解説

RADIUS認証とは? 仕組みや導入のメリットなどを解説

ソリトンシステムズ・マーケティングチーム
アイキャッチ
目次

持ち運びが容易なモバイルPCやスマートデバイスが普及し、新しい働き方としてテレワークが定着しつつある昨今、企業ではそれらを最大限利用するためのネットワークの重要性が高まっています。多様なデバイスと、それを操作するユーザーを適切に接続させるための技術要素が「RADIUS認証」です。

この記事では、一般企業でも導入が広がっているRADIUS認証について、その概要から仕組み、メリットについて解説します。

RADIUSとは

RADIUS(ラディウス)はRemote Authentication Dial In User Serviceの略称であり、ネットワーク上でユーザー認証を実現するプロトコルです。RADIUSの歴史は古く、1992年 米国リビングストン社(当時)が独自の認証プロトコルとして開発しました。1997年にはRFCの策定が行われ、その後も機能拡張を繰り返しつつ今日に至ります。

なお、英単語としてのRADIUSには「半径」という意味があり、RADIUSの後継的な認証プロトコルに、「直径」を意味する Diameter(ダイアメーター)があります。これは、”言葉遊び”に近く、RADIUSプロトコルの機能や由来とは直接関係しないと言われています。

AAAモデル

RADIUSはAAAシステムの代表例として紹介されることが多い認証サービスです。AAAシステムは、以下の3つのセキュリティ機能によって構成されます。

  • Authentication(認証)
    サービスの利用開始を要求してきた人物・コンピューター等が、管理者によって認められた正規のものであるかを確認します。ID/パスワードによる認証のほか、電子証明書(デジタル証明書)や、SIM情報を用いる認証方式もあります。

  • Authorization(認可)
    認証に成功した人物・コンピューター等に対して、どのような権限を与えるのかを指示します。RADIUSの場合、認証要求に対して認証と認可が連続して行われるため、それぞれの区別はやや曖昧になっています。

  • Accounting(課金)
    認証に成功し認可された人物・コンピューターが、どのようにサービスを利用したかを記録します。RADIUSがダイアルアップ接続の認証に利用され始めた1990年代、接続時間や通信量を記録し、その情報をもとに請求金額を算出していたため「課金」と呼ばれています。

利用シーンと認証方式

RADIUSが標準化された当初は、ダイヤルアップサービスの認証で利用され、いまでもISP(インターネットサービスプロバイダ)に広く採用されています。

また、最近ではテレワークを実現するために必要となるリモートアクセス環境において、VPNゲートウェイ機器などと連携し不正アクセスを防止するための認証を提供しています。

リモートアクセス環境でのRADIUSサーバーの利用イメージ(システム構成図)

初期からの認方法式

認証方式特長
PAP

PAPは「Password Authentication Protocol」の略称です。
ID/パスワードにより認証します。
RADIUSクライアントからRADIUSサーバーへ送られるパスワード文字列は、共有鍵(Sheard Secret)と、Authenticator値をもとに暗号化します。

CHAP

CHAPは「Challenge Handshake Authentication Protocol」の略称です。
ID/パスワードにより認証します。
チャレンジ応答方式により、都度生成した乱数を元に暗号化されます。

古くから利用されてきたRADIUSサービスですが、2003年に策定されたIEEE802.1Xに対応(RFC 3580)するEAP(RFC 3579)へと拡張されたことにより、一般企業において更に広く採用される下地が整いました。

IEEE802.1X の規格名は「Port-Based Network Access Control」で、ネットワーク機器のポート単位でアクセス制御を行うための規格です。その制御をおこなう為、EAP(Extensible Authentication Protocol)は、有線LANにおけるダイナミックVLAN環境や、2010年代より急速に普及した無線LAN(Wi-Fi)環境の認証で利用されています。

拡張された認証方式

認証方式特徴
EAP-TLS

TLSは「Transport Layer Security」の略称です。
電子証明書(デジタル証明書)を用いて認証します。
クライアント証明書、サーバー証明書を検証しあうことで、利用者と、認証サーバーの正当性を相互確認しています。

EAP-PEAP

PEAPは「Protected Extensible Authentication Protocol」の略称です。
ID/パスワードにより認証します。
米国マイクロソフト社、シスコシステムズ社、RSAセキュリティ社が共同で策定した認証規格で、暗号トンネル内を流す認証プロトコルの違いによって、通称MS-PEAP、Cisco-PEAPなどがあります。

認証サーバー側に電子証明書を導入し、その詐称を検知できるようにしています。
EAP-TTLS

TTLSは「Tunneled TLS」の略称です。
ID/パスワードにより認証します。
米国ファンクソフトウェア社、加国サーティコム社が共同で策定した認証規格で、暗号トンネル内に他RADIUS認証パケットを流します。
認証サーバー側に電子証明書を導入し、その詐称を検知できるようにしています。

EAP-FAST

FASTは「Flexible Authentication via Secure Tunneling」の略称です。
ID/パスワードにより認証します。
米国シスコシステムズが、LEAP(Lightweight Extensible Authentication Protocol)の後継として策定した認証方式です。
クライアント・サーバー共に電子証明書を使用せず、安全な認証環境を実現します。

EAP-SIM
EAP-AKA

SIMは「Subscriber Identity Modules」の略称です。
AKAは「Authentication and Key Agreement」の略称です。SIM内に書き込まれている情報を認証に用います。
携帯通信キャリアが提供する無線LANサービスの認証に利用されています。

ますます重要性を増す認証セキュリティ

2022年6月に実施した「企業ネットワーク及び関連システムに関する調査」において、無線LANやテレワーク(リモートアクセス)環境の運用率は高く、そのセキュリティを高める認証の重要性は増しています。

RADIUS認証を導入することで強固な認証セキュリティ環境を構築できることはもちろん、その他にも多くのメリットをもたらします。

その具体的な仕組みについて、次項で詳しく解説します。

RADIUS認証の仕組み

RADIUS認証はユーザー・RADIUSクライアント・RADIUSサーバーの3つの要素から成り立ちます。

  • ユーザー:ネットワークに接続するユーザーおよび端末
  • RADIUSクライアント:ユーザーとやり取りし、RADIUSサーバーに仲介するネットワーク機器など
  •  RADIUSサーバー:認証処理を行うサーバー

ユーザーが直接やり取りを行うのはRADIUSクライアントであり、一般にRADIUSサーバーとユーザーとは異なるネットワークに存在します。RADIUS認証は3者間で次の流れのとおりにやり取りを行ないます。

RADIUS認証のシーケンス


  1. ユーザーはネットワークに対するアクセスを要求
  2. RADIUSクライアントがユーザーに認証情報の提示を要求
  3. ユーザーは認証情報(本記事ではIDとパスワードとする)を入力
  4. RADIUSクライアントは入力されたIDとパスワードを使ってRADIUSサーバーにアクセス認証をリクエスト
  5. RADIUSサーバーで認証処理を行い、RADIUSクライアントに認証可否を送信
  6. RADIUSクライアントは受け取った認証可否の結果に従ってユーザーへサービスを提供

このとき、一般には、認証結果が可の場合はユーザーがネットワークに接続できるようにしますが、否となった場合はネットワークにアクセスできません。

RADIUS認証の仕組みを利用することで、社内ネットワークなどに不正なユーザーやデバイスが接続することを防ぐことができます。

RADIUSのメリット

RADIUS認証を導入するメリットとしては、大きく次の4つが挙げられます。

セキュリティ強化

RADIUSサーバー製品の中には、ワンタイムパスワードや証明書認証のインフラとして利用できるものもあります。従来のパスワードのみの認証と比べてセキュリティを強化することが可能です。社内ネットワークとしてWi-Fiを利用している場合でも、不正なユーザーやデバイスからの接続を遮断できるため、セキュリティの強化につながります。

認証情報の一元管理

RADIUSサーバーでさまざまなユーザーやネットワーク機器の認証情報を一元管理できるため、管理者の負担を軽減できます。また、Active Directoryなどと連携できるものもあり、その場合にはWindows環境と同じIDとパスワードを利用することも可能です。

負荷分散

一般に、認証情報を一元管理する場合、アクセスが集中することによる負荷を考慮する必要があります。大きな負荷がかかることで認証処理が遅延しネットワークアクセスに影響が出る可能性も考えられるでしょう。古くからISPなどの大規模システムに採用されていきたRADIUSサーバーには、二重化や分散配置に対応するものも多く、システムの信頼性を損ないません。

セキュリティレベルの変更をしやすい

RADIUS認証ではユーザー単位、アクセス経路単位などによって認証方式を切り替えられます。例えば、同じユーザーの認証でも社内からアクセスする場合と社外からアクセスする場合では、要求する認証レベルを変更することが可能です。より柔軟で強固なセキュリティ環境を構築するためにも、RADIUS認証は必要とされています。

社内ネットワークを取り巻く環境はテレワークの普及などもあり複雑化しています。従来どおりのセキュリティ対策では十分とはいえず、企業内の重要な情報を守るためにもセキュリティの強化策としてRADIUS認証の導入がおすすめです。

NetAttest EPSは無線LAN・有線LAN・VPNを含むさまざまなポイントのネットワーク認証で利用きます。今やネットワークは企業にとってのライフラインとなっており、強い「安心」「安全」「快適」が求められています。これらを実現するためにも、NetAttest EPSによるRADIUS認証環境を構築しましょう。


ソリトンシステムズ・マーケティングチーム