RADIUSとは？ 認証の仕組みや導入のメリットなどを解説

持ち運びが容易なモバイルPCやスマートデバイスが普及し、テレワークが定着しつつある昨今、企業ではそれらを安全かつ円滑に活用するために、ネットワークや認証の重要性が高まっています。多様なデバイスと、それを操作するユーザーを適切に接続させるための技術要素の1つが「RADIUS認証」です。

株式会社ソリトンシステムズでも、オールインワンのRADIUS認証アプライアンス「NetAttest EPS」を開発しており、多くのお客様にご利用いただいています。

そこでこの記事では、一般企業でも導入が広がっているRADIUS認証について、概要から仕組み、メリットまでを整理して解説します。

RADIUSとは

RADIUS（ラディウス）は「Remote Authentication Dial-In User Service」の略称で、ネットワークアクセスにおける認証・認可・利用記録（AAA）を扱うプロトコルとして広く利用されています。RADIUSは1992年に米国リビングストン社（当時）が開発し、その後RFCとして文書化され、改訂・拡張を経ながら現在に至ります。

RADIUSは比較的シンプルな実装で、多くのネットワーク機器が外部認証連携（RADIUSクライアント機能）として対応しています。これにより、複数機器にまたがるアクセス管理を統合しやすくなり、運用の効率化につながります。また、認証情報を集中管理できるため、管理の煩雑化を抑えられる点もメリットです。ユーザー側も、環境によっては同一の認証情報で複数のネットワーク利用に対応できるため、入力や運用の負担軽減につながる場合があります。

なお、英単語としてのRADIUSには「半径」という意味があり、後継プロトコルとして「直径」を意味するDiameter（ダイアメーター）があることから、両者の名称はしばしば対比して語られます。ただし、これは名称上の連想に近く、RADIUSの機能や由来を直接説明するものではないとされています。

AAAモデル

RADIUSは、ネットワークアクセスの制御を行う「AAA（トリプルエー）」モデルに基づく代表的な仕組みとして知られています。AAAとは、以下の3つのセキュリティ機能の頭文字を取ったもので、ネットワーク上でのアクセス管理を体系化する基本的な枠組みです。

• Authentication（認証）
  利用を要求してきた人物や端末が、許可された正当なユーザーであるかを確認します。一般的にはIDとパスワードの組み合わせに加え、電子証明書（デジタル証明書）やSIMカードの情報を用いた認証方式が採用されることもあります。
  
  
• Authorization（認可）
  認証に成功したユーザーや端末に対して、利用可能なサービスやアクセス可能な範囲（リソース）を定めます。RADIUSの場合、認証とあわせて接続条件（VLAN/ACLなど）を返す運用も多く、実装や設計によっては両者の境界が分かりにくくなることがあります。
  
  
• Accounting（利用記録）
  認可されたユーザーや端末が、いつ・どのようにネットワークを利用したかの記録を取る機能です。RADIUSはもともとダイヤルアップ接続の接続時間や通信量を集計し、課金情報として利用する目的でも用いられてきたため、Accounting機能が組み込まれています。現在では課金用途に限らず、セキュリティ監査やトラブルシューティング、利用状況の把握などにも活用されています。

AAAと属性の関係

RADIUSは、「AAA（認証・認可・利用記録）」というモデルに基づいて動作します。そしてAAAの各処理は、RADIUSにおける「属性（Attribute）」と呼ばれる情報単位で表現され、認証要求や応答、利用記録（Accounting）といった通信の中でやり取りされます。ユーザーID、接続元情報、認可内容、利用状況など、RADIUSが扱う情報の多くは属性として整理されています。

認証を担う属性

ユーザーがネットワークにアクセスしようとすると、まずRADIUSクライアント（無線LANアクセスポイントやVPN機器など）は、RADIUSサーバーに「Access-Request」パケットを送信します。このパケットには、User-Name や User-Password など、認証に必要な基本情報を表す属性が含まれます。
代表的な属性のひとつに「Calling-Station-Id」があります。これは接続元を識別するための属性で、用途や運用によって扱われる内容が変わることがあります。たとえば、ダイヤルアップ接続が主流だった時代には、発信元番号に相当する情報を条件とした制御に用いられることがありました。現在の無線LAN環境などでは、Calling-Station-Idに端末のMACアドレスを設定する運用が一般的で、ユーザーIDと接続元情報の両方を照合した認証設計も可能です。このように属性は、本人確認に加えて「どの端末・どの接続元からのアクセスか」といった条件を加味した制御にも利用されます。

認可に使われる属性

RADIUSサーバーが認証に成功すると、「Access-Accept」パケットで応答が返されます。この応答には、ユーザーに対してどのようなネットワーク利用を許可するかを示す属性が含まれ、これが認可（Authorization）の役割を担います。
たとえば、所属部門や利用目的に応じて動的にVLANを割り当てる場合は、Tunnel-Type や Tunnel-Private-Group-ID などの属性を使ってVLAN情報を通知します。また、Filter-Id を指定することで、接続後に適用するアクセス制御リスト（ACL）を制御することも可能です。こうした属性は、単に「接続を許可するかどうか」だけでなく、「どのような条件で接続を許可するか」を定義するために用いられます。

利用状況を記録する属性

接続が確立したあとは、その利用状況を記録する「Accounting」処理が行われます。この際、「Accounting-Request」パケットが使用され、Acct-Session-Id や Acct-Status-Type、Acct-Input-Octets などのアカウンティング属性が含まれます。
これらの情報は、ユーザーがいつ接続を開始し、どの程度通信を行い、いつ切断されたかといった履歴として蓄積されます。もともとは課金を目的とした集計用途が中心でしたが、現在ではセキュリティ監査やトラブルシューティング、利用状況の把握など、さまざまな運用目的で活用されています。

ベンダー固有の属性（VSA）

RADIUSの柔軟性を支える仕組みとして、「ベンダースペシフィックアトリビュート（VSA：Vendor-Specific Attribute）」があります。これは、ネットワーク機器ベンダーなどが独自に定義する属性で、標準仕様だけでは表現しきれない制御を実現するために用いられます。たとえば、ベンダー独自のQoS設定や詳細なアクセス制御条件などを指定するケースがあります。
VSAを活用することで、RADIUSサーバーは単に「認証する・しない」を判断するだけでなく、ネットワーク機器の動作も含めたきめ細かな制御を行えるようになります。結果として、企業ネットワークにおける認証基盤としてのRADIUSの適用範囲は広がっています。

このように、RADIUSは多くの情報を「属性」という単位で扱い、AAAモデルの各機能を実現しています。認証時にどの属性が使われ、どのタイミングでどのような応答が返されるのかを理解しておくことは、RADIUS認証のトラブル対応や運用最適化において重要です。
実運用では、ログ解析やポリシー設計の段階で属性レベルの調整が求められる場面もあります。属性の構造や役割を把握しているかどうかが、対応の精度やスピードに影響するため、RADIUSを用いた認証環境を正しく設計・運用するうえで、属性の理解は欠かせない前提知識といえるでしょう。

RADIUSの利用シーン

RADIUSは、当初はダイヤルアップ接続をはじめとするネットワークアクセス管理の用途で普及しました。ユーザーの接続要求に対する認証・認可に加え、利用状況の記録（Accounting）を一連で扱える点が、当時の運用ニーズに合致したためです。

その後、インターネット接続の主流がブロードバンドや常時接続へと移行する中で、RADIUSは役割を変えながら活用範囲を広げてきました。現在では、企業ネットワークの分散化・無線化が進む中で、ユーザーや端末の正当性を判定する仕組みとして、無線LANやVPN、社内ネットワークなど幅広い環境で利用されています。

ダイヤルアップ認証での活用

1990年代、家庭や企業がインターネットにアクセスする手段の多くはダイヤルアップ接続でした。電話回線を使ってISPに接続し、利用時間に応じて課金や利用管理が行われる仕組みの中で、ユーザー認証・アクセス制御・利用記録（Accounting）を一括して担っていたのがRADIUSです。
当時はPAPやCHAPといった基本的な認証方式が主に使われており、現在のような多要素認証や証明書ベースの認証は一般的ではありませんでした。それでもRADIUSは、構造が比較的シンプルで拡張性があることから広く採用されてきました。現在、ダイヤルアップ接続の利用は大きく減少していますが、一部のレガシー環境では引き続きRADIUSが用いられるケースもあります。

ダイナミックVLAN環境の実現

RADIUSは、対応するスイッチや無線LANアクセスポイントと組み合わせることで、ダイナミックVLAN（Dynamic VLAN）構成を実現できます。これは、端末やユーザーの属性に応じてVLANを動的に割り当て、適切なネットワークセグメントへ自動的に接続させる仕組みです。
認証時にRADIUSサーバーがVLAN情報を属性として応答することで、ネットワーク機器はそのユーザーに応じたVLAN設定を適用します。これにより、部署や業務内容に応じたアクセス制御が可能となり、ネットワークのセキュリティと管理性の向上につながります。

企業無線LAN環境のセキュリティ強化

RADIUSは、企業の無線LAN環境において標準的な認証基盤として利用されることが多い仕組みです。特に「エンタープライズモード（WPA2-Enterprise / WPA3-Enterprise）」では、RADIUSと連携したEAP（Extensible Authentication Protocol）による認証を用いる構成が一般的です。
EAP認証では、ID／パスワードやデジタル証明書を用いた認証方式を選択でき、設計次第では盗聴・なりすましリスクの低減につながります。EAP-PEAPやEAP-TLSなどの方式を用途に応じて選択することで、セキュリティレベルと運用負荷のバランスを考慮した設計が可能です。

リモートアクセス時の認証

テレワークやモバイルワークの普及により、VPNを経由して社内システムへアクセスするケースが一般的になっています。RADIUSはVPNゲートウェイと連携し、ユーザーの認証処理を担います。
たとえば、ワンタイムパスワード（OTP）などの多要素認証と組み合わせることで、パスワード漏洩やリプレイ攻撃に対する耐性を高め、安全なリモートアクセス環境の構築に役立ちます。RADIUSに対応したVPN装置であれば、RADIUSサーバー側の設定によって比較的導入しやすい点も特長です。

RADIUSの認証方式

RADIUSでは、初期から存在するシンプルな認証方式に加え、EAP（Extensible Authentication Protocol）を利用した拡張方式が広く利用されています。企業ネットワークでは、盗聴・なりすまし対策の観点からEAPを用いた方式を選択するケースが一般的です。以下に代表的な方式を紹介します。

初期からの認証方式

拡張された認証方式

RADIUSは、IEEE 802.1Xの普及にあわせてEAP（Extensible Authentication Protocol）と連携する構成が一般化し、より柔軟な認証方式を扱えるようになりました。IEEE 802.1Xは「ポートベースのネットワークアクセス制御」として知られ、有線LANや無線LANにおけるアクセス制御の基盤技術として利用されています。802.1X環境では、RADIUSが認証サーバーとして連携する設計が一般的です。

ますます重要性を増す認証セキュリティ

2022年6月に実施した「企業ネットワーク及び関連システムに関する調査」では、無線LANやテレワーク（リモートアクセス）環境の運用が進んでいる状況が示されています。こうした環境の拡大に伴い、ネットワークへの接続可否を適切に制御する「認証」の重要性は高まっています。

無線LANやリモートアクセスは利便性が高い一方で、利用者や端末の真正性を適切に判定できなければ、不正アクセスや情報漏洩のリスクが高まります。そのため、IDやパスワードだけに依存しない、より強固で柔軟な認証基盤の整備が求められています。

RADIUS認証を導入することで、こうした課題に対応した認証セキュリティ環境の構築に加え、ネットワーク運用の効率化や管理負荷の軽減といった効果も期待できます。具体的な仕組みについて、次項で詳しく解説します。

RADIUS認証の仕組み

RADIUS認証は、「ユーザー」「RADIUSクライアント」「RADIUSサーバー」という3つの要素によって構成されます。これらが役割を分担しながら連携することで、ネットワークへのアクセス可否を制御します。

• ユーザー：ネットワークに接続しようとする利用者および端末
• RADIUSクライアント：ユーザーからの接続要求を受け取り、RADIUSサーバーに認証要求を中継するネットワーク機器（無線LANアクセスポイント、VPN装置など）
• RADIUSサーバー：受信した認証要求に基づいて認証・認可処理を行うサーバー

ユーザーが直接通信を行う相手はRADIUSクライアントであり、通常、RADIUSサーバーとユーザーが直接通信することはありません。RADIUS認証では、3者が以下の手順でやり取りを行います。

1. ユーザーがネットワークへのアクセスを要求する
2. RADIUSクライアントがユーザーに対して認証情報の入力を求める
3. ユーザーが認証情報（本記事ではIDとパスワードを例とする）を入力する
4. RADIUSクライアントが受け取った認証情報を用いて、RADIUSサーバーにAccess-Requestを送信する
5. RADIUSサーバーが認証処理を行い、その結果（Access-Accept または Access-Reject）をRADIUSクライアントに返す
6. RADIUSクライアントが認証結果に基づいて、ユーザーへのネットワーク接続を許可または拒否する

一般的には、認証結果が成功（Access-Accept）の場合にのみ、ユーザーはネットワークへの接続が許可されます。認証に失敗した場合は、ネットワークへのアクセスは拒否されます。

このようにRADIUS認証では、認証処理をネットワークの入口で集中的に制御できるため、社内ネットワークや無線LAN、VPN環境に不正なユーザーや端末が接続することを防ぐ仕組みとして機能します。

RADIUSのメリット

RADIUS認証を導入することで、企業ネットワークの安全性向上と運用効率の改善を同時に図れます。ここでは、代表的な4つのメリットを整理します。

セキュリティ強化

多くのRADIUSサーバー製品は、ワンタイムパスワード（OTP）や証明書認証といった強固な認証方式に対応しています。これにより、従来のID／パスワード認証のみに依存した環境と比べ、なりすましや認証情報漏洩のリスク低減につながります。
特に、無線LANやVPNといったネットワークの入口にRADIUSを配置することで、不正なユーザーや端末の接続抑止に役立ち、情報漏洩リスクの抑制が期待できます。

認証情報の一元管理

RADIUSサーバーを利用することで、複数のネットワーク機器やサービスに分散していた認証情報を一元的に管理できます。Active Directory（AD）やLDAPと連携可能な構成であれば、Windowsログオンと同じID／パスワードを用いた無線LANやVPNの認証も実現しやすくなり、管理者の運用負荷軽減とユーザー利便性の向上を両立できます。

認証ポリシーの柔軟な設計

RADIUS認証では、ユーザー属性、端末情報、接続元ネットワークなどの条件に応じて、認証方式やアクセス制御の内容を切り替えることが可能です。たとえば、社内ネットワークからの接続はID／パスワード認証とし、社外からのアクセスには多要素認証を必須とするなど、リスクに応じたポリシー設計が行えます。これにより、利便性とセキュリティをバランスよく両立した運用が可能になります。

システム負荷分散と可用性の確保

認証基盤を一元化する場合、アクセス集中による負荷や障害時の影響範囲を考慮する必要があります。RADIUSはISPなどの大規模環境での利用実績もあり、サーバーの二重化や分散配置に対応した製品が多く存在します。そのため、可用性を確保しつつ安定した認証サービスを提供できる点もメリットです。

冗長構成の重要性とその実現方法

認証サーバーは、ネットワークへの接続可否を判断する中核的な役割を担っています。そのため、RADIUSサーバーに障害が発生すると、無線LANやVPNといったネットワークサービス全体が利用できなくなる可能性があります。

こうしたリスクを避けるためには、RADIUSサーバーを冗長構成とし、単一障害点（Single Point of Failure）を排除することが重要です。多くのRADIUSサーバー製品は複数台構成による冗長化や負荷分散に対応しており、特定のサーバーに障害が発生した場合でも、認証サービスを継続できるよう設計できます。

さらに、RADIUSクライアント側（無線LANアクセスポイントやVPN装置など）でも複数のRADIUSサーバーを登録しておく運用が一般的です。これにより、プライマリサーバーが応答しない場合には自動的にセカンダリサーバーへ認証要求を切り替えられ、ネットワーク利用への影響を最小限に抑えられます。

このように、サーバー側とクライアント側の双方で冗長構成を考慮することで、認証基盤全体の可用性を高め、安定したネットワーク運用を実現できます。

RadSecによるセキュリティ拡張

RadSecは、RADIUS通信におけるセキュリティ上の課題を補うために策定された拡張仕様の総称です。TLSまたはDTLSを用いてRADIUSメッセージを保護することで、従来のRADIUSで課題とされてきた通信経路上の盗聴や改ざんリスクの低減が期待できます。

正式には「RADIUS over TLS / DTLS」と呼ばれ、RADIUS over TLSについてはRFC 6614（2012年公開）で仕様が定義されています。DTLSを用いる方式についてはRFC 7360で補足的に規定されています。

従来のRADIUSでは、UDPポート1812（認証）および1813（アカウンティング）が一般的に利用されてきました。一方、RadSecではTLSを用いたTCP通信を採用するため、代表的なポートとして2083が利用されることがあります。ただし、これはあくまで慣例的な番号であり、実際のポート番号は製品や環境の設定によって変更可能です。

RadSecで解消または軽減される攻撃リスク

盗聴攻撃

従来のRADIUS通信では、認証要求や応答が暗号化されていないUDP通信で送信されるため、通信経路上で第三者に傍受されるリスクがあります。通信内容にはユーザー識別情報や接続条件などが含まれており、これらが盗聴されることで、認証情報の推測や不正利用につながる可能性があります。

RadSecではTLSを用いて通信経路全体を暗号化するため、通信内容を第三者が傍受・解析することは困難になります。これにより、RADIUS通信における盗聴リスクの低減が期待できます。

中間者攻撃

中間者攻撃（Man-in-the-Middle攻撃）は、攻撃者がRADIUSクライアントとRADIUSサーバーの間に介入し、認証パケットを盗聴・改ざんすることで、不正な認証結果を引き起こす攻撃です。従来のRADIUSでは通信の完全性を保護する仕組みが限定的であり、通信経路が信頼できない場合にはリスクが残ります。

RadSecではTLSによる暗号化とサーバー証明書の検証が行われるため、通信相手の正当性を確認したうえで通信が確立されます。このため、第三者が通信に割り込んで内容を改ざんすることは困難になります。

DoS攻撃

DoS攻撃は、大量の不正なリクエストを送信することでRADIUSサーバーの処理能力を消費させ、正当なユーザーの認証を妨害する攻撃です。従来のRADIUSではUDPベースであることから送信元のなりすましが比較的容易であり、攻撃の影響を受けやすい側面がありました。

RadSecではTLS（TCP）でセッションを確立した通信を行うため、なりすましリクエストの送信やパケット改ざんは困難になります。ただし、RadSec自体がDoS攻撃を完全に防止する仕組みではないため、実運用ではアクセス制御、レート制限、ファイアウォール設定などの対策と併用することが重要です。

RadSecを採用する際の注意点

RadSecを導入するには、RadSec（RADIUS over TLS / DTLS）に対応したRADIUSサーバーと、RADIUSクライアント（スイッチ、無線LANアクセスポイント、VPN装置など）の双方が必要です。いずれか一方が非対応の場合、従来のRADIUS通信にフォールバックするか、RadSec自体を利用できない点に注意が必要です。

また、TLSやDTLSによる暗号化処理が加わることで、従来のUDPベースのRADIUSと比べてCPU負荷や通信遅延が増加する可能性があります。特に、大量の認証要求が発生する大規模環境では、性能検証やキャパシティ設計を事前に行うことが重要です。

さらに、RadSecではサーバー証明書（場合によってはクライアント証明書）の発行・更新・失効管理が必要となります。証明書管理の運用体制が整っていない場合、管理負荷や運用リスクが高まる可能性もあります。そのため、導入にあたってはセキュリティ強化の効果と運用コストのバランスを踏まえた設計が求められます。

RADIUSサーバーの形態

RADIUSを導入する際には、認証機能そのものだけでなく、想定される同時接続数や認証頻度、可用性要件、他システムとの連携範囲などを踏まえて、適切なRADIUSサーバーの形態を選択する必要があります。ここでは、代表的な4つの形態と、それぞれの特徴および注意点を整理します。

汎用サーバーへのソフトウェア導入型

LinuxやWindowsなどの汎用OS上にRADIUSサーバーソフトウェア（例：FreeRADIUS）を導入する方式は、柔軟性が高く、細かなポリシー制御や既存システムとの密接な連携が可能です。一方で、OSやミドルウェアの脆弱性対応、パッチ適用、障害時の復旧設計（バックアップ・リストア、BCP対応）などを含めた運用管理は自社で担う必要があります。中規模以上の環境では、運用体制と設計方針を事前に明確にしておくことが重要です。

ネットワーク機器への内蔵型

小規模環境や検証用途では、無線LANアクセスポイントやUTM製品などに内蔵されたRADIUS機能を利用するケースもあります。初期設定や運用が容易である反面、利用可能な認証方式や連携機能、処理性能には制約がある場合が多く、LDAP連携や証明書認証に対応できないこともあります。将来的な拡張や認証基盤の集約を見据える場合には注意が必要です。

専用アプライアンス型（物理／仮想）

企業ネットワークで広く採用されているのが、RADIUS認証専用に設計されたアプライアンス製品です。物理アプライアンスとして安定稼働を重視した構成のほか、仮想基盤（VMware、Hyper-Vなど）上での運用に対応する製品も多く、環境や拠点構成に応じて導入できます。

専用アプライアンスでは、Active Directory／LDAP連携、証明書発行・失効管理（ローカルCA機能）、ログ管理やレポート機能などが統合されている場合が多く、比較的少ない運用負荷で信頼性を確保しやすい点が特長です。NetAttest EPSのように、複数台構成で設定やデータを同期できる製品も存在します。

クラウドサービス型

多拠点展開やゼロトラストアーキテクチャを前提とした環境では、クラウド上で提供されるRADIUS認証サービスを利用する選択肢もあります。サーバー構築や保守が不要で、短期間で導入できる点がメリットです。

一方で、オンプレミス環境のActive DirectoryやLDAP、証明書発行基盤と連携する場合には、VPNや専用接続を含めた全体設計が必要になります。また、クラウド事業者側の障害対応範囲と自社の業務継続計画（BCP）との整合性を事前に確認しておくことが重要です。

まとめ

RADIUSは、企業ネットワークにおけるユーザー認証を安全かつ効率的に実現するための中核技術として、長年にわたり幅広く利用されてきました。無線LANやVPN、ダイナミックVLANといった多様なネットワーク環境に対応できる点は、RADIUSの大きな特長です。

また、AAAモデルに基づく認証・認可・利用記録の一元管理や、EAPを用いた拡張認証方式によって、セキュリティ要件や運用方針に応じた柔軟な設計が可能です。Active Directoryなど既存の認証基盤と連携できる点も、企業利用において重要なメリットといえるでしょう。

さらに、RadSecのような拡張仕様を活用することで、従来のRADIUS通信で課題とされてきた通信経路のセキュリティ強化にも対応できます。ネットワークの分散化やリモートアクセスの常態化が進む中で、RADIUSとその周辺技術は、今後も企業ネットワークを支える重要な要素であり続けると考えられます。

よくある質問（FAQ）