著者:田中麻維
大手電機メーカー系のSierに入社後、インフラエンジニアとしてLinuxサーバーの構築や保守・運用、ソフトウェアの開発業務を経験。アイティベル入社後は、IT領域の執筆などを行う。
昨今のサイバー攻撃の増加に伴い、企業内のネットワークや公共のWi-Fiネットワークなどでは高度なセキュリティが求められています。EAP-TLSは、多くの企業で使われている強固な認証プロトコルです。EAP-TLSを実装するためには、認証の仕組みや実装する流れについて理解する必要があります。
本記事では、EAP-TLSの重要性や仕組み、実装する流れについて解説します。
1. EAP-TLSとは
EAP-TLSとは、TLS(Transport Layer Security)を使用し、クライアントPCとサーバーの間で認証を行うプロトコルのことです。双方が持っている証明書を使って、認証する方式となっています。
EAP-TLSの重要性
EAP-TLSはTLS証明書を使用するため認証情報が盗まれにくく、強固なセキュリティを実現できます。EAP-TLSの特徴は、無線LANや有線LAN、VPNなど、さまざまなネットワーク環境で使用できる点です。昨今のサイバー攻撃の増加に伴い、EAP-TLSの重要性は以前よりも高くなっています。
2. EAP-TLSの認証方式
ここでは、EAP-TLSの認証方式と、混同しやすいPEAPとの違いについて解説します。
EAP-TLSの認証の仕組み
EAP-TLSの認証プロセスでメインとなっているのが、クライアントとサーバーの間で実施する相互認証です。相互検証することで、悪意のある第三者が通信の傍受・改ざんなどを実施していないかを確認できます。認証の流れは下記のとおりです。
- クライアントがネットワークに接続を試みる
- 認証サーバー(通常はRADIUSサーバー)がクライアントに対して要求メッセージを送信する
- クライアントが認証サーバーへTLS証明書を送信する
- 認証サーバーはクライアントから受け取った証明書を検証し、正当なものであればサーバー証明書をクライアントに送信する
- クライアントとサーバーの双方が相手の証明書を確認し、認証が成功したら、クライアントサーバー間で共通のセッションキーが生成される
- その後の通信はこのセッションキーを使用して行われる
上記の流れを経て、認証が完了したクライアントはネットワークへアクセスできるようになります。
PEAPとの違い
EAP-TLSはPEAPと混同されるケースが多く見られます。PEAP(Protected Extensible Authentication Protocol)とは、WiFiネットワークのセキュリティを高めるためのセキュリティプロトコルのです。先述したとおり、EAP-TLSは認証時に証明書を使用するのに対し、PEAPはサーバー側のみで証明書を使用し、クライアントはユーザー名とパスワードを使って認証します。
3. EAP-TLSの使用例
EAP-TLSは実際にどのような場面で使われているのでしょうか。ここでは、EAP-TLSの使用例を4つ紹介します。
企業や組織内でのWi-Fi利用
一つ目が、企業や組織内でのWi-Fi利用です。社内のWi-Fiに接続する際に、従業員がEAP-TLSを使用して認証を行います。クライアント(従業員のPCやスマートフォン)とネットワーク側(アクセスポイントやRADIUSサーバー)が相互にTLS証明書を使用して認証します。EAP-TLSを実装することで、不正なデバイスのアクセスを防止し、通信の安全性を確保できます。
有線LAN
二つ目が、有線LANです。企業の有線LANでも、EAP-TLSを使用してネットワークポートごとに認証を行うことが可能です。EAP-TLSにより、認証されたデバイスのみがネットワークにアクセスできるようになります。
VPNでの認証
三つ目が、VPNでの認証です。従業員が自宅や外出先などからVPN経由で社内ネットワークに接続する際にEAP-TLSを使用してクライアント認証を行います。従業員のデバイスが正当な証明書を持っていることを確認し、VPN接続を許可します。EAP-TLSを利用することで、VPNのセキュリティをより強化できます。
シングルサインオン(SSO)
四つ目が、VPNでの認証です。シングルサインオン(SSO)とは、一度のログインで複数のシステムやアプリケーションにアクセスできる認証方式のことです。SSOサービスでEAP-TLSを使用することで、従業員が一度の認証で複数のサービスやアプリケーションにアクセスできるようになります。セキュリティを維持しつつ、従業員はサービスやアプリケーションをスムーズに利用することが可能です。
4. EAP-TLSの実装手順
EAP-TLSを実装する際は、下記の手順で進めていきましょう。
- 認証基盤の準備
- 証明書の取得
- ネットワーク機器の設定
- クライアントデバイスの設定
それぞれのポイントを解説します。
1.認証基盤の準備
EAP-TLSを使用するには、まずは証明書を発行・管理する認証局(CA:Certificate Authority)を用意しなければなりません。Windows ServerのActive Directory Certificate Services(AD CS)などを利用して社内CAを構築するケースが多く見られます。
続いて、RADIUSサーバーを設定します。RADIUSサーバーの役割は、クライアントの認証リクエストを受け取り、証明書に基づいて認証を行うことです。
2.証明書の取得
続いて、サーバー証明書とクライアント証明書を取得しましょう。
サーバー証明書を取得する手順は、下記のとおりです。
- 認証局(CA)からサーバー証明書を発行する
- サーバー証明書をRADIUSサーバーにインストールする
- RADIUSサーバーの設定で、認証に使用するサーバー証明書を選択する
クライアント証明書を取得する手順は、下記のとおりです。
- 認証局から各デバイスごとにクライアント証明書を発行する
- クライアント証明書と秘密鍵をデバイスにインストールする
- 必要に応じて、証明書のエクスポートやバックアップを行う
3.ネットワーク機器の設定
続いて、RADIUSサーバーでEAP-TLSのプロトコルを使用する設定を実施します。設定の手順は下記のとおりです。
- RADIUSサーバーにサーバー証明書を設定する
- クライアント認証に使用するEAP-TLSプロトコルを有効にする
- 信頼できる認証局(CA)のリストを設定し、クライアント証明書を検証する
有線LANの場合はネットワークスイッチを有効にし、無線LANの場合はワイヤレスアクセスポイント(AP)でIEEE 802.1X認証を有効にします。下記の手順で設定を進めましょう。
- ネットワークスイッチやAPに、RADIUSサーバーのIPアドレス、ポート番号、および共有シークレット(事前に共有するパスワード)を設定する
- 802.1X認証を有効にし、EAP-TLSを認証プロトコルとして選択する
- 必要に応じて、ポートごとの認証設定や、認証が失敗した場合のアクセス制限ポリシーを設定する
4.クライアントデバイスの設定
次にクライアントデバイスでEAP-TLS認証を使用できるように設定します。設定手順は下記のとおりです。
- デバイスのネットワーク設定画面を開き、接続するネットワーク(有線または無線)を選択する
- 認証方式としてEAP-TLSを選択する
- インストール済みのクライアント証明書を選択し、認証を行う
すべての設定が完了したら、クライアントデバイスがネットワークに正常に接続できるかをテストしましょう。
5.EAP-TLSを運用する際の注意点
最後にEAP-TLSを運用する際の注意点について解説します。
証明書の有効期限を管理する
EAP-TLSの証明書には有効期限があります。期限切れの証明書は認証できなくなるため注意しましょう。また、証明書の期限が切れていると、認証エラーやネットワークへのアクセス不能を引き起こすことにもつながります。証明書の有効期限を管理し、期限切れの前に更新するためのスケジュールを設定することが重要です。
従業員へ証明書の重要性と正しい使用方法を教育する
EAP-TLSの運用では、従業員に対して証明書の重要性と正しい使用方法を教育することがポイントです。従業員が誤った証明書を使用したり、証明書の管理に無頓着であったりすると、セキュリティリスクが高くなります。証明書が失効した際の対応方法などを事前に教育した上で運用することが重要です。
まとめ
今回は、EAP-TLSの重要性と実装する流れ、運用する際の注意点について解説しました。EAP-TLSはさまざまなネットワーク環境で使用でき、強固なセキュリティを実現できます。
EAP-TLSの運用では、従業員に対して証明書の重要性と正しい使用方法を教育することがポイントです。期限切れの証明書は認証できなくなるため、証明書の有効期限を適切に管理しましょう。
