企業や教育機関、自治体など、よりセキュアなWi-Fi接続を実現したい場面で登場するのが「RADIUS認証(802.1X認証)」です。パスワードを共用せず、ユーザーごとにIDとパスワードまたは証明書で認証する仕組みは、高度なセキュリティ対策として注目されています。本記事では、RADIUS認証の仕組みから、Wi-Fiネットワークに組み込むための手順、構成例、運用時の注意点までをわかりやすく解説します。
RADIUS認証とは何か?
RADIUS(Remote Authentication Dial-In User Service)とは、ネットワーク機器のユーザー認証やアクセス制御を行うプロトコルです。ユーザーがWi-Fiに接続しようとする際に、RADIUSサーバーがそのユーザーの認証情報をチェックし、正しい場合のみネットワークアクセスを許可します。
Wi-FiにRADIUSを用いた認証を取り入れることで、以下のようなメリットがあります。
- ユーザーごとに個別の認証が可能
- パスワードの使い回しを防止できる
- 接続ログを取れるため監査が可能
- セキュリティインシデント時の対応が迅速になる
RADIUS認証の基本構成
Wi-FiネットワークにおけるRADIUS認証の基本構成は以下の3要素から成り立ちます。
- クライアント端末(ノートPC、スマホなど)
- 認証サーバー(RADIUSサーバー)
- アクセスポイント(AP)や無線LANコントローラー
クライアントは無線APに接続を試みると、APはRADIUSサーバーに対してユーザー認証要求を転送します。RADIUSサーバーがユーザー認証に成功すると、APはクライアントに接続許可を出します。
RADIUSを用いたWi-Fi認証方式の種類
RADIUSを用いたWi-Fi認証にはいくつか方式がありますが、代表的なものは以下の通りです。
EAP-TTLS(ユーザー名+パスワード)
- 一般的なユーザー名とパスワードによる認証。
- クライアント側に証明書の配布が不要で導入が容易。
EAP-TLS(証明書認証)
- ユーザー証明書をクライアント端末に配布し、クライアント証明書で認証。
- 高いセキュリティを実現するが、証明書の管理が必要。
PEAP(Protected EAP)
- Microsoftが推奨する方式。Windows環境との親和性が高い。
- サーバー証明書の検証後、内部でユーザー認証を行う。
実際の構築手順:Windows Server+無線APの例
以下は、Windows ServerのNPS(Network Policy Server)をRADIUSサーバーとして利用する場合の構成手順です。
1. Windows ServerにNPSの役割を追加
- 「サーバーマネージャー」→「役割と機能の追加」→「ネットワークポリシーとアクセスサービス」
- インストール後、「NPS」サービスを有効にする
2. RADIUSクライアント(アクセスポイント)の登録
- NPSコンソールを開く
- 「RADIUSクライアント」→「新規」→APのIPアドレスと共有シークレットを入力
3. ネットワークポリシーの作成
- 「ポリシー」→「ネットワークポリシー」→新規作成
- 条件に「Windowsグループ」や「ユーザー名」を指定
- 認証方法にEAP-TLSやPEAPなどを設定
4. 無線AP側の設定
- 管理画面で「Enterprise WPA2/WPA3」「802.1Xモード」を選択
- RADIUSサーバーのIPアドレスとポート(通常1812)、共有シークレットを設定
5. クライアント側の設定
- Wi-Fi設定からSSIDを選び、証明書の信頼設定やユーザー情報を入力
- 必要に応じて証明書の配布を行う
運用時のポイントと注意点
RADIUS認証をWi-Fiに導入した後も、安定した運用のためにはいくつか注意点があります。
定期的な証明書の更新
EAP-TLSを使用する場合、証明書の有効期限切れによる認証失敗が発生するため、運用ポリシーとして定期的な更新と端末配布体制が重要です。
共有シークレットの漏洩防止
RADIUSサーバーとAPの間でやり取りする「共有シークレット」は厳重に管理しましょう。外部から読み取られた場合、認証システムの安全性が損なわれます。
ログ監視の導入
NPSのログやAPの認証ログはトラブル対応の鍵です。Syslogサーバーやログ収集ソフトを使って一元管理することをおすすめします。
中小規模向けの構成例とクラウドRADIUSの活用
大規模なネットワークだけでなく、小規模な企業や学校でもRADIUS認証は有効です。
- クラウド型RADIUS(例:JumpCloud、Foxpass、AuthLiteなど)を活用すると、オンプレミスのサーバー管理が不要になります。
- クラウドID管理(Azure ADやGoogle Workspace)と連携可能なサービスもあるため、導入のハードルは下がっています。
まとめ:RADIUS認証でWi-Fiセキュリティをレベルアップ
RADIUS認証をWi-Fiに導入することで、SSIDや共通パスワードに頼らない、よりセキュアで管理しやすいネットワークが実現できます。企業だけでなく、学校や医療施設など、情報漏洩リスクが高い環境では、RADIUSの導入はもはや必須とも言えるでしょう。自社環境や運用体制に合った方式を選び、少しずつでも構築・運用の知識を深めていきましょう。