トレンド解説

RADIUS認証とは? 仕組みや導入のメリットなどを解説

アイキャッチ
目次

持ち運びが容易なモバイルPCやスマートデバイスが普及し、新しい働き方としてテレワークが定着しつつある昨今、企業ではそれらを最大限利用するためのネットワークの重要性が高まっています。多様なデバイスと、それを操作するユーザーを適切に接続させるための技術要素が「RADIUS認証」です。

この記事では、一般企業でも導入が広がっているRADIUS認証について、その概要から仕組み、メリットについて解説します。

RADIUSとは

RADIUS(ラディウス)はRemote Authentication Dial In User Serviceの略称であり、ネットワーク上でユーザー認証を実現するプロトコルです。RADIUSの歴史は古く、1992年 米国リビングストン社(当時)が独自の認証プロトコルとして開発しました。1997年にはRFCの策定が行われ、その後も機能拡張を繰り返しつつ今日に至ります。

RADIUSは認証プロトコルとしてシンプルな実装になっており、多くの機器が外部認証サービスとしてRADIUSをサポートしています。これにより認証システムを統合することが容易になります。また、RADIUS認証サーバーが異なるシステムの認証情報を一括管理するため、システム管理者によっては運用の効率化に繋がります。RADIUS認証を採用することで、認証情報の管理が煩雑になることを防ぎます。また、ユーザーが異なるシステムにアクセスする場合でも、入力すべき認証情報は同じであるためユーザーの負担が小さくなる点もメリットです。

なお、英単語としてのRADIUSには「半径」という意味があり、RADIUSの後継的な認証プロトコルに、「直径」を意味する Diameter(ダイアメーター)があります。これは、”言葉遊び”に近く、RADIUSプロトコルの機能や由来とは直接関係しないと言われています。

AAAモデル

RADIUSはAAAシステムの代表例として紹介されることが多い認証サービスです。AAAシステムは、以下の3つのセキュリティ機能によって構成されます。

  • Authentication(認証)
    サービスの利用開始を要求してきた人物・コンピューター等が、管理者によって認められた正規のものであるかを確認します。ID/パスワードによる認証のほか、電子証明書(デジタル証明書)や、SIM情報を用いる認証方式もあります。

  • Authorization(認可)
    認証に成功した人物・コンピューター等に対して、どのような権限を与えるのかを指示します。RADIUSの場合、認証要求に対して認証と認可が連続して行われるため、それぞれの区別はやや曖昧になっています。

  • Accounting(課金)
    認証に成功し認可された人物・コンピューターが、どのようにサービスを利用したかを記録します。RADIUSがダイアルアップ接続の認証に利用され始めた1990年代、接続時間や通信量を記録し、その情報をもとに請求金額を算出していたため「課金」と呼ばれています。

RADIUSの利用シーン

RADIUSが標準化された当初は、ダイヤルアップサービスの認証で利用され、いまでもISP(インターネットサービスプロバイダ)に広く採用されています。

また、最近では無線LAN環境やテレワークを実現するために必要となるリモートアクセス環境において、VPNゲートウェイ機器などと連携し不正アクセスを防止するための認証を提供しています。

ダイナミックVLAN環境の実現

RADIUSと対応するネットワーク機器を組み合わせることで、ダイナミックVLAN環境を簡単に実現できます。ダイナミックVLANとは、接続した端末・ユーザーごとに異なるネットワークアクセス権限(VLAN)を割り当てることで、セキュリティを高める手法です。クライアント端末をネットワーク機器の通信ポートに接続した際にRADIUS認証を行い、RADIUSサーバーは認証成功パケットに割り当てるべきVLAN情報を含めて応答します。ユーザーごとに異なるネットワークアクセス権限を簡単かつ正確に割り当てることができ、ネットワーク管理を効率化することができます。

企業無線LAN環境のセキュリティ強化

現在、RADIUSは企業の無線LAN環境で広く利用されています。法人向けアクセスポイントで「エンタープライズ方式」によるセキュリティを選択すると、従来からのRADIUSを拡張したEAP(Extensible Authentication Protocol:拡張認証プロトコル)を用いた認証が行われます。EAP認証サーバーを導入することで不正アクセスを排除し、暗号化の強度を高まるとともに認証情報の管理も容易になります。企業が無線LANを導入する際には、EAP認証サーバーの導入が必要不可欠です。

リモートアクセス時の認証

RADIUSの導入シーンの一つとしてリモートアクセス時のセキュリティ強化が挙げられます。RADIUSサーバーはOTP認証(ワンタイムパスワード認証)に対応しているものがあります。OTPはセキュリティ強度が高く、攻撃を受けやすいリモートアクセス経路での認証に最適です。OTP対応のRADIUSサーバーであれば、リモートアクセス装置はRADIUSプロトコルに対応していればよく、OTP認証を採用するためのハードルを低くできます。

リモートアクセス環境でのRADIUSサーバーの利用イメージ(システム

RADIUSの認証方式

初期からの認方法式

認証方式特長
PAP

PAPは「Password Authentication Protocol」の略称です。
ID/パスワードにより認証します。
RADIUSクライアントからRADIUSサーバーへ送られるパスワード文字列は、共有鍵(Sheard Secret)と、Authenticator値をもとに暗号化します。

CHAP

CHAPは「Challenge Handshake Authentication Protocol」の略称です。
ID/パスワードにより認証します。
チャレンジ応答方式により、都度生成した乱数を元に暗号化されます。

古くから利用されてきたRADIUSサービスですが、2003年に策定されたIEEE802.1Xに対応(RFC 3580)するEAP(RFC 3579)へと拡張されたことにより、一般企業において更に広く採用される下地が整いました。

IEEE802.1X の規格名は「Port-Based Network Access Control」で、ネットワーク機器のポート単位でアクセス制御を行うための規格です。その制御をおこなう為、EAP(Extensible Authentication Protocol)は、有線LANにおけるダイナミックVLAN環境や、2010年代より急速に普及した無線LAN(Wi-Fi)環境の認証で利用されています。

拡張された認証方式

認証方式特徴
EAP-TLS

TLSは「Transport Layer Security」の略称です。
電子証明書(デジタル証明書)を用いて認証します。
クライアント証明書、サーバー証明書を検証しあうことで、利用者と、認証サーバーの正当性を相互確認しています。

EAP-PEAP

PEAPは「Protected Extensible Authentication Protocol」の略称です。
ID/パスワードにより認証します。
米国マイクロソフト社、シスコシステムズ社、RSAセキュリティ社が共同で策定した認証規格で、暗号トンネル内を流す認証プロトコルの違いによって、通称MS-PEAP、Cisco-PEAPなどがあります。

認証サーバー側に電子証明書を導入し、その詐称を検知できるようにしています。
EAP-TTLS

TTLSは「Tunneled TLS」の略称です。
ID/パスワードにより認証します。
米国ファンクソフトウェア社、加国サーティコム社が共同で策定した認証規格で、暗号トンネル内に他RADIUS認証パケットを流します。
認証サーバー側に電子証明書を導入し、その詐称を検知できるようにしています。

EAP-FAST

FASTは「Flexible Authentication via Secure Tunneling」の略称です。
ID/パスワードにより認証します。
米国シスコシステムズが、LEAP(Lightweight Extensible Authentication Protocol)の後継として策定した認証方式です。
クライアント・サーバー共に電子証明書を使用せず、安全な認証環境を実現します。

EAP-SIM
EAP-AKA

SIMは「Subscriber Identity Modules」の略称です。
AKAは「Authentication and Key Agreement」の略称です。SIM内に書き込まれている情報を認証に用います。
携帯通信キャリアが提供する無線LANサービスの認証に利用されています。

ますます重要性を増す認証セキュリティ

2022年6月に実施した「企業ネットワーク及び関連システムに関する調査」において、無線LANやテレワーク(リモートアクセス)環境の運用率は高く、そのセキュリティを高める認証の重要性は増しています。

RADIUS認証を導入することで強固な認証セキュリティ環境を構築できることはもちろん、その他にも多くのメリットをもたらします。

その具体的な仕組みについて、次項で詳しく解説します。

RADIUS認証の仕組み

RADIUS認証はユーザー・RADIUSクライアント・RADIUSサーバーの3つの要素から成り立ちます。

  • ユーザー:ネットワークに接続するユーザーおよび端末
  • RADIUSクライアント:ユーザーとやり取りし、RADIUSサーバーに仲介するネットワーク機器など
  •  RADIUSサーバー:認証処理を行うサーバー

ユーザーが直接やり取りを行うのはRADIUSクライアントであり、一般にRADIUSサーバーとユーザーとは異なるネットワークに存在します。RADIUS認証は3者間で次の流れのとおりにやり取りを行ないます。

RADIUS認証のシーケンス

  1. ユーザーはネットワークに対するアクセスを要求
  2. RADIUSクライアントがユーザーに認証情報の提示を要求
  3. ユーザーは認証情報(本記事ではIDとパスワードとする)を入力
  4. RADIUSクライアントは入力されたIDとパスワードを使ってRADIUSサーバーにアクセス認証をリクエスト
  5. RADIUSサーバーで認証処理を行い、RADIUSクライアントに認証可否を送信
  6. RADIUSクライアントは受け取った認証可否の結果に従ってユーザーへサービスを提供

このとき、一般には、認証結果が可の場合はユーザーがネットワークに接続できるようにしますが、否となった場合はネットワークにアクセスできません。

RADIUS認証の仕組みを利用することで、社内ネットワークなどに不正なユーザーやデバイスが接続することを防ぐことができます。

RADIUSのメリット

RADIUS認証を導入するメリットとしては、大きく次の4つが挙げられます。

セキュリティ強化

RADIUSサーバー製品の中には、ワンタイムパスワードや証明書認証のインフラとして利用できるものもあります。従来のパスワードのみの認証と比べてセキュリティを強化することが可能です。社内ネットワークとしてWi-Fiを利用している場合でも、不正なユーザーやデバイスからの接続を遮断できるため、セキュリティの強化につながります。

認証情報の一元管理

RADIUSサーバーでさまざまなユーザーやネットワーク機器の認証情報を一元管理できるため、管理者の負担を軽減できます。また、Active Directoryなどと連携できるものもあり、その場合にはWindows環境と同じIDとパスワードを利用することも可能です。

負荷分散

一般に、認証情報を一元管理する場合、アクセスが集中することによる負荷を考慮する必要があります。大きな負荷がかかることで認証処理が遅延しネットワークアクセスに影響が出る可能性も考えられるでしょう。古くからISPなどの大規模システムに採用されていきたRADIUSサーバーには、二重化や分散配置に対応するものも多く、システムの信頼性を損ないません。

セキュリティレベルの変更をしやすい

RADIUS認証ではユーザー単位、アクセス経路単位などによって認証方式を切り替えられます。例えば、同じユーザーの認証でも社内からアクセスする場合と社外からアクセスする場合では、要求する認証レベルを変更することが可能です。より柔軟で強固なセキュリティ環境を構築するためにも、RADIUS認証は必要とされています。

社内ネットワークを取り巻く環境はテレワークの普及などもあり複雑化しています。従来どおりのセキュリティ対策では十分とはいえず、企業内の重要な情報を守るためにもセキュリティの強化策としてRADIUS認証の導入がおすすめです。

NetAttest EPSは無線LAN・有線LAN・VPNを含むさまざまなポイントのネットワーク認証で利用きます。今やネットワークは企業にとってのライフラインとなっており、強い「安心」「安全」「快適」が求められています。これらを実現するためにも、NetAttest EPSによるRADIUS認証環境を構築しましょう。

RadSecによるセキュリティ拡張

RadSecは、RADIUS認証プロトコルを使用した通信のセキュリティ上の問題を解決するために開発された、セキュリティ拡張版の略称です。TLSやTCPを使用してRADIUSメッセージを暗号化することで、従来のRADIUSの弱点とされてきた通信のセキュリティを強化することができます。

正式名称は「RADIUS over DTLS/TLS」です。

RadSecは、2012年に公開されRFC 6614で定義されています。このRFCのなかで、Radiusセキュリティ拡張版(RADIUS Security Extensions)を提供するためのプロトコルの仕様を定められています。

従来のRADIUSではUDPポート1812または1813の使用が一般的でしたが、RadSecはTCPポート2083またはTLSポート2083を使用して通信を行います。(但し、ポート番号は設定により可変で環境によって異なる場合があります)

RadSecで解消または軽減される攻撃リスク

盗聴攻撃

悪意ある攻撃者によって通信内容が盗聴される可能性があります。通信内容には、認証情報やネットワーク接続情報が含まれており、悪意ある攻撃者に通信が盗聴され解析・悪用されると、重大なセキュリティ上の問題が発生する可能性があります。
RadSecは、TLSを使用し通信を暗号化します。これにより、通信内容が第三者によって傍受・解析・悪用されることを防ぐことができます。

中間者攻撃

中間者攻撃は、攻撃者がRADIUSパケットを傍受し通信の中身を改ざんする攻撃です。通信が暗号化されていない従来のRADIUSの場合、攻撃者によって通信が傍受され、通信内容を改ざんされてしまう可能性があります。RadSecでは、TLSを使用して暗号化しており、その通信内容を改ざんすることは非常に困難になります。

DoS攻撃

DoS攻撃は、正当なユーザーに対する認証サービスを妨げる攻撃です。RADIUS認証サーバーに対して不正な認証共有を大量送信することで、サーバーの処理リソースを枯渇させます。
RadSecは、TCPまたはTLSを使用により、通信内容が正常に暗号化された場合にのみ通信が行われるため、従来のRADIUSと比較して攻撃者による通信の妨害を防止しやすくなります。

RadSecを採用する際の注意点

RadSecを使用するためには、RadSec対応のRADIUS認証サーバーとクライアント(ネットワーク機器など)が必要であり、RadSecによってオーバーヘッドが増えることにより通信速度が低下する可能性があります。
また、電子証明書の発行と管理が必要になることにも注意が必要です。これらを把握したうえで、適切に導入することで、従来のRADIUS認証よりもセキュアな環境を実現できるようになります。

記事を書いた人

ソリトンシステムズ・マーケティングチーム