「EAP(Extensible Authentication Protocol)ってよく聞くけど、一体何?」「Wi-FiやVPNのセキュリティを強化するにはどのEAPメソッドを選べばいい?」
そんな疑問を持っていませんか?
EAPは、企業ネットワークや公衆無線LANでの認証に欠かせない技術ですが、仕組みや設定方法が複雑で分かりにくいことも。
本記事では、EAPの基本から、各メソッドの違い、セキュリティリスク、主要OSでの設定方法までを徹底解説 します。
これを読めば、EAPを活用して安全なネットワーク環境を構築するための知識がしっかり身につきます。
この記事は以下のような人におすすめ!
- EAP(Extensible Authentication Protocol)とは何か知りたい人
- EAPはどこで使われるのか?企業向けか?家庭のWi-Fiでも使うのかしりたい
- どのEAPメソッドを選べばいいか分からない(EAP-TLS、PEAP、EAP-TTLSなど)
EAPの概要
EAP(Extensible Authentication Protocol)は、ネットワーク認証のためのフレームワークとして広く使用されています。
特に、無線LANのセキュリティ向上やVPN、有線LANのアクセス制御に活用されており、企業ネットワークやインターネットサービスプロバイダ(ISP)にとって不可欠な技術の一つです。
EAPは、IEEE 802.1X認証の中心的なプロトコルとして動作し、多様な認証方式に対応できる拡張性を持っています。
本記事では、EAPの基本的な概念、歴史、標準化の経緯について詳しく解説します。
1-1. EAPとは何か
1-1-1. EAP(Extensible Authentication Protocol)の定義
EAP(Extensible Authentication Protocol)は、ネットワーク上の認証を柔軟に拡張するためのプロトコルです。
TCP/IPなどの通信プロトコル上で動作し、異なる種類の認証方法(証明書、パスワード、SIM認証など)をサポートします。
主に以下のようなネットワーク環境で使用されます。
- 無線LAN(Wi-Fi):WPA2-EnterpriseやWPA3-Enterpriseの認証基盤として利用
- VPN(仮想プライベートネットワーク):セキュアなリモートアクセスの認証に使用
- 有線LAN(IEEE 802.1X):企業ネットワークやデータセンターのアクセス管理
- ISP(インターネットプロバイダ):PPP(Point-to-Point Protocol)を用いたユーザー認証
1-1-2. EAPの主な特徴
| 特徴 | 説明 |
|---|---|
| 拡張性 | 異なる認証方式(証明書、パスワード、SIMなど)をサポート |
| プロトコル非依存 | Ethernet、PPP、無線LANなど、さまざまな通信方式で利用可能 |
| セキュリティの強化 | EAP-TLSやPEAPを活用することで、より強固な認証が可能 |
| 広範な対応 | 企業ネットワーク、ISP、VPNなど、多様な環境での導入が進む |
1-1-3. 代表的なEAPメソッド
EAPにはさまざまな認証方式(EAPメソッド)が存在し、セキュリティ要件やネットワーク環境に応じて適切なメソッドを選択できます。
| EAPメソッド | 認証方式 | 特徴 |
|---|---|---|
| EAP-TLS | 証明書認証 | 高いセキュリティを提供するが、証明書管理が必要 |
| EAP-TTLS | 証明書+パスワード | クライアント側の証明書が不要で、導入が容易 |
| PEAP | 証明書+パスワード | EAP-TTLSと類似し、Windows環境で広く使用される |
| EAP-MD5 | チャレンジレスポンス | パスワードベースだが、暗号化がなくセキュリティが弱い |
| EAP-SIM | SIMカード認証 | 携帯ネットワークの認証に利用 |
EAPは、ネットワーク認証の柔軟性と拡張性を提供することで、より安全な通信環境を実現する技術として広く採用されています。
1-2. EAPの歴史と標準化
1-2-1. EAPの誕生と初期の開発
EAPの起源は、PPP(Point-to-Point Protocol)の拡張として開発されたことにあります。
PPPは、ISPがダイヤルアップ接続時の認証に使用していたプロトコルであり、固定の認証方式に依存しないフレームワークとしてEAPが追加されました。
- 1996年:RFC 1661でPPPが標準化
- 1998年:RFC 2284としてEAPが初めて公式に定義される
当初のEAPは、有線ネットワークのPPP接続に特化していましたが、その後、無線LANやVPNなどの広範な環境に適用されるようになりました。
1-2-2. 無線LANの発展とEAPの進化
2000年代に入り、Wi-Fi(IEEE 802.11)技術の普及とともに、EAPは無線LAN認証の中心技術として採用されました。
特に、IEEE 802.1Xと組み合わせることで、企業ネットワークのセキュリティ強化に貢献しました。
主な標準化の流れは以下の通りです。
| 年 | 主な標準化 | 説明 |
|---|---|---|
| 1998年 | RFC 2284 | 初めてEAPが標準化される |
| 2001年 | IEEE 802.1X | 有線・無線LAN向けの認証フレームワークとしてEAPを統合 |
| 2002年 | EAP-TLS | 証明書ベースの安全な認証方式として登場 |
| 2004年 | PEAP / EAP-TTLS | より導入が容易な認証方式として標準化 |
| 2010年代 | WPA2-Enterprise | EAPを基盤としたエンタープライズ向けWi-Fiセキュリティの普及 |
特にWPA2-EnterpriseやWPA3-Enterpriseでは、EAPを基盤とした認証方式が必須となっており、企業や大学などの大規模ネットワークでの活用が進んでいます。
1-2-3. 現在のEAPと今後の展望
EAPは現在も進化を続けており、次世代ネットワーク技術との統合が進められています。
- IoTデバイスとの連携:組み込みデバイスの認証強化
- ゼロトラストネットワーク:ネットワークアクセス制御の強化
- 5Gとの統合:EAP-SIM/EAP-AKAを活用したモバイルネットワーク認証
今後、EAPは単なるネットワーク認証技術ではなく、ゼロトラストネットワークやクラウド認証の基盤技術としても重要な役割を果たしていくでしょう。
EAPの基本構造と動作原理
EAP(Extensible Authentication Protocol)は、ネットワークにおける認証プロトコルの標準フレームワークとして設計されています。
IEEE 802.1X認証やVPN、無線LAN(Wi-Fi)環境で利用されることが多く、さまざまな認証方式を柔軟にサポートする仕組みを持っています。
この章では、EAPの基本構造と動作原理について詳しく解説します。
2-1. EAPのフレームワーク
2-1-1. EAPの三者モデル
EAPは、「三者モデル(Three-Party Model)」で動作することが特徴です。
このモデルには、以下の3つの主要なコンポーネントが関与します。
| 役割 | 説明 |
|---|---|
| サプリカント(Supplicant) | 認証を受けるクライアント(PC、スマートフォンなど) |
| 認証サーバー(Authentication Server) | 認証情報を処理し、アクセスを許可または拒否する(RADIUSサーバーなど) |
| オーセンティケーター(Authenticator) | 認証の仲介を行う機器(無線LANアクセスポイント、スイッチなど) |
EAPはこれらの3者間で認証メッセージをやり取りし、ユーザーやデバイスの信頼性を検証します。
2-1-2. EAPの通信フローの概要
EAPの認証プロセスは、サプリカント → オーセンティケーター → 認証サーバーという流れで進行します。
基本的な通信フローは以下のようになります。
- 認証要求(EAP-Request)
- オーセンティケーターがサプリカントに対し、「認証を開始する」要求を送信します。
- 応答(EAP-Response)
- サプリカントは、自身のID情報や認証方式の選択を含む応答を送信します。
- 認証プロセスの実行
- 認証サーバーが、EAPメソッド(EAP-TLS、PEAPなど)に応じた認証処理を実施します。
- 結果通知(EAP-Success / EAP-Failure)
- 認証が成功すると、ネットワークへのアクセスが許可され、失敗すると接続が拒否されます。
このプロセスにより、EAPは安全な認証フレームワークとして機能します。
2-1-3. EAPフレームの構造
EAPメッセージは、次のような基本的なパケット構造を持っています。
| フィールド | サイズ(バイト) | 説明 |
|---|---|---|
| コード(Code) | 1 | メッセージの種類(Request, Response, Success, Failure) |
| ID(Identifier) | 1 | メッセージを識別するID |
| 長さ(Length) | 2 | メッセージの全長 |
| データ(Data) | 可変 | 認証メソッドごとの認証情報 |
EAPは非常にシンプルな構造を持っているため、さまざまなネットワーク環境で適用しやすい特徴があります。
2-2. EAPのメッセージフロー
2-2-1. EAPの基本的な認証フロー
EAPを用いた認証の流れを以下の図にまとめました。
サプリカント(クライアント) オーセンティケーター(AP / スイッチ) 認証サーバー(RADIUS)
│ │ │
│----(1) EAP-Request/Identity ------>│ │
│<---(2) EAP-Response/Identity -----│ │
│ │----(3) フレーム転送 ----------->│
│ │<---(4) 認証結果 ----------------│
│ │ │
│<---(5) EAP-Success or Failure ----│ │
- オーセンティケーターがEAPリクエストを送信(「あなたは誰ですか?」)
- サプリカントがEAPレスポンスを返す(「私は○○です」)
- オーセンティケーターが認証サーバーに情報を転送
- 認証サーバーが認証を実施
- 結果をオーセンティケーター経由でサプリカントに通知(成功/失敗)
このフローを通じて、EAPは安全なネットワーク認証を実現します。
2-2-2. 主要なEAPメソッドの認証フロー
EAPには複数の認証方式があり、それぞれ異なる動作フローを持っています。
代表的な3つのEAPメソッドについて説明します。
① EAP-TLS(証明書ベースの認証)
- クライアントとサーバーが相互に証明書を交換
- 非常に高いセキュリティを提供
- 企業のWi-Fiネットワークなどで広く利用
クライアント AP(オーセンティケーター) 認証サーバー
│------------------------ TLSハンドシェイク ------------------------→│
│←------------------------ TLS証明書交換 ------------------------│
│------------------------ 鍵交換 ------------------------→│
│←------------------------ 認証完了 ------------------------│
② PEAP(暗号化されたパスワード認証)
- クライアント証明書なしで利用可能
- Windows環境で広く使用
クライアント AP(オーセンティケーター) 認証サーバー
│------------------------ TLSトンネル確立 ------------------------→│
│←------------------------ MSCHAPv2(パスワード認証) ------------------------│
│←------------------------ 認証成功 ------------------------│
③ EAP-MD5(単純なチャレンジレスポンス)
- パスワードベースで簡単に実装可能
- 暗号化がなく、セキュリティが低い
- 現在はほぼ使用されていない
クライアント AP(オーセンティケーター) 認証サーバー
│------------------------ チャレンジ送信 ------------------------→│
│←------------------------ ハッシュ化パスワードで応答 ------------------------│
│←------------------------ 認証結果通知 ------------------------│
主要なEAPメソッドの種類と特徴
EAP(Extensible Authentication Protocol)は、柔軟な認証フレームワークとして設計されており、さまざまな認証方式(EAPメソッド) をサポートしています。
各EAPメソッドは、異なるセキュリティレベルや導入コスト、適用範囲を持ち、それぞれの用途に応じた選択が重要です。
この章では、代表的なEAPメソッドの種類と特徴を解説します。
3-1. EAP-TLS(Transport Layer Security)
3-1-1. EAP-TLSとは?
EAP-TLS(Extensible Authentication Protocol – Transport Layer Security)は、クライアントとサーバーの双方がデジタル証明書を使用する、最も安全なEAPメソッドの一つ です。
3-1-2. 特徴とメリット
| 特徴 | 説明 |
|---|---|
| 高いセキュリティ | TLSを使用し、通信内容が暗号化される |
| 相互認証 | クライアントとサーバーの双方が証明書を用いるため、信頼性が高い |
| パスワード不要 | ID/パスワードを使用しないため、フィッシング攻撃に強い |
3-1-3. デメリットと課題
| デメリット | 説明 |
|---|---|
| 証明書の管理が必要 | クライアントごとに証明書を発行・管理する手間がかかる |
| 導入コストが高い | 証明書の発行や管理に費用が発生する |
EAP-TLSは、企業ネットワークや大規模なWi-Fi環境に適したEAPメソッド であり、セキュリティを重視する場合に推奨されます。
3-2. EAP-TTLS(Tunneled Transport Layer Security)
3-2-1. EAP-TTLSとは?
EAP-TTLS(Extensible Authentication Protocol – Tunneled Transport Layer Security)は、TLSトンネル内でクライアントの認証を行う方式 です。
3-2-2. 特徴とメリット
| 特徴 | 説明 |
|---|---|
| クライアント証明書不要 | サーバー側の証明書のみ必要で、導入が容易 |
| 複数の認証方式をサポート | TLSトンネル内でパスワード認証やチャレンジレスポンスを実施可能 |
3-2-3. デメリットと課題
| デメリット | 説明 |
|---|---|
| 中程度のセキュリティ | パスワード認証を使うため、EAP-TLSよりセキュリティが低い |
| サーバー証明書の管理が必要 | サーバー側の証明書を適切に設定する必要がある |
EAP-TTLSは、EAP-TLSより導入が容易でありながら、一定のセキュリティを提供する方式 です。
3-3. PEAP(Protected EAP)
3-3-1. PEAPとは?
PEAP(Protected Extensible Authentication Protocol)は、MicrosoftやCisco、RSA Securityによって開発されたEAPメソッド で、TLSトンネルを使用して認証情報を保護します。
3-3-2. 特徴とメリット
| 特徴 | 説明 |
|---|---|
| Windows環境に最適 | Windowsのネイティブサポートがあり、導入が容易 |
| クライアント証明書不要 | サーバー証明書のみ必要で、管理の負担が少ない |
3-3-3. デメリットと課題
| デメリット | 説明 |
|---|---|
| セキュリティはEAP-TLSより低い | パスワードベースの認証を使用するため、攻撃リスクが残る |
PEAPは、Windows環境での企業ネットワークやWi-Fi認証で広く採用 されています。
3-4. EAP-MD5
3-4-1. EAP-MD5とは?
EAP-MD5は、チャレンジレスポンス方式のEAPメソッド であり、パスワード認証を使用します。
3-4-2. 特徴とメリット
| 特徴 | 説明 |
|---|---|
| 実装が簡単 | 導入コストが低く、設定が容易 |
| パスワードベース | 単純なID/パスワード認証を採用 |
3-4-3. デメリットと課題
| デメリット | 説明 |
|---|---|
| 暗号化がない | 通信内容が保護されず、盗聴のリスクが高い |
| 現在は非推奨 | セキュリティの脆弱性が多いため、ほとんど使用されていない |
EAP-MD5は現在はほぼ使用されておらず、より安全なEAPメソッドの利用が推奨 されています。
3-5. LEAP(Lightweight EAP)
3-5-1. LEAPとは?
LEAP(Lightweight Extensible Authentication Protocol)は、Ciscoが開発したEAPメソッド で、WEPと組み合わせて使用されました。
3-5-2. 特徴とメリット
| 特徴 | 説明 |
|---|---|
| 簡易な実装 | 旧式のネットワーク環境で使用 |
| Cisco機器と互換性が高い | Cisco環境向けに最適化 |
3-5-3. デメリットと課題
| デメリット | 説明 |
|---|---|
| セキュリティが低い | WEPと同様の脆弱性を持つため、現在は使用不可 |
LEAPは、現在は非推奨であり、WPA2-Enterpriseなどのより安全な方式への移行が推奨 されています。
3-6. EAP-SIMおよびEAP-AKA
3-6-1. EAP-SIMとは?
EAP-SIMは、GSM(2G)ネットワークでのSIMカード認証に使用されるEAPメソッド です。
3-6-2. EAP-AKAとは?
EAP-AKAは、UMTS(3G)やLTE(4G)ネットワーク向けに最適化されたEAPメソッド で、より高度なセキュリティを提供します。
3-6-3. 特徴とメリット
| 特徴 | 説明 |
|---|---|
| SIMベース認証 | 携帯ネットワークのセキュリティを向上 |
| EAP-SIMは2G、EAP-AKAは3G/4G対応 | 新しいモバイルネットワークでの利用が可能 |
EAP-SIM/EAP-AKAは、モバイル通信事業者のネットワーク認証において重要な役割を果たしている メソッドです。
EAPの適用分野と利用例
EAP(Extensible Authentication Protocol)は、さまざまなネットワーク環境での認証プロトコルとして活用されており、特にWi-Fiや有線LAN、PPP接続で重要な役割を果たしています。
この章では、EAPがどのような環境で利用され、どのようなメリットをもたらすのかを詳しく解説します。
4-1. 無線LAN(Wi-Fi)におけるEAPの利用
4-1-1. Wi-Fi環境でのEAPの必要性
無線LAN(Wi-Fi)では、電波が空間を自由に飛び交うため、不正なアクセスや盗聴のリスクが高くなります。
そのため、セキュリティを確保するためにEAPを活用した認証システムが導入されています。
特に、企業ネットワークや公衆無線LANでは、単純なパスワード認証ではなく、EAPを利用した高度な認証方式が求められます。
4-1-2. Wi-Fiで利用されるEAPメソッド
無線LAN環境では、以下のEAPメソッドが広く利用されています。
| EAPメソッド | 特徴 | 適用環境 |
|---|---|---|
| EAP-TLS | クライアント証明書を使用した高セキュリティ認証 | 企業ネットワーク、政府機関 |
| EAP-TTLS | サーバー証明書+ユーザー名/パスワード認証 | 企業・大学のWi-Fi |
| PEAP | Windows環境向け、MSCHAPv2によるパスワード認証 | 企業ネットワーク |
| EAP-SIM | 携帯SIMカード認証を利用したWi-Fi認証 | モバイルネットワーク、キャリアWi-Fi |
これらのEAPメソッドにより、Wi-Fi接続時のセキュリティを大幅に向上させることが可能です。
4-1-3. Wi-FiでのEAPの実装例
Wi-Fi環境でEAPを利用する代表的なケースを紹介します。
① 企業ネットワーク(WPA2-Enterprise / WPA3-Enterprise)
- 従業員のデバイスが企業Wi-Fiに接続する際、EAPを使用した認証を実施
- EAP-TLSやPEAPを利用し、不正なデバイスの接続を防止
- RADIUSサーバーを活用し、認証を一元管理
② 公衆無線LAN(エンタープライズWi-Fi)
- EAP-SIMを利用し、携帯キャリアのSIM情報を用いた自動認証
- EAP-TTLSによるパスワードベースの認証方式
③ 教育機関(大学のWi-Fi)
- eduroam(教育機関向けWi-Fiローミングサービス)でEAP-TTLSやPEAPを採用
- 異なる大学間でも安全にWi-Fi接続が可能
Wi-Fi環境において、EAPはセキュリティと利便性を両立するための重要な技術となっています。
4-2. 有線ネットワークにおけるEAPの利用
4-2-1. 有線LAN環境でのEAPの役割
有線ネットワークは無線LANと比較して物理的なセキュリティが確保されやすいですが、LANポートに不正なデバイスを接続されるリスク があります。
そのため、EAPを活用したIEEE 802.1X認証を導入することで、セキュリティを強化することが可能です。
4-2-2. IEEE 802.1X認証とEAP
IEEE 802.1Xは、EAPをベースとしたネットワークアクセス制御技術 です。
有線LANに接続するデバイスがオーセンティケーター(スイッチ)を経由し、認証サーバー(RADIUS)で認証される仕組み になっています。
| 役割 | 説明 |
|---|---|
| サプリカント(クライアント) | 認証を受けるPCや端末 |
| オーセンティケーター(スイッチ / AP) | 認証の仲介を行うネットワーク機器 |
| 認証サーバー(RADIUS) | ユーザー認証を実施し、接続許可を判断 |
4-2-3. 有線ネットワークでのEAPの活用例
① 企業ネットワークのセキュリティ強化
- LANポートからの不正アクセスを防ぐ
- EAP-TLSを使用し、証明書ベースの強固な認証を実施
② データセンターでのアクセス管理
- ネットワーク機器への不正接続を防ぐ
- IEEE 802.1X認証を導入し、EAPでユーザー認証を行う
③ ゼロトラストネットワーク
- 社内・社外を問わず、一貫した認証基盤を構築
- 有線・無線のネットワーク認証をEAPで統合
EAPを活用することで、有線ネットワークのセキュリティを強化し、安全なアクセス管理を実現できます。
4-3. PPP(Point-to-Point Protocol)接続でのEAP
4-3-1. PPPとEAPの関係
PPP(Point-to-Point Protocol)は、インターネット接続やVPNなどのシリアル通信に用いられる通信プロトコル です。
PPPでは、認証プロセスをEAPで拡張 し、より高度なセキュリティを確保できます。
4-3-2. PPPで利用されるEAPメソッド
PPP環境では、以下のようなEAPメソッドが利用されます。
| EAPメソッド | 特徴 |
|---|---|
| EAP-MD5 | シンプルなチャレンジレスポンス方式(現在は非推奨) |
| EAP-TLS | 証明書ベースの高セキュリティ認証 |
| EAP-TTLS | TLSトンネル内でパスワード認証を実施 |
| EAP-SIM / EAP-AKA | 携帯ネットワークでのSIM認証に利用 |
4-3-3. PPP接続でのEAPの活用例
① ISPのユーザー認証
- EAP-TLSを利用した証明書認証
- PPP接続の認証を強化し、不正アクセスを防止
② VPN(Virtual Private Network)
- リモートアクセスVPNでEAP-TTLSやPEAPを使用
- よりセキュアな認証方式を導入し、企業VPNの安全性を確保
PPP接続においても、EAPを利用することで、より強固な認証システムを構築できます。
EAPのセキュリティ上の考慮点
EAP(Extensible Authentication Protocol)は、ネットワーク認証のための柔軟なフレームワークですが、そのセキュリティは使用するEAPメソッドによって大きく異なります。
適切なメソッドを選択し、既知の脆弱性への対策を講じることが、安全なネットワーク環境を構築する上で重要です。
この章では、各EAPメソッドのセキュリティ比較と、EAPに関連する既知の脆弱性およびその対策について詳しく解説します。
5-1. 各EAPメソッドのセキュリティ比較
5-1-1. EAPメソッドのセキュリティ評価
EAPには複数のメソッドが存在し、それぞれ異なるセキュリティレベルを持ちます。
以下の表に、代表的なEAPメソッドのセキュリティ比較をまとめました。
| EAPメソッド | 認証方式 | セキュリティレベル | 主な用途 |
|---|---|---|---|
| EAP-TLS | 証明書認証 | ★★★★★(最高) | 企業ネットワーク、高セキュリティ環境 |
| EAP-TTLS | 証明書 + パスワード認証 | ★★★★☆ | 大学・企業のWi-Fi認証 |
| PEAP | 証明書 + パスワード認証 | ★★★★☆ | Windows環境のネットワーク認証 |
| EAP-MD5 | チャレンジレスポンス(パスワード) | ★☆☆☆☆(低) | 現在はほぼ使用されない |
| LEAP | WEPベースの認証 | ★☆☆☆☆(低) | Cisco環境(現在は非推奨) |
| EAP-SIM / EAP-AKA | SIM認証 | ★★★★☆ | 携帯キャリアのWi-Fi認証 |
EAP-TLSは最も安全なメソッドですが、証明書の管理が必要なため導入コストが高くなります。
対して、EAP-MD5やLEAPはセキュリティが脆弱であり、現在は推奨されていません。
5-1-2. 推奨されるEAPメソッド
高セキュリティが必要な環境
- EAP-TLS(証明書認証)
- EAP-TTLS / PEAP(TLSトンネル内のパスワード認証)
簡易な認証で十分な環境
- EAP-TTLS / PEAP(企業・大学のWi-Fi)
- EAP-SIM / EAP-AKA(携帯キャリアWi-Fi)
使用が推奨されないメソッド
- EAP-MD5(暗号化なし)
- LEAP(WEPベースで脆弱)
ネットワークのセキュリティレベルに応じて適切なEAPメソッドを選択することが、情報漏洩や不正アクセスを防ぐ鍵となります。
5-2. 既知の脆弱性とその対策
5-2-1. EAPに関連する主な脆弱性
EAPは認証フレームワークであり、メソッドごとに異なるセキュリティリスクを持っています。
代表的な脆弱性とその影響を以下にまとめます。
| 脆弱性 | 影響 | 該当するEAPメソッド |
|---|---|---|
| なりすまし攻撃(MITM) | 攻撃者が偽のAPを用意し、ユーザーの認証情報を盗む | PEAP, EAP-TTLS |
| 辞書攻撃 | パスワードベースの認証が狙われ、ブルートフォース攻撃を受ける | EAP-MD5, LEAP |
| WEPキーの脆弱性 | LEAPはWEPを使用するため、簡単に解読される | LEAP |
| 証明書の不適切な管理 | 証明書の期限切れや不正なCAを利用されるリスク | EAP-TLS, EAP-TTLS, PEAP |
EAPを安全に利用するためには、これらの脆弱性を理解し、適切な対策を講じる必要があります。
5-2-2. EAPのセキュリティ対策
脆弱性を回避し、EAPのセキュリティを最大限確保するための対策を紹介します。
① なりすまし攻撃(MITM)対策
- 信頼できる証明書を使用
- 自己署名証明書の使用を避け、適切なCAを利用
- Wi-Fi環境ではWPA2-Enterprise / WPA3-Enterpriseを採用
② 辞書攻撃対策
- EAP-MD5やLEAPの使用を避ける
- 強力なパスワードポリシーを導入
- 多要素認証(MFA)を併用
③ WEPキーの脆弱性対策
- LEAPを使用しない
- WEPではなく、WPA2-EnterpriseまたはWPA3-Enterpriseを利用
- 802.1X認証を実装し、適切なEAPメソッドを採用
④ 証明書管理の強化
- 証明書の有効期限を定期的に確認
- 証明書の自動更新システムを導入
- 信頼できるCAを利用し、不正な証明書の使用を防ぐ
これらの対策を実施することで、EAPを用いた認証システムのセキュリティを向上させることが可能です。
EAPの実装と設定
EAP(Extensible Authentication Protocol)は、無線LAN(Wi-Fi)、有線LAN、VPN、モバイルネットワークなどさまざまな環境で利用される認証フレームワークです。
EAPを適切に実装し、設定することで、ネットワークのセキュリティを強化し、不正アクセスを防ぐことができます。
この章では、主要なOSやデバイスにおけるEAPの設定方法を解説します。
6-1. 主要なOSやデバイスでのEAP設定方法
6-1-1. WindowsでのEAP設定
Windowsでは、Wi-Fiや有線LAN接続時にEAPを使用した802.1X認証を設定できます。
① WindowsでのEAP-TLS設定(WPA2-Enterprise)
- 「ネットワークとインターネットの設定」を開く
- 「Wi-Fi」→「ネットワークと共有センター」を選択
- 「アダプターの設定の変更」をクリック
- 対象のWi-Fiまたは有線LANアダプターを右クリックし、「プロパティ」を選択
- 「ネットワーク」タブで「802.1X 設定」を開く
- 「EAPの種類」から「スマートカードまたはその他の証明書(EAP-TLS)」を選択
- 適切な証明書を選択し、「OK」で適用
- EAP-TLSを利用するには、事前に証明書を発行し、インストールする必要があります。
- 企業ネットワークでは、MicrosoftのActive Directoryと組み合わせてRADIUS認証を行うことが一般的です。
6-1-2. macOSでのEAP設定
macOSでは、Wi-Fi接続時にEAPを使用した認証を設定できます。
① macOSでのEAP-TTLSまたはPEAP設定
- 「システム設定」→「ネットワーク」を開く
- Wi-Fi接続を選択し、「詳細設定」をクリック
- 「セキュリティの種類」から「WPA2 エンタープライズ」または「WPA3 エンタープライズ」を選択
- 「EAPメソッド」から「EAP-TTLS」または「PEAP」を選択
- 「認証方式」で「MSCHAPv2」または「パスワード認証」を選択
- ユーザー名とパスワードを入力し、「OK」で適用
- macOSでは、EAP-TLSの証明書認証にも対応しています。
- 証明書を利用する場合は、事前に「キーチェーンアクセス」に証明書をインストールし、信頼設定を行う必要があります。
6-1-3. LinuxでのEAP設定(wpa_supplicant)
Linux環境では、EAP認証を設定するために wpa_supplicant を使用します。
① EAP-TLSの設定手順
- 設定ファイル
/etc/wpa_supplicant.confを編集
network={
ssid="EnterpriseWiFi"
key_mgmt=WPA-EAP
eap=TLS
identity="user@example.com"
ca_cert="/etc/certs/ca.pem"
client_cert="/etc/certs/client.pem"
private_key="/etc/certs/client.key"
private_key_passwd="password"
}
- wpa_supplicantを再起動
sudo systemctl restart wpa_supplicant
EAP-TLSを使用する場合、ca_cert, client_cert, private_key などの証明書を適切に設定する必要があります。
6-1-4. AndroidでのEAP設定
Android端末では、Wi-Fiの「WPA2-Enterprise」や「WPA3-Enterprise」を選択することでEAPを利用できます。
① EAP-TTLSまたはPEAPの設定
- 「設定」→「Wi-Fi」を開く
- 対象のWi-Fiネットワークを選択
- 「EAP方式」から「PEAP」または「EAP-TTLS」を選択
- 「フェーズ2認証」で「MSCHAPv2」を選択
- ユーザー名とパスワードを入力し、「接続」をタッ
証明書が必要な場合は、事前にAndroid端末に証明書をインストールしておく必要があります。
6-1-5. iOS(iPhone / iPad)でのEAP設定
iOSデバイスでは、企業ネットワーク向けのWi-Fi接続時にEAPを使用できます。
① EAP-TLSの設定
- 「設定」→「Wi-Fi」から対象のネットワークを選択
- 「EAPメソッド」から「EAP-TLS」を選択
- 「証明書」を選択
- 適切な証明書を選択し、「接続」をタップ
6-1-6. CiscoルーターでのEAP設定(RADIUS認証)
Ciscoルーターでは、RADIUSサーバーを使用してEAP認証を行うことが一般的です。
① CiscoルーターでのRADIUSサーバー設定
aaa new-model
aaa authentication dot1x default group radius
radius-server host 192.168.1.1 auth-port 1812 key radius_key
② 802.1X認証の有効化
interface GigabitEthernet0/1
switchport mode access
dot1x port-control auto
RADIUSサーバーと連携することで、大規模なネットワークでEAP認証を実施可能。
