RADIUSとは？ 認証の仕組みや導入のメリットなどを解説

持ち運びが容易なモバイルPCやスマートデバイスが普及し、新しい働き方としてテレワークが定着しつつある昨今、企業ではそれらを最大限利用するためのネットワークの重要性が高まっています。そして、多様なデバイスと、それを操作するユーザーを適切に接続させるための技術要素が「RADIUS認証」です。

株式会社ソリトンシステムズでも、オールインワンのRADIUS認証アプライアンス「NetAttest EPS」を開発しており、多くのお客様にご利用いただいています。

そこで、この記事では、一般企業でも導入が広がっているRADIUS認証について、その概要から仕組み、メリットについて解説していきたいと思います。

RADIUSとは

RADIUS（ラディウス）はRemote Authentication Dial In User Serviceの略称であり、ネットワーク上でユーザー認証を実現するプロトコルです。RADIUSの歴史は古く、1992年 米国リビングストン社（当時）が独自の認証プロトコルとして開発しました。1997年にはRFCの策定が行われ、その後も機能拡張を繰り返しつつ今日に至ります。

RADIUSは認証プロトコルとしてシンプルな実装になっており、多くの機器が外部認証サービスとしてRADIUSをサポートしています。これにより認証システムを統合することが容易になります。また、RADIUS認証サーバーが異なるシステムの認証情報を一括管理するため、システム管理者によっては運用の効率化に繋がります。RADIUS認証を採用することで、認証情報の管理が煩雑になることを防ぎます。また、ユーザーが異なるシステムにアクセスする場合でも、入力すべき認証情報は同じであるためユーザーの負担が小さくなる点もメリットです。

なお、英単語としてのRADIUSには「半径」という意味があり、RADIUSの後継的な認証プロトコルに、「直径」を意味する Diameter（ダイアメーター）があります。これは、”言葉遊び”に近く、RADIUSプロトコルの機能や由来とは直接関係しないと言われています。

AAAモデル

RADIUSは、ネットワークアクセスの制御を行う「AAA（トリプルエー）」モデルに基づいた認証システムの代表例として広く知られています。AAAとは、以下の3つのセキュリティ機能の頭文字を取ったもので、ネットワーク上でのアクセス管理を体系化する基本的な枠組みです。

• Authentication（認証）
  利用を要求してきた人物や端末が、許可された正当なユーザーであるかを確認します。一般的にはIDとパスワードの組み合わせに加え、電子証明書（デジタル証明書）やSIMカードの情報を用いた認証方式も用いられます。
  
  
• Authorization（認可）
  認証に成功したユーザーや端末に対して、利用可能なサービスやアクセス可能な範囲（リソース）を定めます。RADIUSの場合、認証と認可は一連の処理として行われるため、技術的には両者の境界がやや曖昧になることもあります。
  
  
• Accounting（課金）
  認可されたユーザーや端末が、いつ・どのようにネットワークを利用したかの記録を取る機能です。RADIUSはもともとダイヤルアップ接続の接続時間や通信量を集計し、課金情報として利用する目的で用いられたため、Accounting機能が組み込まれています。なお、現在ではこのAccounting機能は課金だけでなく、セキュリティ監査やトラブルシューティング、ユーザーの利用傾向分析などにも活用されています。

AAAと属性の関係

RADIUSは、ネットワーク上のユーザー認証を実現するプロトコルとして、「AAA（認証・認可・記録）」というセキュリティモデルに基づいて動作しています。そして、そのAAAの各処理は、RADIUSにおける「属性（Attribute）」と呼ばれる情報単位によって支えられています。ユーザーのIDやパスワード、接続先の情報、認証結果、利用時間や通信量など、RADIUSが扱うほぼすべての情報は属性として定義されており、認証要求や応答、記録といったやりとりの中で常に活用されています。

認証を担う属性

ユーザーがネットワークにアクセスしようとすると、まずRADIUSクライアント（無線LANアクセスポイントやVPN機器など）は、RADIUSサーバーに「Access-Request」パケットを送信します。このパケットに含まれるのが「チェックアトリビュート（Check Attribute）」です。ここには、ユーザーID（User-Name）やパスワード（User-Password）など、認証に必要な基本情報が含まれます。
代表的な属性のひとつに「Calling-Station-Id」があります。これは接続元を識別するための属性で、用途によって扱われる内容が異なります。たとえばダイヤルアップ接続時代には、ここに発信元の電話番号が入り、番号の一致を条件に認証を許可する「発信者番号認証」が行われていました。現在の無線LAN環境などでは、Calling-Station-Idには端末のMACアドレスが入ることが一般的で、ユーザーIDとMACアドレスの両方を照合して認証する仕組みも実現可能です。このように、Check Attributeはユーザーの本人確認だけでなく、「どの端末からの接続か」という環境条件を加味した認証にも活用されています。

認可に使われる属性

RADIUSサーバーが認証に成功すると、今度は「Access-Accept」パケットで応答が返されます。ここに含まれるのが「リプライアトリビュート（Reply Attribute）」です。これらの属性は、ユーザーに対してどのようなリソースやネットワークセグメントを割り当てるかといった「認可（Authorization）」の処理を担います。
たとえば、所属部門に応じて動的にVLANを割り当てる場合は、Tunnel-Type や Tunnel-Private-Group-ID などの属性を使ってVLAN情報を通知します。また、Filter-Id を使えば、接続後に適用するアクセス制御リスト（ACL）を指定することも可能です。こうした属性は、ユーザーに対して「接続を許可するか」だけでなく、「どのような環境で接続を許可するか」を定義するために使われます。

利用状況を記録する属性

接続が確立したあとは、その利用状況を記録する「Accounting」処理が行われます。これには、「Accounting-Request」パケットが用いられ、Acct-Session-Id や Acct-Status-Type、Acct-Input-Octets などの「アカウンティング属性（Accounting Attribute）」が含まれます。
これらの情報は、ユーザーがいつ接続を開始し、どれくらい通信を行い、いつ切断されたかといった記録として蓄積されます。かつては課金を目的とした集計用途が主でしたが、現在ではセキュリティ監査やトラブル調査、ユーザー行動の可視化など、さまざまな運用目的で活用されています。

ベンダー固有の属性（VSA）

RADIUSの柔軟性を支える仕組みとして、「ベンダースペシフィックアトリビュート（VSA：Vendor-Specific Attribute）」があります。これは、ネットワーク機器ベンダーなどが独自に定義する属性で、標準仕様では実現できない制御（たとえばポートレベルのセッション制限やQoS設定など）を細かく指定することができます。
VSAを活用することで、RADIUSサーバーは単に「認証する・しない」だけでなく、ネットワーク機器の振る舞いを含めたきめ細かな制御を行うことが可能になります。これにより、企業ネットワークにおける認証基盤としてのRADIUSの価値はさらに高まっています。

このように、RADIUSは通信プロトコルとしてすべての処理を「属性」を通じて行っており、AAAモデルの各機能を支える重要な構成要素となっています。認証時にどの属性が使われ、どのタイミングでどのように応答が返るのかを理解しておくことは、RADIUS認証のトラブル対応や運用最適化において不可欠です。
実際の現場では、ログ解析やポリシー設計の際に属性レベルの調整が求められる場面も多く、属性の構造や役割に対する基本的な理解があるかどうかで対応力が大きく変わってきます。RADIUSを活用した認証環境を正しく設計・運用するうえで、属性の理解は欠かせない前提知識といえるでしょう。

RADIUSの利用シーン

RADIUSは、その名称が示すとおり、もともとはダイヤルアップ接続サービスにおける認証基盤として誕生しました。ユーザーの接続要求を受け付け、認証を行い、接続時間や通信量をもとに課金する──こうしたニーズに応えるプロトコルとして広く普及したのが始まりです。

やがて、インターネット接続の主流がブロードバンドや常時接続に移行する中で、RADIUSは役割を変えながらも進化を続けてきました。現在では、企業ネットワークの分散化・無線化が進む中で、ユーザーと端末の正当性を判定する仕組みとして、無線LANやVPN、社内ネットワークなど幅広い環境で利用されています。

ダイヤルアップ認証での活用

1990年代、家庭や企業がインターネットにアクセスする手段の多くはダイヤルアップ接続でした。電話回線を使ってISPに接続し、利用時間に応じて課金が発生する仕組みの中で、ユーザー認証・アクセス制御・利用記録（Accounting）を一括して担う役割を果たしていたのがRADIUSです。
当時はPAPやCHAPといった基本的な認証方式が使われており、現在のような多要素認証や証明書ベースの認証はまだ一般的ではありませんでした。それでもRADIUSは、構造がシンプルで拡張性もあることから、広く採用されていました。現在、ダイヤルアップ接続の需要は大きく減少したものの、一部のISPやレガシーな閉域網では、RADIUSが引き続きこの用途でも活用されており、その技術的な価値は失われていません

ダイナミックVLAN環境の実現

RADIUSは、対応するスイッチや無線LANアクセスポイントと組み合わせることで、ダイナミックVLAN（Dynamic VLAN）構成を実現できます。これは、端末やユーザーの属性に応じて動的にVLANを割り当て、適切なネットワークセグメントに自動で接続させる仕組みです。
認証時にRADIUSサーバーがVLAN情報を付加して応答することで、ネットワーク機器はそのユーザーに最適なVLAN設定を適用します。これにより、利用者の部署・役職・業務内容に応じたアクセス制御が可能となり、ネットワークのセキュリティと管理性を大幅に向上させます。

企業無線LAN環境のセキュリティ強化

RADIUSは、企業の無線LAN環境において標準的な認証基盤として活用されています。特に「エンタープライズモード（WPA2-Enterprise / WPA3-Enterprise）」では、RADIUSと連携したEAP（Extensible Authentication Protocol）による認証が必須となります。
EAP認証は、ID／パスワードまたは証明書を用いた認証をサポートしており、パスワードの盗聴リスクを軽減するだけでなく、不正端末からの接続も防止できます。また、EAP-PEAPやEAP-TLSといった方式を選択することで、セキュリティレベルを柔軟に設計できます。これにより、企業の情報資産を守る強固な無線LAN基盤が構築可能になります。

リモートアクセス時の認証

テレワークやモバイルワークの普及により、VPNを経由した社内システムへのアクセスが一般化しています。RADIUSは、VPNゲートウェイと連携し、ユーザーの認証処理を担います。
特に、ワンタイムパスワード（OTP）などの多要素認証と組み合わせることで、パスワードの漏洩やリプレイ攻撃への耐性が高まり、安全なリモートアクセス環境を実現できます。RADIUSプロトコルに準拠した認証サーバーを導入すれば、VPN装置がRADIUSに対応している限り、比較的容易にOTP認証を導入できる点もメリットです。

リモートアクセス環境でのRADIUSサーバーの利用イメージ（システム

RADIUSの認証方式

RADIUSでは、初期から存在するシンプルな認証方式に加え、EAP（Extensible Authentication Protocol）を利用した拡張方式にも対応しており、現在ではよりセキュリティ強度の高い認証方式が主流となっています。以下に代表的な方式を紹介します。

初期からの認方法式

拡張された認証方式

RADIUSは2003年、IEEE 802.1Xの標準化（RFC 3580）とあわせて、EAP対応（RFC 3579）へと拡張されました。これにより、より安全で柔軟な認証方式が選択可能になりました。IEEE 802.1Xは、「ポートベースのネットワークアクセス制御」として知られ、主に有線LANや無線LANのアクセス制御に使用されます。

ますます重要性を増す認証セキュリティ

2022年6月に実施した「企業ネットワーク及び関連システムに関する調査」において、無線LANやテレワーク（リモートアクセス）環境の運用率は高く、そのセキュリティを高める認証の重要性は増しています。

RADIUS認証を導入することで強固な認証セキュリティ環境を構築できることはもちろん、その他にも多くのメリットをもたらします。

その具体的な仕組みについて、次項で詳しく解説します。

RADIUS認証の仕組み

RADIUS認証はユーザー・RADIUSクライアント・RADIUSサーバーの3つの要素から成り立ちます。

• ユーザー：ネットワークに接続するユーザーおよび端末
• RADIUSクライアント：ユーザーとやり取りし、RADIUSサーバーに仲介するネットワーク機器など
•  RADIUSサーバー：認証処理を行うサーバー

ユーザーが直接やり取りを行うのはRADIUSクライアントであり、一般にRADIUSサーバーとユーザーとは異なるネットワークに存在します。RADIUS認証は3者間で次の流れのとおりにやり取りを行ないます。

RADIUS認証のシーケンス

1. ユーザーはネットワークに対するアクセスを要求
2. RADIUSクライアントがユーザーに認証情報の提示を要求
3. ユーザーは認証情報（本記事ではIDとパスワードとする）を入力
4. RADIUSクライアントは入力されたIDとパスワードを使ってRADIUSサーバーにアクセス認証をリクエスト
5. RADIUSサーバーで認証処理を行い、RADIUSクライアントに認証可否を送信
6. RADIUSクライアントは受け取った認証可否の結果に従ってユーザーへサービスを提供

このとき、一般には、認証結果が可の場合はユーザーがネットワークに接続できるようにしますが、否となった場合はネットワークにアクセスできません。

RADIUS認証の仕組みを利用することで、社内ネットワークなどに不正なユーザーやデバイスが接続することを防ぐことができます。

RADIUSのメリット

RADIUS認証を導入することで、企業ネットワークの安全性や運用効率が向上します。ここでは、主な4つのメリットを紹介します。

セキュリティ強化

RADIUSサーバー製品の多くは、ワンタイムパスワード（OTP）や証明書認証といった高度な認証方式に対応しており、従来のID／パスワードのみの方式と比べてセキュリティを大幅に強化できます。
特に、社内ネットワークとしてWi-Fiを活用する場合、RADIUSを用いることで不正なユーザーやデバイスからの接続を防止でき、情報漏洩リスクの低減につながります。

認証情報の一元管理

RADIUSサーバーでは、ユーザーアカウントやネットワーク機器の認証情報を集中管理できるため、運用効率が向上します。Active Directory（AD）やLDAPと連携できる製品であれば、Windowsログオンと同じID／パスワードを用いて無線LANやVPN接続の認証を行うことも可能で、ユーザーの利便性も高まります。

認証ポリシーの柔軟な設計

RADIUS認証では、ユーザー属性や接続元（社内／社外）に応じて認証方式を切り替えることが可能です。たとえば、社内からのアクセスにはID／パスワードのみ、社外からのアクセスには多要素認証を必須とするなど、利用シーンに応じた柔軟なポリシーを構築できます。これにより、利便性とセキュリティを両立したネットワーク環境の実現が可能になります。。

システム負荷分散と可用性の確保

一般に、認証情報を一元管理する場合、アクセスが集中することによる負荷を考慮する必要があります。大きな負荷がかかることで認証処理が遅延しネットワークアクセスに影響が出る可能性も考えられるでしょう。古くからISPなどの大規模システムに採用されていきたRADIUSサーバーには、二重化や分散配置に対応するものも多く、システムの信頼性を損ないません。

冗長構成の重要性とその実現方法

RADIUS認証は、ネットワークアクセスの中核を担う重要な基盤であるため、万が一の障害時にも業務が停止しないよう、冗長構成をとることが非常に重要です。RADIUSサーバーが一時的にダウンするだけでも、社内の無線LANやVPN接続に支障が生じ、業務継続に大きな影響を与える可能性があります。
そのため、RADIUSの導入に際しては冗長構成をとることが現在では一般的であり、特に企業環境においては実質的に必須ともいえます。

RADIUSクライアント側の対応

最も広く用いられている構成として、RADIUSクライアント（例：スイッチやVPN機器）が、あらかじめ複数のRADIUSサーバーを問い合わせ先として登録しておく方法があります。この方式では、クライアントがプライマリサーバーに接続できない場合、自動的にセカンダリへフェールオーバーする、あるいは最初からラウンドロビンで順番に問い合わせるなど、接続先の選定はクライアント側の仕様によって制御されます。

RADIUSサーバー側の設計

サーバー側でも、複数台のRADIUSサーバーを分散配置して運用する場合には、ユーザー情報や認証データベースを同期し、管理負荷の軽減と可用性の確保を図ります。AD（Active Directory）と連携して一元的にユーザー情報を取得したり、証明書・ログイン情報などの複製を行う設計も一般的です。さらに、ロードバランサーを介して認証リクエストを分散処理する構成や、仮想アプライアンスやクラウド対応製品を活用して拠点間の冗長性を高める構成も、近年では多く見られるようになっています。

RadSecによるセキュリティ拡張

RadSecは、RADIUS認証プロトコルを使用した通信のセキュリティ上の問題を解決するために開発された、セキュリティ拡張版の略称です。TLSやTCPを使用してRADIUSメッセージを暗号化することで、従来のRADIUSの弱点とされてきた通信のセキュリティを強化することができます。
正式名称は「RADIUS over DTLS/TLS」です。RadSecは、2012年に公開されRFC 6614で定義されています。このRFCのなかで、Radiusセキュリティ拡張版（RADIUS Security Extensions）を提供するためのプロトコルの仕様を定められています。
従来のRADIUSではUDPポート1812または1813の使用が一般的でしたが、RadSecはTCPポート2083またはTLSポート2083を使用して通信を行います。（但し、ポート番号は設定により可変で環境によって異なる場合があります）

RadSecで解消または軽減される攻撃リスク

盗聴攻撃

悪意ある攻撃者によって通信内容が盗聴される可能性があります。通信内容には、認証情報やネットワーク接続情報が含まれており、悪意ある攻撃者に通信が盗聴され解析・悪用されると、重大なセキュリティ上の問題が発生する可能性があります。
RadSecは、TLSを使用し通信を暗号化します。これにより、通信内容が第三者によって傍受・解析・悪用されることを防ぐことができます。

中間者攻撃

中間者攻撃は、攻撃者がRADIUSパケットを傍受し通信の中身を改ざんする攻撃です。通信が暗号化されていない従来のRADIUSの場合、攻撃者によって通信が傍受され、通信内容を改ざんされてしまう可能性があります。RadSecでは、TLSを使用して暗号化しており、その通信内容を改ざんすることは非常に困難になります。

DoS攻撃

DoS攻撃は、正当なユーザーに対する認証サービスを妨げる攻撃です。RADIUS認証サーバーに対して不正な認証共有を大量送信することで、サーバーの処理リソースを枯渇させます。
RadSecは、TCPまたはTLSを使用により、通信内容が正常に暗号化された場合にのみ通信が行われるため、従来のRADIUSと比較して攻撃者による通信の妨害を防止しやすくなります。

RadSecを採用する際の注意点

RadSecを使用するためには、RadSec対応のRADIUS認証サーバーとクライアント（ネットワーク機器など）が必要であり、RadSecによってオーバーヘッドが増えることにより通信速度が低下する可能性があります。また、電子証明書の発行と管理が必要になることにも注意が必要です。これらを把握したうえで、適切に導入することで、従来のRADIUS認証よりもセキュアな環境を実現できるようになります。

RADIUSサーバーの形態

RADIUSの導入に際しては、単に認証機能を提供するだけでなく、求められる処理性能や可用性、他システムとの連携要件に応じて、どのような形態のRADIUSサーバーを採用するかを検討する必要があります。ここでは代表的な4つの形態と、それぞれの特徴・留意点について紹介します。

汎用サーバーへのソフトウェア導入型

もっとも柔軟性の高い方式が、LinuxやWindowsなどの汎用OSにRADIUSサーバーソフトウェア（例：FreeRADIUSなど）をインストールして構築する方法です。高度なカスタマイズや、既存の業務システムと密接に連携した認証処理が可能な反面、サーバー自体の脆弱性対策やOSアップデート、障害時のリカバリ設計（バックアップ／リストア、BCP対応など）も運用側の責任となります。中〜大規模環境では運用体制と設計方針を明確にしておく必要があります。

ネットワーク機器への内蔵型

小規模環境や簡易な認証用途では、無線LANアクセスポイントやUTM製品に内蔵されたRADIUS機能を活用することも可能です。設定や運用が容易な反面、機能や処理性能は限定的であり、LDAPや証明書発行サーバー（CA）との連携ができない場合もあります。将来的な拡張性や一元管理の観点からは、本格的な導入には不向きとされるケースが一般的です。

専用アプライアンス型（物理／仮想）

企業用途で多く採用されているのが、専用に設計されたRADIUS認証アプライアンスです。物理アプライアンスとして安定稼働を重視した構成のほか、仮想環境（VMwareやHyper-V等）への柔軟な展開にも対応可能な製品が多く、拠点規模やIT資産の制約に応じて柔軟に選べます。
専用アプライアンスでは、証明書の自動発行・失効管理（ローカルCA機能）やLDAP／Active Directory連携、ログ取得・分析機能などがパッケージ化されており、企業のセキュリティ要件に合わせた高信頼・高機能な運用が可能です。NetAttest EPSのように、認証の可視化や複数台構成での同期機能を標準で備えた製品も存在します。

クラウドサービス型

ゼロトラスト環境や多拠点展開に対応する形で、クラウド上で提供されるRADIUS認証サービスも登場しています。インフラ構築や運用管理が不要な点が魅力で、スモールスタートや短期プロジェクトでの活用にも向いています。
ただし、オンプレミスのAD／LDAPや証明書発行システム（CA）と安全かつリアルタイムに連携するには、クラウド接続基盤（VPNやトンネリング）を含めた全体設計が必要となる場合があります。また、クラウドベンダー側での可用性設計・障害対応範囲と、自社のBCP方針との整合性も事前に確認しておくことが重要です。

まとめ

RADIUSは、企業ネットワークにおけるユーザー認証を安全かつ効率的に実現するための中核技術として、長年にわたり広く活用されてきました。無線LANやVPN、ダイナミックVLAN環境など、柔軟で多様なネットワーク構成にも対応できるうえ、EAPなどの拡張方式を通じてセキュリティ強度を高めることも可能です。

また、ユーザー管理の一元化や多要素認証との連携、柔軟な認証ポリシーの設計といった運用面での利点も多く、現代の働き方に適した認証基盤として、導入のメリットは非常に大きいと言えるでしょう。

さらに、近年ではRadSecのようなセキュリティ拡張技術も登場しており、従来のRADIUSでは対応が難しかった通信の暗号化や攻撃耐性の向上といった課題にも対応できるようになっています。今後、よりセキュアなネットワーク環境を目指す企業にとって、RADIUSおよびその周辺技術は引き続き重要な選択肢となるはずです。