『企業無線LANでパスワード認証（EAP-PEAP）が使えなくなる』と噂される背景を解説

はじめに

最近、企業ネットワークを管理する方々から、次のようなご質問をいただくことが増えてきました。

• 「将来的にWindowsではEAP-PEAPがサポートされなくなるのでしょうか？」
• 「Windows 11にアップグレードすると、EAP-PEAPが使用できなくなるのですか？」

このような質問をされる背景として、Windows 11のアップデートとセキュリティ機能と、それによる制限が関係していると思われます。

そこで、今回は、Microsoft社が公開している情報をもとにこれらの疑問に対して解説していきます。

問題の概要

Windows 11 バージョン 22H2においては、Credential Guardという機能がデフォルトで有効化されています。
Credential Guardは、安全でないプロトコルの使用ブロックし、システムを保護するセキュリティ機能を持ちます。このブロック対象にMS-CHAPも含まれてまれており、それを用いるEAP-PEAP認証も影響を受けます。

Considerations and known issues when using Credential Guard  より引用
https://learn.microsoft.com/en-us/windows/security/identity-protection/credential-guard/considerations-known-issues

Wi-fi and VPN considerations
Wi-FiおよびVPNに関する考慮事項

When you enable Credential Guard, you can no longer use NTLM classic authentication for single sign-on. You'll be forced to enter your credentials to use these protocols and can't save the credentials for future use.
Credential Guardを有効にすると、シングルサインオンのためのNTLMクラシック認証を使用することはできなくなります。これらのプロトコルを使用するには資格情報を入力する必要があり、将来の使用のために資格情報を保存することはできません。

If you're using WiFi and VPN endpoints that are based on MS-CHAPv2, they're subject to similar attacks as for NTLMv1.
MS-CHAPv2をベースにしたWi-FiおよびVPNエンドポイントを使用している場合、それらはNTLMv1と同様の攻撃にさらされます。

For WiFi and VPN connections, it's recommended to move from MSCHAPv2-based connections (such as PEAP-MSCHAPv2 and EAP-MSCHAPv2), to certificate-based authentication (such as PEAP-TLS or EAP-TLS).
Wi-FiおよびVPN接続については、MSCHAPv2ベースの接続（例：PEAP-MSCHAPv2、EAP-MSCHAPv2）から証明書ベースの認証（例：PEAP-TLS、EAP-TLS）への移行が推奨されます。

Credential Guard

Credential Guardは、Windowsオペレーティングシステムにおける先進的なセキュリティ機能です。
この機能の主な目的は、ユーザーの資格情報を保護することであり、特にパスワード漏洩のリスクを持つ認証プロトコルをブロックすることにより、潜在的なサイバー攻撃から保護します。
Credential Guardは、仮想化ベースのセキュリティを利用して、資格情報を分離し、攻撃者がこれらの情報にアクセスするのを難しくします。
この機能は、Windows 10とWindows 11のエンタープライズ版および教育版で利用可能で、特定のアップデートによってデフォルトで有効化されることがあります。

EAP-PEAP

EAP-PEAPは、無線LANやその他のネットワーク接続において使用される認証フレームワークで、内部的に異なる認証プロトコルをサポートしています。
EAP-PEAPは、通信を暗号化し、安全なトンネルを介して認証情報を転送することで、ネットワークアクセスを保護します。
その中でもMSCHAPv2は、EAP-PEAP内で最も一般的に使用されるプロトコルの一つで、パスワードベースの認証メカニズムを提供します。EAP-PEAPとMSCHAPv2の組み合わせは、広範なオペレーティングシステムでサポートされており、特にWindows環境で一般的です。

問題への対応

Microsoft社は、Windows 11 バージョン 22H2でのCredential Guardに関連するEAP-PEAP認証問題に対して、MSCHAPv2ベースの接続からより強固な認証への移行を推奨しています。
具体的には、PEAP-MSCHAPv2やEAP-MSCHAPv2による認証から、PEAP-TLSやEAP-TLSのような証明書ベースの認証に変更することです。証明書ベースの認証であれば、Credential Guardによってブロックされないため、認証の問題を解決できます。
（より手軽に解決する方法としてCredential Guardを無効にすることも考えられますが、保存されたドメイン資格情報が盗難に対して脆弱になるリスクがあるため推奨されません。）

Considerations and known issues when using Credential Guard  より引用
https://learn.microsoft.com/en-us/windows/security/identity-protection/credential-guard/considerations-known-issues

We recommend moving away from MSCHAPv2-based connections, such as PEAP-MSCHAPv2 and EAP-MSCHAPv2, to certificate-based authentication, like PEAP-TLS or EAP-TLS. Credential Guard doesn't block certificate-based authentication. For a more immediate, but less secure fix, disable Credential Guard. Credential Guard doesn't have per-protocol or per-application policies, and it can either be turned on or off. If you disable Credential Guard, you leave stored domain credentials vulnerable to theft.
PEAP-MSCHAPv2やEAP-MSCHAPv2などのMSCHAPv2ベースの接続から、PEAP-TLSやEAP-TLSのような証明書ベースの認証に移行することをお勧めします。Credential Guardは証明書ベースの認証をブロックしません。より迅速だがセキュリティが低下する修正として、Credential Guardを無効にすることもできます。Credential Guardにはプロトコルごとやアプリケーションごとのポリシーはなく、オンまたはオフにすることができます。Credential Guardを無効にすると、保存されたドメイン資格情報は盗難に対して脆弱になります。

証明書ベースの認証について

EAP-PEAPからEAP-TLSへの認証方式の変更は、無線LAN環境におけるセキュリティと運用の面で重要な影響を及ぼします。

メリット

EAP-TLSへの移行は、パスワードベースの認証と比較してセキュリティの強化につながります。
デジタル証明書を使用するため、パスワード漏洩のリスクが大幅に低減し、サイバー攻撃に対する抵抗力が強化されます。
また、EAP-TLSは相互認証を実施するため、ネットワークへの不正アクセスを効果的に防ぐことができます。

デメリット

一般に、証明書の管理には専門知識が必要であり、証明書発行機関（CA）の設置や維持にはコストがかかることが大きなデメリットです。
また、既存のシステムやプロセスの変更が必要となり、社員のトレーニングが必要な場合があります。

デメリットの軽減

これらのデメリットを軽減するためには、証明書のライフサイクル管理を自動化するシステム・サービスの導入が効果的です。

EAP-TLSへの移行は、初期の投資と計画が必要ですが、長期的なセキュリティの強化と運用の効率化を実現します。適切な計画とリソースの割り当てにより、そのデメリットは効果的に軽減できるでしょう。

 既存システムの機器について

EAP-PEAPからEAP-TLSに変更する場合、必ずしもネットワーク機器や認証サーバーを買い替える必要はありません。主要なポイントは以下の通りです。

クライアントPC

EAP-PEAPからEAP-TLSへの変更の際、クライアントデバイス（PCなど）では、主に各デバイスに対する証明書のインストールと、EAP-TLSをサポートするためのネットワーク設定の更新が必要ですが、一般的にはハードウェア自体の交換は不要です。

ネットワーク機器

現在使用しているネットワーク機器（無線アクセスポイント、スイッチなど）がEAP-TLSをサポートしているかを確認します。多くの現代的なネットワーク機器はEAP-TLSをサポートしています。

認証サーバー

現在の認証サーバーがEAP-TLSをサポートしているかどうかを確認します。サポートしている場合は、設定の変更や更新が必要かもしれませんが、ハードウェア自体の交換は不要です。

ネットワーク機器や認証サーバーがEAP-TLSに対応していない場合のみ、機器のアップグレードや交換が必要になります。まずは現在の機器の仕様とサポート状況を確認することが重要です。

証明書の運用に強みをもつ認証ソリューションのご紹介

Soliton OneGate

Soliton OneGate（ソリトン ワンゲート）は、ソリトンシステムズが提供するIDaaSサービスで、Wi-FiやVPN認証においてデジタル証明書を使用します。セキュリティ強化と利便性の両立を目指しており、多要素認証（MFA）、シングルサインオン（SSO）、SAML認証連携などの機能を備えています。AD連携やプライベートCA、生体認証も可能で、クラウド管理型のため導入・運用の負担が少ないのが特徴です。
料金プランにはPKIプラン、Basicプラン、Standardプランがあり、機能はプランによって異なります。

NetAttest EPS

NetAttest EPS（ネットアテスト イーピーエス）は、企業の無線LANやVPNへの接続時の認証を行います。RADIUSサーバー機能、認証局（CA）機能、ネットワーク接続端末にIPアドレスを払い出すDHCPサービスなどをオールインワンで提供しており、要求の厳しいビジネス環境において、高い信頼性と運用性を実現するための十分な性能を備えます。
また、NetAttest EPSは、2002年に物理アプライアンスとしてリリースして以降、時代とIT環境の変化に応じて仮想アプライアンス、クラウドサービスなど、最適な形態で提供することで業種や導入規模を問わず多くのお客様から高い評価を受けてきました。