企業や教育機関、自治体など、よりセキュアなWi-Fi接続を実現したい場面で登場するのが「RADIUS認証(802.1X認証)」です。パスワードを共用せず、ユーザーごとにIDとパスワードまたは証明書で認証する仕組みは、高度なセキュリティ対策として注目されています。本記事では、RADIUS認証の仕組みから、Wi-Fiネットワークに組み込むための手順、構成例、運用時の注意点までをわかりやすく解説します。
RADIUS(Remote Authentication Dial-In User Service)とは、ネットワーク機器のユーザー認証やアクセス制御を行うプロトコルです。ユーザーがWi-Fiに接続しようとする際に、RADIUSサーバーがそのユーザーの認証情報をチェックし、正しい場合のみネットワークアクセスを許可します。
Wi-FiにRADIUSを用いた認証を取り入れることで、以下のようなメリットがあります。
Wi-FiネットワークにおけるRADIUS認証の基本構成は以下の3要素から成り立ちます。
クライアントは無線APに接続を試みると、APはRADIUSサーバーに対してユーザー認証要求を転送します。RADIUSサーバーがユーザー認証に成功すると、APはクライアントに接続許可を出します。
RADIUSを用いたWi-Fi認証にはいくつか方式がありますが、代表的なものは以下の通りです。
以下は、Windows ServerのNPS(Network Policy Server)をRADIUSサーバーとして利用する場合の構成手順です。
RADIUS認証をWi-Fiに導入した後も、安定した運用のためにはいくつか注意点があります。
EAP-TLSを使用する場合、証明書の有効期限切れによる認証失敗が発生するため、運用ポリシーとして定期的な更新と端末配布体制が重要です。
RADIUSサーバーとAPの間でやり取りする「共有シークレット」は厳重に管理しましょう。外部から読み取られた場合、認証システムの安全性が損なわれます。
NPSのログやAPの認証ログはトラブル対応の鍵です。Syslogサーバーやログ収集ソフトを使って一元管理することをおすすめします。
大規模なネットワークだけでなく、小規模な企業や学校でもRADIUS認証は有効です。
RADIUS認証をWi-Fiに導入することで、SSIDや共通パスワードに頼らない、よりセキュアで管理しやすいネットワークが実現できます。企業だけでなく、学校や医療施設など、情報漏洩リスクが高い環境では、RADIUSの導入はもはや必須とも言えるでしょう。自社環境や運用体制に合った方式を選び、少しずつでも構築・運用の知識を深めていきましょう。