RADIUSサーバーとは?認証の仕組みとメリット、主な活用シーン 3分でわかる!無線LANミニ知識

shiryo-1.png

ユーザー認証用プロトコルの一種「RADIUS(ラディウス)」を使う認証サーバー「RADIUSサーバー(RADIUS server)」」は、無線LANのセキュリティ強化やネットワーク機器の負担軽減を目的として、長らく利用されて続けています。一般的にはあまり認知度は高くないものの、学校や医療機関、民間企業で数多く導入されているのでネットワークインフラを構築、改善を図る際は、RADIUSサーバーについて理解を深めておいて損はありません。そこで今回はRADIUSサーバーの基礎知識やメリット、注意点などについて解説します。

RADIUSサーバーの基礎知識

RADIUSサーバーとは?

RADIUSサーバーとは「RADIUS(ラディウス)」というユーザー認証プロトコルを利用して認証サービスを提供するサーバーのことで、ネットワークやソフトウェアにアクセスするユーザーの可否を判断する役割を担います。RADIUSは「Remote Authentication Dial In User Service」の略称です。またRadiusプロトコルはIPアドレスなどの「属性」と「値」を組み合わせる「属性値ペア」というフォーマットで、色々な情報をやりとりします。

1929年に米国で開発され、当初は電話回線のダイヤルアップ接続方式を利用するユーザーを対象にしたインターネット接続のための認証プロトコルとして使用されていました。現在における「RADIUS認証」は、主に無線LANや有線LAN、VPN接続といったインターネット接続時のユーザー認証プロトコルとして利用されています。シンプルかつ長い歴史のある認証プロトコルだからこそ、異なるシステムであってもRADIUSを外部認証サービスとしてサポートしているため、RADIUSサーバーを利用すれば認証システムの統合が図りやすいのが大きな特徴といえるでしょう。RADIUSサーバーは、異なるシステムであっても認証情報(ログイン情報)を一括管理できるため、管理業務をシンプルにして効率化できるサーバー機能を有しているのも特徴といえるでしょう。DXやテレワークなど、さまざまなビジネスシーンで多様なシステム、デバイスを利用する昨今、企業のネットワーク環境やセキュリティを強化しつつ、ユーザーの利便性向上も図れるRADIUSサーバーの必要性は高まっているのです。

RADIUS認証の仕組みと流れ

RADIUS認証の仕組み

RADIUS認証は、「RADIUSサーバー」「RADIUSクライアント」「ユーザー」の3つの要素で構成されます。RADIUSサーバーは認証を行うサーバーのことで、ユーザーはインターネットに接続するユーザーもしくは端末(デバイス)を指します。RADIUSサーバーとユーザーを仲介する役割を担うのがRADIUSクライアントで、NASNetwork Access Server)とも呼ばれます。RADIUSクライアントは、まずユーザーと認証情報のやりとりなどを行った後、RADIUSサーバーに認証処理のリクエストを送る仕組みとなっています。

RADIUS認証の流れ

RADIUS認証の大まかな流れ(シーケンス)や手順は大きく5つに分類できます。

ユーザー(利用者)がURLをクリックするなどして、デバイスを通じてネットワーク接続しようとします。
②RADIUSクライアントがID・パスワードなどの認証情報の提示を要求します。
ユーザーが認証情報を入力送信した情報を基にRADIUSクライアントがRADIUSサーバーに認証をリクエストします。
④RADIUSサーバーは認証処理を自動的に実行認証の可否を通知します。
認証情報が適正で認可された場合RADIUSクライアントはサービスを提供しユーザーはネットワークにアクセスできます。
誤っていた場合はネットワークに接続できないため、メッセージの内容に応じて再度、認証情報を入力する必要があります。

column-1.png

shiryo-1.png

RADIUSサーバーのメリット・デメリット、導入時の注意点

RADIUSサーバーのメリットとデメリット、注意点を紹介します。

RADIUSサーバーのメリット

RADIUSサーバーを利用する大きなメリットは、セキュリティ対策と管理業務負担の軽減の両立を図れることでしょう。具体的には、従来のユーザー名+パスワード(passwordのみの認証よりも強固な認証を行えるうえ、多様なネットワーク機器の認証を一元化できるため、各機器のアカウント設定が不要になることが挙げられます。また、RADIUSは認証情報だけでなく、使用状況やデータ量などのユーザー情報(ログ)を収集できセキュリティの強化につなげられ、データベースとしても活用できるのがポイントの1つといえるでしょう。

拡張性が高い

RADIUSサーバーは認証方式が拡張されており、組織の規模や求められるセキュリティ性に応じたものを採用しやすいのが特長です。例えば、初期の認証方式は単純にIDとパスワードを暗号化してRADIUSクライアントからRADIUSサーバーに送って認証処理を行う「PAP」、もしくはチャレンジ応答方式を採用した「CHAP」の2種類のみでした。その後、EAP-TLSEAP-PEAPEAP-TTLSEAP-FASTEAP-SIMなどに拡張されています。

多様なデバイスにサポートされている

RADIUSサーバーは標準化されたプロトコル(通信規約)であり、多様なネットワークデバイスに対する高い互換性を有します。例えば、前述したEAP各種はダイナミックLANや無線LANWi-Fi)環境を構築するルーターVPNサーバー、無線LANアクセスポイントなどの機器に利用されています。代表的なOSであるWindowsやMACも問われません。さらにそのなかでも「EAP-SIM」は、携帯通信キャリアの無線LANサービスの認証に用いられており、SIM内にあらかじめ書き込まれている情報を認証に使用する仕組みになっています。

RADIUSサーバーのデメリット

導入や管理に知識が必要

RADIUSサーバーの設定や運用には専門知識が求められます。適切なトレーニングを積んだ人材であれば、スムーズな導入・運用が可能ですが情報システムの部署や人材がいない企業は、外部の専門業者に導入や運用支援を受けるのが一般的です。

コストがかかる

RADIUSサーバーを導入する際には初期費用が必要であり、導入後も利用料などのランニングコストが発生します。ユーザー数が少ない小規模な組織の場合、費用対効果が低い可能性もあるので業務内容や組織体制などを考慮して導入サービスを検討する必要があるでしょう。

RADIUSサーバー導入時の注意点

RADIUSサーバーは定期的にメンテナンスを実施して、常に高いセキュリティを保つ必要があります。ネットワークアクセスの認証情報を集約して行うという性質上、担当者のリテラシー教育も含めた管理体制のセキュリティ確保は必要不可欠といえるでしょう。

RADIUSサーバーの活躍が期待される場所

RADIUSサーバーは多種多様な団体や企業で活用されています。ここではRADIUS認証を行うサーバーのメリットを活用しやすい4つのシーンを紹介します。

企業

RADIUSサーバーを導入することで、ネットワーク環境のセキュリティとユーザー(社員)の利便性向上が図れます。部署やデバイスを横断した管理はもちろん、リモートワークやテレワーク環境であっても社内ネットワークに安全にアクセスができるため、DXBCP(事業継続計画)の実現にも有効な方法の1つです。さらに社員の認証とアクセス制御を一元化して管理を効率化も図れるうえ、社員の接続管理や使用状況の記録も可能であるため、特に規模の大きな企業においては事業活動そのものに対して複合的な改善効果が期待できます。

自治体

個人情報を多く扱う区市町村や遠隔団体において、RADIUSサーバーを用いたセキュリティ強化は不正アクセス・情報漏洩の防止に大きなメリットとなるでしょう。また、自治体職員がRADIUSサーバーを利用することでリモート環境でも自治体のネットワークにアクセスできるようになれば、災害発生時にも迅速かつ支障を少なく業務を継続しやすくなります。

教育機関

生徒や生徒の家庭に関わる個人情報保護の強化として、RADIUSサーバーの導入は効果が期待できます。特にGIGAスクール構想の影響もあり、学内における無線LANの整備や生徒がデジタル端末を「一人一台」所有する環境が増えつつある昨今、生徒や教職員ごとに認証を行うことでセキュリティを強化しつつ、一元管理体制も構築できるRADIUSサーバーは有用性が高いと考えられます。

製造現場

作業員やオペレーターの入れ替わりが多い製造現場にとって、ユーザーの追加、削除を簡単に管理できるRADIUSサーバーは、セキュリティ確保の面でも魅力的だといえるでしょう。さらにRADIUSサーバーはユーザーごとの接続時間やデータ量なども記録できるので、作業時間や生産性の分析にも活用できます。

RADIUSサーバーの導入はクラウドサービスがおすすめ

RADIUSサーバーについて解説しました。RADIUSに関わるサービスは非常に豊富であるため、まずは自社の環境を分析したうえで、適したサービスを活用することが高い費用対効果を実現する大切なポイントといえるでしょう。

例えば、フルノシステムズが提供するクラウドRADIUS認証サービス「UNIFAS × Soliton OneGate」は20225月に文部科学省が改訂した情報セキュリティポリシーガイドラインの「ネットワーク分離を必要としない認証によるアクセス制御」、「個々のID管理運用の環境設備」、「多要素認証」、「認証の効率化」に対応した無線LANをより簡単に、よりセキュアに利用するためのクラウドRADIUS認証サービスです。

本製品は複数サービスの一元管理やデジタル証明書を利用した認証で、RADIUS認証のメリットである業務効率化とセキュリティ強化を図れるほか、1ユーザー100円から始められる料金設定、さらに業務用無線LANアクセスポイントであるACERAにも適用可能です。教育機関をはじめ、自治体、オフィス、建築現場などで導入されているので、RADIUSサーバーの導入を検討している際は、ぜひお問い合わせください。

業務用Wi-Fiを導入するならフルノシステムズ

shiryo-1.png