IT用語集 2023/11/16

EAP-TLSとは？わかりやすく10分で解説

コラム

EAP-TLSは、デジタル証明書を用いて端末（クライアント）と認証サーバーの双方を検証する、EAP方式の一つです。パスワードを直接使わずに相互認証を行えるため、企業ネットワークや無線LANのアクセス制御で採用されることがあります。

一方で、EAP-TLSは導入すれば自動的に安全性が高まる方式ではありません。証明書の発行、配布、更新、失効、端末紛失時の対応を継続できる運用体制が前提になります。この記事では、EAP-TLSの仕組み、認証プロセス、利用シーン、導入時の注意点を整理し、どのような条件で有効な選択肢になるのかを解説します。

EAP-TLSとは

EAP-TLSは、EAP（Extensible Authentication Protocol：拡張認証プロトコル）で利用される認証方式の一つです。EAPは、特定の認証方式を固定するものではなく、複数の認証方式を扱うための認証フレームワークです。その中でEAP-TLSは、TLS（Transport Layer Security）と証明書を用いて相互認証を行います。

EAP-TLSは、もともとRFC 5216で定義され、証明書ベースの相互認証と鍵導出をサポートする方式として整理されています。その後、TLS 1.3でEAP-TLSを利用するための仕様としてRFC 9190が定められ、TLS 1.3のセキュリティ・プライバシー上の改善を取り込む形で更新されています。

EAP-TLSの基本的な仕組み

EAP-TLSでは、クライアントと認証サーバーが、それぞれ証明書を用いて相手の正当性を確認します。端末側は認証サーバーの証明書を検証し、認証サーバー側は端末のクライアント証明書を検証します。

パスワードを直接使わないため、パスワードの漏えい、使い回し、総当たり攻撃、フィッシングによる認証情報窃取といったリスクを抑えやすくなります。ただし、証明書そのものの管理が不十分だと、不要な端末が接続できる、正当な端末が接続できない、期限切れで業務に影響する、といった問題が発生します。

EAP-TLSの背景と位置づけ

EAP-TLSは、ネットワークアクセス制御の領域で利用されてきた証明書ベースの認証方式です。特に、社給PCや管理対象端末をネットワークへ接続させる場合に、端末の真正性を確認しやすい方式として使われます。

無線LANでは、利用者が電波圏内にいれば接続を試行できるため、認証方式の設計が重要になります。EAP-TLSをIEEE802.1X認証と組み合わせることで、証明書を持つ端末だけをネットワークに参加させる構成を取りやすくなります。

EAP-TLSが動く構成

EAP-TLSは、端末と認証サーバーだけで完結しているように見えますが、実際の802.1X環境では、サプリカント、オーセンティケータ、認証サーバーの3者で動作します。無線LANではアクセスポイント、有線LANではスイッチがオーセンティケータとして機能することがあります。

802.1Xでの基本的な役割分担

サプリカント：接続を要求する端末、または端末上で認証処理を行うクライアント機能
オーセンティケータ：アクセスポイントやスイッチなど、端末からの接続を制御し、認証のやり取りを中継する機器
認証サーバー：EAP-TLSで証明書を検証し、接続を許可するか判断するサーバー

一般的な集中管理構成では、認証サーバーとしてRADIUSサーバーを利用します。ただし、IEEE 802.1Xの考え方として、バックエンド認証サーバーが常に必須というわけではありません。企業ネットワークでは、集中認証、ログ管理、認可制御を行いやすくするために、RADIUSを使う構成が広く採用されます。

認証後の通信保護との関係

EAP-TLSのTLSは、認証のやり取りを保護し、鍵材料を生成するために使われます。ただし、EAP-TLSのTLSが、そのまま利用者の業務通信すべてを暗号化するわけではありません。

無線LANでは、EAP-TLSによる認証結果や鍵材料をもとに、WPA2-EnterpriseやWPA3-Enterpriseなどの無線LAN側の仕組みで通信を保護します。有線LANでは、802.1Xによる接続制御と、必要に応じた通信暗号化、ネットワーク分離、端末管理を組み合わせて設計します。

EAP-TLSの認証プロセス

EAP-TLSの認証は、EAPの枠組みの中でTLSハンドシェイクを実行する形で進みます。細かなメッセージの流れは実装やTLSバージョンによって異なりますが、実務上は次の流れで理解すると整理しやすくなります。

端末がネットワーク接続を試みる
オーセンティケータがEAPのやり取りを開始する
端末と認証サーバーがTLSハンドシェイクを行う
端末がサーバー証明書を検証する
認証サーバーがクライアント証明書を検証する
認証が成功した場合、オーセンティケータが端末の通信を許可する

クライアントとサーバーの相互認証

EAP-TLSでは、端末が認証サーバーを検証するだけでなく、認証サーバーも端末を検証します。この相互認証により、なりすまし端末の接続や、不正な認証サーバーへの接続を抑えやすくなります。

端末側でサーバー証明書の検証を省略したり、信頼する認証局を過度に広く設定したりすると、不正なアクセスポイントや認証基盤へ誘導されるリスクが残ります。EAP-TLSを導入する場合は、クライアント証明書の配布だけでなく、サーバー証明書の検証設定も重要です。

TLSが果たす役割

TLSは、EAP-TLSの中で認証のやり取りを保護し、暗号学的に安全な鍵材料を生成する役割を担います。TLS 1.3を用いるEAP-TLSでは、前方秘匿性や証明書の扱いなど、従来のTLSバージョンに比べて改善された点があります。

ただし、TLSのバージョン、証明書検証、失効確認、暗号スイート、クライアント設定が適切でなければ、期待した安全性は得られません。製品やOSの対応状況も含めて、導入前に検証します。

EAP-TLSの利用シーン

EAP-TLSは、ネットワークに接続する端末を厳密に管理したい環境で利用されます。代表的な例は、企業の無線LAN、有線LAN、教育機関や研究機関のキャンパスネットワークです。

特に、社給端末や管理対象端末を中心に使う組織では、証明書を端末へ配布し、端末単位で接続可否を制御しやすくなります。人のパスワードだけに依存する構成より、端末の真正性を確認しやすい点が利点です。

EAP-TLSが向く環境

社給PCや管理対象端末が中心の環境：証明書の配布・更新・失効を組織で管理しやすい
パスワード依存を減らしたい環境：認証情報の漏えいや使い回しリスクを抑えやすい
端末の真正性を重視する環境：正当な証明書を持つ端末だけを接続させやすい
無線LANの利用者が多い環境：共有パスワード方式より、端末単位の管理を行いやすい

EAP-TLSが向きにくい環境

BYOD端末が多い環境：私物端末への証明書配布、削除、失効、端末紛失時の対応が複雑になりやすい
端末管理基盤が未整備の環境：証明書配布や更新を手作業に頼ると運用負荷が大きくなる
証明書ライフサイクルを管理できない環境：期限切れや失効漏れが業務影響やセキュリティリスクにつながる
例外端末が多い環境：プリンター、IoT機器、古い端末など、EAP-TLSに対応しない機器の扱いが課題になる

導入判断では、セキュリティ要件だけでなく、端末台数、証明書配布方法、失効手順、ヘルプデスク対応、例外端末の扱いまで確認します。

セキュリティ観点から見たEAP-TLS

EAP-TLSは、証明書ベースの相互認証を行える方式として評価されています。ただし、方式そのものの安全性と、運用後の安全性は分けて考える必要があります。証明書管理やクライアント設定が不適切な場合、EAP-TLSの利点を十分に活かせません。

EAP-TLSのメリット

パスワードを直接使わない：パスワード漏えい、使い回し、総当たり攻撃の影響を受けにくい
相互認証を行える：端末と認証サーバーの双方を検証できる
端末単位の制御と相性がよい：証明書を端末へ配布することで、管理対象端末かどうかを判断しやすい
共有パスワード方式より管理しやすい場合がある：利用者全員で同じ無線LANパスワードを共有する構成に比べ、端末ごとの失効がしやすい

EAP-TLSの注意点

証明書の有効期限管理が必要：期限切れにより正当な端末が接続できなくなる場合がある
失効管理が必要：退職者端末、紛失端末、廃棄端末に残る証明書を無効化する必要がある
端末配布・更新の仕組みが必要：手作業配布では台数が増えるほど運用負荷が高まる
サーバー証明書検証の設定が重要：検証設定が弱いと、不正な認証基盤への接続リスクが残る
例外端末の扱いが必要：EAP-TLSに対応しない機器をどう接続させるか、別途設計が必要になる

EAP-TLSでは、証明書の発行・配布・更新・失効を含めたライフサイクル管理が運用の品質を左右します。導入前に、誰が証明書を発行し、どの経路で配布し、どのタイミングで更新し、どの条件で失効するのかを明文化します。

EAP-TLS導入の基本ステップ

EAP-TLSを導入する際は、認証基盤、証明書基盤、ネットワーク機器、端末管理を合わせて準備します。機器設定だけで進めると、証明書の配布や更新で運用が詰まりやすくなります。

1. 要件を整理する

まず、EAP-TLSで何を実現したいのかを整理します。社給端末だけを接続させたいのか、利用者単位の制御も必要なのか、無線LANだけか有線LANも対象にするのか、例外端末をどう扱うのかを決めます。

対象ネットワーク（無線LAN、有線LAN、ゲストネットワークなど）
対象端末（社給PC、スマートフォン、タブレット、IoT機器など）
認証単位（端末、利用者、端末＋利用者）
証明書の発行元（社内CA、プライベート認証局、外部CAなど）
失効・更新・紛失時の手順

2. 証明書を準備する

クライアント証明書とサーバー証明書を準備します。一般には、組織で管理する認証局やプライベート認証局を使い、信頼の起点となるルート証明書を端末へ配布します。

証明書では、発行対象、用途、有効期限、失効方法、秘密鍵の保護方法を決めます。証明書が漏えいした場合や端末を紛失した場合に、どの証明書を失効すればよいかを追跡できる状態にしておく必要があります。

3. 認証サーバーとネットワーク機器を設定する

RADIUSサーバー、無線LANアクセスポイント、無線LANコントローラー、有線スイッチなどに対して、EAP-TLSを利用する設定を行います。サーバー証明書、信頼する認証局、EAP方式、VLAN割り当て、ログ出力などを確認します。

認証結果に応じて接続先VLANを変える、ゲスト端末を別ネットワークへ分ける、失敗時に隔離ネットワークへ誘導する、といった制御を行う場合は、RADIUS属性やネットワーク機器側の対応も確認します。

4. 端末へ証明書と接続設定を配布する

端末側には、クライアント証明書、秘密鍵、信頼するルート証明書、接続プロファイルを配布します。台数が多い場合は、MDM、グループポリシー、端末管理ツールなどを使い、手作業に依存しない配布方法を選びます。

サーバー証明書の検証設定も端末側で重要です。接続先SSIDだけでなく、信頼する認証局、サーバー名、証明書チェーンの検証条件を適切に設定します。

5. 検証と運用を行う

導入前に、複数の端末・OS・ネットワーク条件で接続テストを行います。証明書期限切れ、失効済み証明書、誤ったサーバー証明書、端末紛失時の失効、ネットワーク機器障害時の挙動も確認対象になります。

運用開始後は、認証ログ、失敗理由、証明書期限、失効リスト、端末台帳を定期的に確認します。証明書更新のタイミングを通知し、期限切れが業務停止につながらないようにします。

EAP-TLSと他の認証方式の違い

EAP-TLSを検討するときは、他のEAP方式や無線LANの認証方式と比較して、どの課題を解決したいのかを確認する必要があります。特に、証明書を使うことの利点と運用負荷を分けて評価します。

EAP-TLS	証明書ベースで端末と認証サーバーを相互認証する方式。パスワード依存を減らしやすい一方、証明書ライフサイクル管理が必要。
パスワードベースのEAP方式	利用者名とパスワードを使う方式。導入しやすい場合がある一方、認証情報の漏えい、使い回し、フィッシング対策が課題になる。
共有キー方式	同じパスフレーズを複数人・複数端末で共有する方式。小規模では扱いやすいが、退職者や紛失端末への個別失効が難しい。
多要素認証との関係	多要素認証は複数要素で本人確認を強化する考え方。EAP-TLSは証明書を使ったネットワーク認証方式であり、用途や保護対象が異なる。

証明書を使うEAP-TLSは、管理対象端末を識別しやすい点で有利です。一方で、利用者本人の追加確認が必要な場面では、端末認証だけで十分かを別途検討します。ネットワーク接続、業務アプリ、クラウドサービスでは、保護したい対象と認証方式を分けて設計します。