Wi-FiでRADIUS認証を使う方法|セキュアな無線ネットワーク構築ガイド

企業や教育機関、自治体など、よりセキュアなWi-Fi接続を実現したい場面で登場するのが「RADIUS認証(802.1X認証)」です。パスワードを共用せず、ユーザーごとにIDとパスワードまたは証明書で認証する仕組みは、高度なセキュリティ対策として注目されています。本記事では、RADIUS認証の仕組みから、Wi-Fiネットワークに組み込むための手順、構成例、運用時の注意点までをわかりやすく解説します。


RADIUS認証とは何か?

RADIUS(Remote Authentication Dial-In User Service)とは、ネットワーク機器のユーザー認証やアクセス制御を行うプロトコルです。ユーザーがWi-Fiに接続しようとする際に、RADIUSサーバーがそのユーザーの認証情報をチェックし、正しい場合のみネットワークアクセスを許可します。

Wi-FiにRADIUSを用いた認証を取り入れることで、以下のようなメリットがあります。

  • ユーザーごとに個別の認証が可能
  • パスワードの使い回しを防止できる
  • 接続ログを取れるため監査が可能
  • セキュリティインシデント時の対応が迅速になる

RADIUS認証の基本構成

Wi-FiネットワークにおけるRADIUS認証の基本構成は以下の3要素から成り立ちます。

  1. クライアント端末(ノートPC、スマホなど)
  2. 認証サーバー(RADIUSサーバー)
  3. アクセスポイント(AP)や無線LANコントローラー

クライアントは無線APに接続を試みると、APはRADIUSサーバーに対してユーザー認証要求を転送します。RADIUSサーバーがユーザー認証に成功すると、APはクライアントに接続許可を出します。


RADIUSを用いたWi-Fi認証方式の種類

RADIUSを用いたWi-Fi認証にはいくつか方式がありますが、代表的なものは以下の通りです。

EAP-TTLS(ユーザー名+パスワード)

  • 一般的なユーザー名とパスワードによる認証。
  • クライアント側に証明書の配布が不要で導入が容易。

EAP-TLS(証明書認証)

  • ユーザー証明書をクライアント端末に配布し、クライアント証明書で認証。
  • 高いセキュリティを実現するが、証明書の管理が必要。

PEAP(Protected EAP)

  • Microsoftが推奨する方式。Windows環境との親和性が高い。
  • サーバー証明書の検証後、内部でユーザー認証を行う。

実際の構築手順:Windows Server+無線APの例

以下は、Windows ServerのNPS(Network Policy Server)をRADIUSサーバーとして利用する場合の構成手順です。

1. Windows ServerにNPSの役割を追加

  • 「サーバーマネージャー」→「役割と機能の追加」→「ネットワークポリシーとアクセスサービス」
  • インストール後、「NPS」サービスを有効にする

2. RADIUSクライアント(アクセスポイント)の登録

  • NPSコンソールを開く
  • 「RADIUSクライアント」→「新規」→APのIPアドレスと共有シークレットを入力

3. ネットワークポリシーの作成

  • 「ポリシー」→「ネットワークポリシー」→新規作成
  • 条件に「Windowsグループ」や「ユーザー名」を指定
  • 認証方法にEAP-TLSやPEAPなどを設定

4. 無線AP側の設定

  • 管理画面で「Enterprise WPA2/WPA3」「802.1Xモード」を選択
  • RADIUSサーバーのIPアドレスとポート(通常1812)、共有シークレットを設定

5. クライアント側の設定

  • Wi-Fi設定からSSIDを選び、証明書の信頼設定やユーザー情報を入力
  • 必要に応じて証明書の配布を行う

運用時のポイントと注意点

RADIUS認証をWi-Fiに導入した後も、安定した運用のためにはいくつか注意点があります。

定期的な証明書の更新

EAP-TLSを使用する場合、証明書の有効期限切れによる認証失敗が発生するため、運用ポリシーとして定期的な更新と端末配布体制が重要です。

共有シークレットの漏洩防止

RADIUSサーバーとAPの間でやり取りする「共有シークレット」は厳重に管理しましょう。外部から読み取られた場合、認証システムの安全性が損なわれます。

ログ監視の導入

NPSのログやAPの認証ログはトラブル対応の鍵です。Syslogサーバーやログ収集ソフトを使って一元管理することをおすすめします。


中小規模向けの構成例とクラウドRADIUSの活用

大規模なネットワークだけでなく、小規模な企業や学校でもRADIUS認証は有効です。

  • クラウド型RADIUS(例:JumpCloud、Foxpass、AuthLiteなど)を活用すると、オンプレミスのサーバー管理が不要になります。
  • クラウドID管理(Azure ADやGoogle Workspace)と連携可能なサービスもあるため、導入のハードルは下がっています。

まとめ:RADIUS認証でWi-Fiセキュリティをレベルアップ

RADIUS認証をWi-Fiに導入することで、SSIDや共通パスワードに頼らない、よりセキュアで管理しやすいネットワークが実現できます。企業だけでなく、学校や医療施設など、情報漏洩リスクが高い環境では、RADIUSの導入はもはや必須とも言えるでしょう。自社環境や運用体制に合った方式を選び、少しずつでも構築・運用の知識を深めていきましょう。

タイトルとURLをコピーしました