EAP(拡張認証プロトコル) いーえーぴー
認証プロトコル802.1XWi-Fi認証RADIUSTLSネットワークアクセス制御
EAPについて教えて
簡単に言うとこんな感じ!
EAPは「どんな認証方法でも使えるようにする共通の枠組み」だよ!パスワード、ICカード、指紋…いろんな認証方式を「EAPというレール」の上に乗せて統一的に扱えるようにするプロトコルなんだ。特に会社のWi-Fiや有線LANの入口で大活躍してるよ!
EAPとは
EAP(Extensible Authentication Protocol:拡張認証プロトコル) は、ネットワークへのアクセスを制御するための認証フレームワークです。「認証方式そのもの」ではなく、さまざまな認証方式を乗せて運ぶ「共通の器(フレームワーク)」だという点が重要です。
たとえるなら、EAPは「荷物を運ぶトラック」のようなもの。トラック自体は荷物の種類を問わず、パスワード認証・証明書認証・ワンタイムパスワードなど、どんな認証方式(荷物)でも運べます。この柔軟性から “Extensible(拡張可能)” という名前がついています。
EAPは主に IEEE 802.1X という規格と組み合わせて使われ、企業の有線LAN・無線LAN(Wi-Fi)への接続認証に広く採用されています。個人向けのWi-FiでよくあるWPA2-PSK(パスワード共有方式)とは異なり、ユーザーごとに個別認証ができるため、セキュリティレベルが格段に高いのが特徴です。
EAPの仕組みと構造
EAP通信には3つの登場人物がいます。
| 役割 | 英語名 | 具体例 |
|---|---|---|
| 認証を受けたい側 | サプリカント(Supplicant) | PCやスマートフォン |
| 入口の門番 | オーセンティケーター(Authenticator) | Wi-FiアクセスポイントやLANスイッチ |
| 認証の判定役 | 認証サーバー(Authentication Server) | RADIUSサーバー |
[PC・スマホ] [APやスイッチ] [RADIUSサーバー]
サプリカント ←→ オーセンティケーター ←→ 認証サーバー
(入りたい人) (門番) (判定役)通信の流れ(大まかに):
- サプリカントがネットワークに接続を試みる
- オーセンティケーター(門番)が「誰ですか?」と問い合わせる(EAP-Request/Identity)
- サプリカントが「〇〇です」と名乗る(EAP-Response/Identity)
- 門番がRADIUSサーバーに「この人、本当に正しいか確認して」と依頼
- RADIUSサーバーとサプリカントの間で選択された認証方式(EAPメソッド)でやり取り
- 認証成功 →
EAP-Successが返り、ネットワークアクセスが許可される
覚え方・語呂合わせ
「E(エントランスで)A(あなたを)P(パスする)」 入口(Entrance)でアクセス許可を判断するプロトコル、と覚えよう!
主なEAPメソッド(認証方式の種類)
EAPは「器」なので、中に入れる認証方式(EAPメソッド)がいくつもあります。
| EAPメソッド | 特徴 | セキュリティ強度 |
|---|---|---|
| EAP-TLS | クライアント証明書+サーバー証明書で相互認証。最も安全 | ★★★★★ |
| EAP-TTLS | サーバー証明書のみ。トンネル内でパスワード認証 | ★★★★☆ |
| PEAP | EAP-TTLSに似た構造。Microsoftが普及させた | ★★★★☆ |
| EAP-MD5 | パスワードをMD5でハッシュ化。古く脆弱、非推奨 | ★★☆☆☆ |
| EAP-SIM | SIMカードを使った認証(キャリアWi-Fi等) | ★★★☆☆ |
| EAP-FAST | Ciscoが開発。証明書不要でもセキュア | ★★★★☆ |
歴史と背景
- 1998年 — IETF が PPP(ダイヤルアップ接続のプロトコル)の認証拡張として EAP を RFC 2284 で定義
- 2001年 — IEEE が 802.1X を策定。EAP を有線LAN・無線LANの認証に活用する枠組みを整備
- 2003年 — 主要EAPメソッドが普及し始め、企業向けWi-Fi認証の標準として定着
- 2004年 — RFC 3748 で EAP が全面改訂・強化。現在もこれが基本仕様
- 2008年 — RFC 5247 で EAP と鍵管理の関係を整理
- 現在 — WPA2-Enterprise / WPA3-Enterprise の認証基盤として世界中の企業ネットワークで標準採用。クラウド時代でも RADIUS as a Service と組み合わせて利用が続く
EAPと関連技術の位置づけ
EAPは単独では動かず、周辺技術と組み合わせて使われます。
WPA2-Personal vs WPA2-Enterprise(EAP利用)比較
| 比較項目 | WPA2-Personal(PSK) | WPA2-Enterprise(EAP) |
|---|---|---|
| 認証方式 | 共通パスワード(事前共有鍵) | 個人ごとにID/証明書で認証 |
| 管理のしやすさ | シンプルだが、退職者対応が手間 | ユーザー管理と連動可(AD等) |
| セキュリティ | パスワード漏洩で全員アウト | 個別失効・ポリシー適用が可能 |
| 必要インフラ | AP のみ | AP+RADIUSサーバー |
| 向いている場面 | 家庭・小規模オフィス | 企業・学校・公共インフラ |
関連する規格・RFC
| 規格・RFC番号 | 内容 |
|---|---|
| RFC 3748 | EAP の現行基本仕様(2004年。RFC 2284 を廃止・改訂) |
| RFC 5247 | EAP と鍵管理フレームワークの整理 |
| RFC 5216 | EAP-TLS の仕様 |
| RFC 2865 | RADIUS プロトコル(EAPの認証サーバー側) |
| RFC 3579 | RADIUS over EAP(RADIUSでEAPを扱う方法) |
| IEEE 802.1X | ポートベースのネットワークアクセス制御(EAPを利用) |
関連用語
- IEEE 802.1X — EAP を使ったポートベースのネットワークアクセス制御規格
- RADIUS — EAP認証の判定を担う認証・認可・アカウンティングサーバー
- TLS — EAP-TLSやPEAPで認証情報を暗号化するトランスポート層セキュリティ
- WPA2 / WPA3 — Wi-Fi暗号化規格。EnterpriseモードではEAPを使用
- 認証局(CA) — EAP-TLSで使うデジタル証明書を発行・管理する機関
- LDAP / Active Directory — RADIUSサーバーと連携してユーザー情報を管理するディレクトリサービス
- VPN — 企業ネットワークへのリモートアクセスでもEAP認証が使われる
- ゼロトラスト — EAPによる個人認証はゼロトラスト実現の基盤のひとつ