Skip to content
ネスぺ学習メモ

無線LANセキュリティ

無線LANは電波を使用するため、有線LANに比べて盗聴や不正アクセスのリスクが高くなります。そのため、強力な認証暗号化技術が不可欠です。本記事では、WPA2/WPA3を中心としたセキュリティ規格と、企業で利用されるIEEE 802.1X認証について解説します。

セキュリティ規格の変遷

Section titled “セキュリティ規格の変遷”
規格策定年暗号化アルゴリズム改ざん検知認証方式現状
WEP1997RC4ICV共有鍵使用禁止(脆弱性あり)
WPA2002TKIP (RC4)MichaelPSK / IEEE 802.1X使用非推奨
WPA22004AES (CCMP)CBC-MACPSK / IEEE 802.1X現在も主流
WPA32018AES (GCMP/CCMP)GMAC/CBC-MACSAE / IEEE 802.1X普及拡大中

パーソナルモード vs エンタープライズモード

Section titled “パーソナルモード vs エンタープライズモード”
モード正式名称認証方式用途特徴
PersonalWPA2-Personal
(WPA2-PSK)		PSK
(Pre-Shared Key)		家庭・SOHO全端末で同じパスフレーズを使用。
個別のID管理はできない。
EnterpriseWPA2-Enterprise802.1X
(EAP認証)		企業・組織ユーザーごとにID/パスワードや証明書で認証。
RADIUSサーバーが必要。

IEEE 802.1X認証の仕組み

Section titled “IEEE 802.1X認証の仕組み”

企業向け無線LANで標準的に使用されるポートベース認証の枠組みです。以下の3つの要素で構成されます。

  1. サプリカント (Supplicant): クライアント端末(PC、スマホなど)
  2. オーセンティケータ (Authenticator): 無線LANアクセスポイント (AP)
  3. 認証サーバー (Authentication Server): RADIUSサーバー

認証シーケンス

Section titled “認証シーケンス”
sequenceDiagram
    participant SUP as サプリカント<br/>(端末)
    participant AP as オーセンティケータ<br/>(AP)
    participant RADIUS as 認証サーバー<br/>(RADIUS)

    Note over SUP, AP: 接続要求
    AP->>SUP: EAP-Request/Identity<br/>(ID要求)
    SUP->>AP: EAP-Response/Identity<br/>(ID送信)
    AP->>RADIUS: RADIUS Access-Request<br/>(EAPメッセージをカプセル化)

    Note over SUP, RADIUS: EAPによる認証プロセス<br/>(TLSトンネル確立など)
    RADIUS-->>AP: RADIUS Access-Challenge
    AP-->>SUP: EAP-Request
    SUP-->>AP: EAP-Response
    AP-->>RADIUS: RADIUS Access-Request

    Note over SUP, RADIUS: 認証成功

    RADIUS->>AP: **RADIUS Access-Accept**<br/>(マスターセッションキー送付)
    AP->>SUP: EAP-Success

    Note over SUP, AP: **4-way Handshake**<br/>(暗号化鍵の生成)
    Note over SUP, AP: 通信開始 (暗号化)
  • EAP (Extensible Authentication Protocol): 認証プロトコルのコンテナ。実際の認証手順は内部のメソッド(EAP-TLSなど)によって異なります。
  • RADIUS (Remote Authentication Dial In User Service): 認証・認可・アカウンティングを行うプロトコル。UDP 1812(Auth)/1813(Acct)を使用。

EAP認証の種類

Section titled “EAP認証の種類”

試験で問われる主要なEAPメソッドの違いを整理します。

EAPメソッドサーバー証明書クライアント証明書クライアント認証情報特徴
EAP-TLS必要必要証明書最も安全だが、証明書配布の手間がかかる。
PEAP必要不要ID/パスワードサーバー認証後にTLSトンネルを作り、その中でID/PW認証を行う。最も普及。
EAP-TTLS必要不要ID/PW, CHAP等PEAPと似ているが、トンネル内の認証方式の自由度が高い。

WPA3の新機能

Section titled “WPA3の新機能”

WPA2の脆弱性(KRACKsなど)への対策として登場しました。

1. WPA3-Personal (SAE)

Section titled “1. WPA3-Personal (SAE)”
  • SAE (Simultaneous Authentication of Equals): 従来のPSKに代わる鍵交換方式。
  • Dragonfly Key Exchange を使用し、辞書攻撃やオフライン総当たり攻撃を防ぎます。
  • パスワードを知っていても、通信を傍受して後から解読することが困難(前方秘匿性)。

2. WPA3-Enterprise

Section titled “2. WPA3-Enterprise”
  • 192ビットセキュリティモード: 政府機関や軍事レベルのセキュリティ要件に対応(CNSA Suite)。
  • 認証サーバーの確認が必須化され、偽APへの接続リスクを低減。

3. OWE (Opportunistic Wireless Encryption)

Section titled “3. OWE (Opportunistic Wireless Encryption)”
  • Wi-Fi Enhanced Open: 公衆無線LANなどのパスワードなし(オープン)ネットワークでも、通信を暗号化する仕組み。
  • 認証は行わないが、Diffie-Hellman鍵交換により盗聴を防ぐ。

試験対策のポイント

Section titled “試験対策のポイント”
  1. 暗号化方式の組み合わせ:
    • WPA2 = AES (CCMP)
    • WPA = TKIP (RC4)
    • WEP = RC4 (脆弱)
  2. 802.1X認証の構成: サプリカント、オーセンティケータ、認証サーバー(RADIUS)の役割分担。
  3. EAPメソッドの要件: 「クライアント証明書が必要なのはEAP-TLS」というのが頻出。
  4. WPA3のキーワード: SAE(対等な認証)、Dragonfly、OWE(オープンでも暗号化)。