802.1X認証とは?高度なネットワーク認証を実現、しくみをわかりやすく解説!
- 基礎と応用
企業にとって不正なユーザーの、内部ネットワークへのアクセスは、日々警戒度が高まっています。そのような中、より高度な認証セキュリティが求められています。802.1X認証は、その強固なセキュリティを実現するための認証の一つです。
今回は、802.1X認証の概要からメリット、構成要素、流れなどのしくみをわかりやすく解説します。
802.1X認証とは
802.1X認証とはどのような認証なのかを解説します。
802.1X認証とは
802.1X認証とは「IEEE802.1X認証」の略称で、ユーザー認証のしくみの一つです。
ネットワーク機器に接続する端末に対し、認証を行ってアクセス制御を行うプロトコルの規格です。
プロトコルとは、コンピュータ同士がデータをやりとりするために定められた通信手順や規約などを定めた規格を意味します。異なるメーカーのコンピュータであっても、共通のプロトコルに従うことで、問題なく通信が可能になります。
802.1X認証は、電子証明書やユーザー名とパスワードの組み合わせを使用し、正規のユーザーだけに内部ネットワークへのアクセスを許可することができます。そのため、企業などの高度なネットワーク認証を実現するのによく利用されています。
悪意を持つ不正なユーザーが社内ネットワークに侵入するリスクを大幅に軽減できます。
なお、802.1X認証は、有線LANだけでなく、無線LANでも利用可能です。
802.1X認証のメリット
802.1X認証には、具体的にどのようなメリットがあるのか確認しておきましょう。
内部ネットワークのセキュリティ対策が可能になる
ネットワーク・セキュリティといえば、外部からのサイバー攻撃のリスクが問題視されがちですが、社内ネットワークのセキュリティ対策は、近年、重要性を増しています。
内部ネットワークを利用するユーザーは全員が味方とは限りません。内部ネットワークにも悪意を持つユーザー存在する可能性はあります。なぜなら大規模なオフィスでは不正侵入によって、社内ネットワークに不正にアクセスするようなユーザーが存在する可能性があるからです。
そこで必要になってくるのが、内部ネットワークのセキュリティ対策としての入り口の防御です。接続できるユーザーや端末を限定する方法です。
802.1X認証は、どのユーザーが、どの端末を使用してアクセスするのかを、認証サーバーが認証するしくみがあります。そのため、入り口から悪意を持つ不正なユーザーが内部ネットワークに侵入するのを遮断することができます。
MACアドレス認証だけでは不十分である中、認証を強化できる
無線LAN機器を利用する場合に、セキュリティ設定として備わるMACアドレス認証を利用するケースが多くあります。MACアドレス認証とは、LAN上で機器の認証を行う方式の一つで、ネットワーク機器に固有のMACアドレスを割り当てて、特定の機器に対してネットワーク接続の可否を判断してアクセス制御を行います。
しかし、MACアドレスは偽装が容易であるため、不正侵入されるリスクがあります。そのため、強固なセキュリティを備えたい企業内ネットワークにおいては、セキュリティとしてはMACアドレス認証だけでは不十分といえるのです。
そのため多くの企業では、802.1X認証を用いることで、よりセキュリティを高めています。
802.1X認証の構成要素
802.1X認証は、次の三つの構成要素から成り立っています。
サプリカント
サプリカントとは、802.1X認証を行うためのクライアントソフトウエアです。認証を受けるユーザーは、サプリカントをPCにインストールする必要がありますが、現在のWindowsやMac OSなどのOSでは、サプリカントの機能が備わっています。
オーセンティケータ(認証装置)
オーセンティケータは、サプリカントと認証サーバーの仲介役となる認証装置のことで、サプリカントからの認証要求を認証サーバーへ中継します。具体的にはLANスイッチまたは無線LANアクセスポイントが該当します。
認証サーバー
認証サーバーは、ユーザー認証を行うサーバーです。802.1X認証に対応したRADIUSサーバーを利用するのが一般的です。
RADIUSサーバーとは、RADIUSという認証プロトコルを使って認証サービスを提供するサーバーのことです。詳細は下記のコラムで解説していますので、併せてご確認ください。
【関連コラム】
802.1X認証を実現するには、このサプリカント、オーセンティケータ、認証サーバーそれぞれについて社内ネットワークに適したものを用意する必要があります。
EAPとは?
802.1X認証では、認証に「EAP(Extensible Authentication Protocol)」と呼ばれるプロトコルを利用します。EAPには複数の異なる方式が規定されており、サプリカントと認証サーバーの両方が対応している方式のみ使用できます。
EAPの認証方式は、主にEAP-TLS、LEAP、EAP-TTLS、PEAPの4種類から選択します。
それぞれ特徴が異なりますが、例えばEAP-TLSは、認証にデジタル証明書を使用します。一方、LEAPは認証にユーザーIDとパスワードを使用します。
802.1X認証の流れ
802.1X認証は、次のような流れで行われます。
1.接続許可を要求
接続を試みたいユーザーPCに搭載されたサプリカントは、通信を開始するために、無線LANアクセスポイントなどの認証装置にプローブ信号を送信します。
2.認証サーバーへ問い合わせ
指定された認証方式に従い、認証装置と認証サーバーとの間でやりとりが行われます。
3.認証成功の通知と暗号キーの発行
認証が成功すると、認証サーバーから認証が成功したことがサプリカントに通知されます。そしてポートのブロックが解除され、認証サーバーは認証装置に対して、ユーザー用のセッション鍵のもとになる情報を送信し、認証装置は認証サーバーから受信したセッション鍵の情報から暗号鍵を生成し、ユーザーに通知されます。
4.社内ネットワークへの接続
ユーザーは暗号キーを利用して社内ネットワークへの認証を行うことができ、通信を開始できます。
このように、802.1X認証は暗号キーを受け取るまでにさまざまな工程があり、これらをすべてクリアしなければ、社内ネットワークに入ることができません。そのため、802.1X認証を導入することによって高度なセキュリティを備えることができます。
802.1X認証を実現する「Account@Adapter+」とは
社内ネットワークに802.1X認証を実装したい場合には、エイチ・シー・ネットワークスの認証アプライアンスサーバー「Account@Adapter+」をご活用いただけます。
802.1X認証も含めたネットワーク認証に必要なノウハウが凝縮された製品です。
接続申請を受け付けるユニークな申請ワークフローとアカウント管理を備えており、ネットワークに接続するユーザーや端末の認証とアクセス制御を容易に実現し、管理・運用負荷を軽減します。
各種コンポーネントである、RADIUS・認証局・アカウントデータベース・DHCPを一つのアプライアンスサーバーで利用できるため、投資コストを抑え、短期間内に効率よくネットワーク認証システムを開始することが可能です。
一般的なRADIUSサーバー製品と異なり、接続端末のMACアドレス形式が混在する環境でも認証が可能であるという点も特徴です。接続環境ごとの登録管理の手間が省ける上に、さまざまなユーザーが利用する企業や学校ネットワークのセキュリティ対策としても有効です。
近年、セキュアなネットワーク環境を整えることは、企業の最重要課題となっている中、同製品が強力にサポートいたします。
詳細に関しましては、サービス紹介ページをご覧ください。ご不明な点がございましたら、ぜひお気軽にお問い合わせください。
ネットワークの基本から課題解決事例までわかりやすくまとめています。会社や組織内のネットワークの導入や見通しを検討するときに必ずお読み頂きたい一冊です。