WPA Enterprise

WPA Enterpriseは、企業や大学など組織向けに設計されたWi-Fi認証方式で、WPA2/WPA3の『Enterprise』モードに該当します。家庭向けの『Personal（PSK）』モードが全員同じ事前共有鍵を使うのに対し、Enterpriseではユーザー個別のIDとパスワード（または証明書）で認証し、RADIUSサーバーが認証可否を判定します。これにより、①誰が・いつ接続したかのログ取得、②退職・卒業時のアカウント単独停止、③ユーザーごとのVLAN割当、④鍵使い回し問題の解消、という4つの運用メリットが生まれます。

内部的には『IEEE 802.1X認証』『EAP』『RADIUS』『証明書基盤』が連動する仕組みで、アクセスポイント自体は認証判断をせず、RADIUSサーバーへ問い合わせて可否を受け取る『サプリカント〜オーセンティケータ〜RADIUSサーバー』の3要素モデルで動作します。認証方式にはEAP-TLS（証明書相互認証）やPEAP（パスワード＋サーバー証明書）がよく使われます。

導入には、①RADIUSサーバー構築（FreeRADIUS・Microsoft NPS・クラウドRADIUS等）、②LDAP/Active Directory連携、③クライアント設定プロファイル配布（MDM連携で自動化が理想）、④証明書基盤（ADCS等）との統合、⑤アクセスポイントのEnterpriseモード設定、⑥ログ監査体制、が必要です。PSKと比べて初期コストは高いものの、従業員数100人以上の組織では費用対効果で逆転しやすくなります。

セキュリティ上の注意点として、①CA証明書をクライアントに正しく信頼させる、②偽RADIUS対策に証明書検証を必須化、③パスワードベースのEAP方式では強いパスワードポリシー適用、④WPA3-Enterpriseの192bit Suite対応も併せて検討、などがあります。公共Wi-FiのOpenネットワークや家庭用PSKとは段違いの安全性を提供しつつ、運用次第でさらに強化できるのがEnterpriseモードの魅力です。