が煩雑 | MDM/証明書自動配布 |
| 可用性 | 認証を一元管理できる | RADIUSサーバがSPOF | 冗長化構成 |
| 利便性 | 一度設定すれば自動接続 | 初回設定が複雑 | プロファイル自動配布 |
| IoT対応 | 対応機器はセキュア | 非対応機器が多い | 分離ネットワークで運用 |
7. 歴史的背景と進化
8. ネットワーク構成図(企業・大学環境)
9. 現代の利用状況
- 企業・大学:社員や学生が個別ID/証明書で接続
- eduroam:世界中の大学で使える学術無線LAN
- ゼロトラスト環境:802.1XとクラウドIDを統合
10. 未来展望
- WPA3-Enterpriseの普及拡大
- 証明書自動管理の標準化(OSレベル対応)
- IoT対応強化(EAP-TLS対応機器・軽量認証)
- ゼロトラストとの統合(クラウドID・ポリシー連携)
- RADIUS進化(RadSec / Diameter への移行)
まとめ
- IEEE802.1X+RADIUSは、WEPやPSK方式の限界を克服するために誕生
- 現在も WPA2/WPA3-Enterprise として企業・大学・公共Wi-Fiの標準方式
- RADIUSクライアントはAP(オーセンティケータ)
- 強み:高セキュリティ・集中管理
- 弱み:導入・運用が複雑、IoT非対応機器あり
- 未来:WPA3普及、証明書自動化、ゼロトラスト連携、RadSec移行 に進化