// シス担のミカタ
認証

802.1X認証 はちまるにてんいちえっくすにんしょう

ネットワークアクセス制御EAPRADIUSサーバーIEEEサプリカントポートベース認証
802.1X認証について教えて

簡単に言うとこんな感じ!

ネットワークへの「入口に番人を置く」仕組みだよ!LANケーブルを差したりWi-Fiに繋ごうとしたとき、「あなた誰?」って確認が通らないと一切通信させない、そんな厳重な門番システムなんだ!

802.1X認証とは

802.1X認証とは、ネットワークに接続しようとする機器やユーザーを、通信を始める前に認証する仕組みです。IEEE(米国電気電子学会)が策定した規格で、「有線LAN・無線LAN問わず、ネットワークの入口で身元確認を行う」のが最大の特徴です。

たとえば社内のLANポートにケーブルを差したとき、何も考えずに社内ネットワークへ繋がってしまうと、不正な端末や外部から持ち込んだPCもそのまま使えてしまいます。802.1Xを使えば、認証が通った端末だけに通信を許可し、未認証の端末はインターネットはもちろん社内リソースにも一切アクセスできない状態に制御できます。

近年は「ゼロトラストセキュリティ」の考え方が広まり、「社内にいるからといって信頼しない」という方針が主流になっています。802.1Xはその入口を守るための基本的かつ強力な手段として、企業ネットワークで広く採用されています。

802.1X認証の仕組みと登場人物

802.1Xには3つの登場人物(役割)があります。この3者が連携して「通していいか・ダメか」を判断します。

役割正式名称具体例
サプリカントSupplicant認証を受けようとするPC・スマホ・端末
オーセンティケーターAuthenticatorスイッチ(HUB)・無線LANアクセスポイント
認証サーバーAuthentication ServerRADIUSサーバー(社内または外部クラウド)

認証の流れはシンプルです。

端末(サプリカント)
  ↓ 「繋いでいいですか?」(EAPメッセージ)
スイッチ/AP(オーセンティケーター)
  ↓ 「この人、認証サーバーに確認します」
RADIUSサーバー(認証サーバー)
  ↓ 「OK! or NG!」
スイッチ/AP
  ↓ ポートを開放 or ブロックのまま
端末

覚え方:「サ・オ・認」で3人組

プリカント(端末)・ーセンティケーター(スイッチ)・証サーバー」の3者を「サ・オ・認(さおにん)」と覚えると、役割の整理がしやすいです。

認証方式(EAPの種類)

認証サーバーとの実際のやりとりには EAP(Extensible Authentication Protocol) というプロトコルが使われます。主な方式は以下のとおりです。

EAP方式特徴よく使われる場面
EAP-TLSクライアント証明書を使う。最も安全大企業・金融・官公庁
EAP-PEAPサーバー証明書+ID/パスワード。導入しやすい中小企業・学校
EAP-TTLSPEAPに近い。柔軟性が高い海外企業・通信キャリア
EAP-MD5ID/パスワードのみ。古く非推奨レガシー環境(非推奨)

歴史と背景

  • 1990年代後半:有線LANの普及に伴い、「LANポートに何でも繋げてしまう」セキュリティ上の課題が顕在化
  • 2001年:IEEE 802.1X-2001として正式策定。有線LANポートを単位とした「ポートベース認証」として登場
  • 2004年:IEEE 802.11i(WPA2)に採用され、企業向け無線LAN認証の標準として一気に普及
  • 2010年代:クラウド型RADIUSサービスが登場し、中小企業でも導入ハードルが低下
  • 現在:ゼロトラストネットワークの文脈で再注目。「社内ネットワークでも全員認証」の要となる技術として評価が高まっている

802.1X認証の全体構成図

サプリカント (端末) 💻 PC Windows/Mac 📱 スマホ iOS/Android 🖨 プリンタ IoT機器など EAP over LAN オーセンティケーター 🔀 スイッチ (有線LAN用) 📡 AP (無線LAN用) RADIUS プロトコル 認証サーバー 🗄 RADIUSサーバー 社内 or クラウド 👤 ユーザーDB Active Directory など 📜 証明書管理 PKI / CA 🔒 ポートをブロック 未認証端末は通信不可

802.1Xあり・なしの比較

比較項目802.1Xなし802.1Xあり
LANポートへの接続誰でも繋げばすぐ通信可認証通過後のみ通信可
不正端末の持ち込み検知・ブロックできない自動的にブロック
管理コスト低い(設定不要)やや高い(RADIUSサーバー必要)
セキュリティレベル低い高い
ゼロトラスト適合難しい適合しやすい

関連する規格・RFC

規格・RFC番号内容
IEEE 802.1X-2010802.1X認証の現行規格(2010年改訂版)
IEEE 802.11i(WPA2)無線LANセキュリティ規格。企業向けに802.1Xを採用
RFC 3748EAP(Extensible Authentication Protocol)の基本仕様
RFC 2865RADIUSプロトコルの基本仕様
RFC 5216EAP-TLSの仕様
RFC 2716EAP-TLSの旧仕様(RFC 5216に置き換え)

関連用語

  • RADIUSサーバー — 802.1Xで認証判断を担うサーバー。ID/パスワードや証明書を検証する
  • EAP — 802.1Xで使われる認証フレームワーク。方式(TLS・PEAPなど)を選べる
  • Active Directory — RADIUSサーバーと連携するユーザー管理の仕組み
  • ゼロトラストネットワーク — 「何も信頼しない」前提のセキュリティ設計思想
  • WPA2-Enterprise — 802.1Xを使った企業向け無線LAN認証方式
  • PKI — EAP-TLSで使う証明書を管理