EAP

EAPは『Extensible Authentication Protocol（拡張可能認証プロトコル）』の略で、有線LAN・無線LAN・リモートアクセスVPNなどで利用される汎用的な認証フレームワークです。特定の認証方式に縛られず、証明書・トークン・パスワード・SIMカード・生体情報など多様な方式を『EAPメソッド』として差し替えられる柔軟性が特徴で、IEEE 802.1X認証の中核として動作します。

代表的なEAPメソッドには、①EAP-TLS（クライアント証明書＋サーバー証明書の相互認証・最強レベル）、②PEAP（MS-CHAPv2などのパスワード認証をTLSで包む）、③EAP-TTLS（PEAPに似るがより柔軟）、④EAP-FAST（Ciscoが提唱・TLS+トンネル）、⑤EAP-SIM/AKA（携帯通信事業者のSIM認証）、⑥EAP-MSCHAPv2（主にWindows環境）、⑦EAP-PWD（パスワードベース）などがあります。企業Wi-Fiや大学の学内ネットワーク（eduroam含む）では、多くの場合PEAPまたはEAP-TLSが採用されています。

導入の流れは、①RADIUSサーバー（FreeRADIUS等）を用意、②ユーザーデータベース（LDAP・Active Directory）と連携、③クライアント配布用の証明書プロファイルまたは認証情報を配布、④アクセスポイント側のセキュリティ設定をWPA2/3-Enterpriseに変更、⑤クライアント端末でEAPメソッドを指定して接続、となります。EAP-TLSはクライアント証明書発行の運用コストは高いものの、パスワード漏えいリスクから解放される長期的メリットが大きいです。

一般ユーザーが意識する場面は、『企業Wi-Fi』『大学Wi-Fi』『公共機関Wi-Fi』に接続するときで、『EAP方式』『フェーズ2認証』『CA証明書』『ユーザー名/パスワード』を設定する画面に遭遇します。証明書ピン留めを怠ると偽アクセスポイントに認証情報を渡してしまう恐れがあるため、CA証明書は必ず指定する運用が推奨されます。