
商用DHCPでインターネット回線の安定化を実現。「ProDHCP」 開発の背景や従来のDHCPとの違いに迫る|NetAttest20周年特別企画
- DHCP/DNS
持ち運びが容易なモバイルPCやスマートデバイスが普及し、新しい働き方としてテレワークが定着しつつある昨今、企業ではそれらを最大限利用するためのネットワークの重要性が高まっています。多様なデバイスと、それを操作するユーザーを適切に接続させるための技術要素が「RADIUS認証」です。
この記事では、一般企業でも導入が広がっているRADIUS認証について、その概要から仕組み、メリットについて解説します。
RADIUS(ラディウス)はRemote Authentication Dial In User Serviceの略称であり、ネットワーク上でユーザー認証を実現するプロトコルです。RADIUSの歴史は古く、1992年 米国リビングストン社(当時)が独自の認証プロトコルとして開発しました。1997年にはRFCの策定が行われ、その後も機能拡張を繰り返しつつ今日に至ります。
なお、英単語としてのRADIUSには「半径」という意味があり、RADIUSの後継的な認証プロトコルに、「直径」を意味する Diameter(ダイアメーター)があります。これは、”言葉遊び”に近く、RADIUSプロトコルの機能や由来とは直接関係しないと言われています。
RADIUSはAAAシステムの代表例として紹介されることが多い認証サービスです。AAAシステムは、以下の3つのセキュリティ機能によって構成されます。
RADIUSが標準化された当初は、ダイヤルアップサービスの認証で利用され、いまでもISP(インターネットサービスプロバイダ)に広く採用されています。
また、最近ではテレワークを実現するために必要となるリモートアクセス環境において、VPNゲートウェイ機器などと連携し不正アクセスを防止するための認証を提供しています。
リモートアクセス環境でのRADIUSサーバーの利用イメージ(システム構成図)
初期からの認方法式
認証方式 | 特長 |
PAP | PAPは「Password Authentication Protocol」の略称です。 |
CHAP | CHAPは「Challenge Handshake Authentication Protocol」の略称です。 |
古くから利用されてきたRADIUSサービスですが、2003年に策定されたIEEE802.1Xに対応(RFC 3580)するEAP(RFC 3579)へと拡張されたことにより、一般企業において更に広く採用される下地が整いました。
IEEE802.1X の規格名は「Port-Based Network Access Control」で、ネットワーク機器のポート単位でアクセス制御を行うための規格です。その制御をおこなう為、EAP(Extensible Authentication Protocol)は、有線LANにおけるダイナミックVLAN環境や、2010年代より急速に普及した無線LAN(Wi-Fi)環境の認証で利用されています。
拡張された認証方式
認証方式 | 特徴 |
EAP-TLS | TLSは「Transport Layer Security」の略称です。 |
EAP-PEAP | PEAPは「Protected Extensible Authentication Protocol」の略称です。 |
EAP-TTLS | TTLSは「Tunneled TLS」の略称です。 |
EAP-FAST | FASTは「Flexible Authentication via Secure Tunneling」の略称です。 |
EAP-SIM EAP-AKA | SIMは「Subscriber Identity Modules」の略称です。 |
2022年6月に実施した「企業ネットワーク及び関連システムに関する調査」において、無線LANやテレワーク(リモートアクセス)環境の運用率は高く、そのセキュリティを高める認証の重要性は増しています。
RADIUS認証を導入することで強固な認証セキュリティ環境を構築できることはもちろん、その他にも多くのメリットをもたらします。
その具体的な仕組みについて、次項で詳しく解説します。
RADIUS認証はユーザー・RADIUSクライアント・RADIUSサーバーの3つの要素から成り立ちます。
ユーザーが直接やり取りを行うのはRADIUSクライアントであり、一般にRADIUSサーバーとユーザーとは異なるネットワークに存在します。RADIUS認証は3者間で次の流れのとおりにやり取りを行ないます。
このとき、一般には、認証結果が可の場合はユーザーがネットワークに接続できるようにしますが、否となった場合はネットワークにアクセスできません。
RADIUS認証の仕組みを利用することで、社内ネットワークなどに不正なユーザーやデバイスが接続することを防ぐことができます。
RADIUS認証を導入するメリットとしては、大きく次の4つが挙げられます。
RADIUSサーバー製品の中には、ワンタイムパスワードや証明書認証のインフラとして利用できるものもあります。従来のパスワードのみの認証と比べてセキュリティを強化することが可能です。社内ネットワークとしてWi-Fiを利用している場合でも、不正なユーザーやデバイスからの接続を遮断できるため、セキュリティの強化につながります。
RADIUSサーバーでさまざまなユーザーやネットワーク機器の認証情報を一元管理できるため、管理者の負担を軽減できます。また、Active Directoryなどと連携できるものもあり、その場合にはWindows環境と同じIDとパスワードを利用することも可能です。
一般に、認証情報を一元管理する場合、アクセスが集中することによる負荷を考慮する必要があります。大きな負荷がかかることで認証処理が遅延しネットワークアクセスに影響が出る可能性も考えられるでしょう。古くからISPなどの大規模システムに採用されていきたRADIUSサーバーには、二重化や分散配置に対応するものも多く、システムの信頼性を損ないません。
RADIUS認証ではユーザー単位、アクセス経路単位などによって認証方式を切り替えられます。例えば、同じユーザーの認証でも社内からアクセスする場合と社外からアクセスする場合では、要求する認証レベルを変更することが可能です。より柔軟で強固なセキュリティ環境を構築するためにも、RADIUS認証は必要とされています。
社内ネットワークを取り巻く環境はテレワークの普及などもあり複雑化しています。従来どおりのセキュリティ対策では十分とはいえず、企業内の重要な情報を守るためにもセキュリティの強化策としてRADIUS認証の導入がおすすめです。
NetAttest EPSは無線LAN・有線LAN・VPNを含むさまざまなポイントのネットワーク認証で利用きます。今やネットワークは企業にとってのライフラインとなっており、強い「安心」「安全」「快適」が求められています。これらを実現するためにも、NetAttest EPSによるRADIUS認証環境を構築しましょう。
商用DHCPでインターネット回線の安定化を実現。「ProDHCP」 開発の背景や従来のDHCPとの違いに迫る|NetAttest20周年特別企画
すべてのものがネットワークで繋がり始めている製造業。業界課題と無線LAN構築に求められること| NetAttest20周年特別企画
複雑化するネットワークシステムの管理を効率的に。複層防御を実現するソリューション|NetAttest20周年特別企画
紙の申請書をタブレット端末に移行。書かない窓口システム『ゆびナビ』とは| NetAttest20周年特別企画