無線LANメーカーが説明しない認証方式の「不都合な真実」を解明!
多店舗(多拠点)ビジネスの無線LANに「プライベートPSK」が最適である理由
2023年11月9日
販売店や営業所、学習塾など、多店舗(多拠点)ビジネスでの無線LAN選び。従来の、いわゆる「業界の常識」では、
PSK認証:全クライアントで共通パスワードを利用するシンプルな認証方式
あるいは
RADIUS認証:認証サーバ×IEEE802.1Xによる高度な認証方式
のどちらかを選ぶのが、一般的です。
しかし、実はPSK認証にも、RADIUS認証にも、それぞれ懸念点があります。
では、どうすればよいのか?というと、今後の時流に合った必要最低限なセキュリティレベルを再考して、運用管理やコスト負担も低く抑えられる、 シンプルな認証方式を選ぶという視点が、重要です。
そこで今回ご提案するのが、まだあまり知られていない「プライベートPSK(PPSK)」という認証方式です。
このブログでは、以下の順番で、無線LANの認証方式にまつわる「メーカーが説明しない不都合な真実」を、包み隠さず解き明かします。その上で、なぜPPSK認証が多店舗(多拠点)ビジネスに最適なのか?をご説明します。
貴社にとって最適な無線LAN選びに、ぜひお役立てください。
1. 多店舗(多拠点)ビジネスで提案される一般的な2つの認証方式
まずは、一般的な2つの認証方式について整理してみましょう。
- SSIDごとに、8 ~ 63文字の「共通パスワード」を全クライアントで利用する、もっともシンプルな認証方式です。
- ユーザID&パスワード、MACアドレス、デジタル証明書などを用いた、高度な認証方式です。
- RADIUSサーバの設置が必要です。
- 一般的に、以下のEAP(Extensible Authentication Protocol)の認証方式をサポートします。
EAP-TLS、EAP-TTLS / MSCHAPv2、PEAPv0 / EAP-MSCHAPv2、PEAPv1 / EAP-GTC、EAP-SIM、 EAP-AKA、 EAP-FASTLEAP
- MACアドレスを登録し、クライアントのMACアドレスで認証します。“このMACアドレス”を認証。
- ユーザを登録し、ユーザID+パスワードで認証します。“このユーザ”を認証。
- ユーザ証明書を発行しユーザ証明書で認証します。
- ユーザ証明書はクライアントにもRADIUSサーバにも設定が必要です。“このクライアント”を認証。
2. 「 PSK認証」に潜む懸念点
- PSK認証はSSIDごとに8 ~ 63文字の「共通パスワード」を全クライアントで利用するため、万一そのパスワードが外部に漏れると、不正に無線LANにアクセスできてしまい、セキュアではありません。
- 仮にパスワードを変更する場合、APの設定変更に加えて、全拠点、全クライアントのパスワードを設定し直す必要があり、運用負荷が高くなります(そのため多くのPSK認証ではパスワードが長期間変更されず、そのまま使用されて危険な状態となっています)。
- また SSIDごとに利用するネットワーク(VLAN)を1つしか設定できないため、複数のシステムや複数種類のクライアントがあり用途に応じてネットワーク(VLAN)を分ける場合は、ネットワーク(VLAN)ごとに異なるSSIDを設定する必要があります。この点でも運用負荷が高くなります。
- 実は、1つのAPに設定するSSIDの数が増えると、同時に多数のSSIDを利用するための「ビーコン送信処理」が増えてしまい、どんな高性能な機種でも、APのパフォーマンスが急激に低下します(大手メーカーの技術情報にも「SSIDは3つまでを推奨」などと書かれています)。
- Web会議や動画などのリッチコンテンツを多人数で利用する業種では、特に注意が必要です。
やはり予算を確保してもらってRADIUS認証にすべきですかね?
3. 「RADIUS(IEEE802.1X)認証」に潜む懸念点
- 設計や運用、証明書管理、PKI(公開鍵暗号基盤)の構築に、深い知識と技術、勉強時間が必要。
専任に近い管理者を任命・採用する必要があります。 - 全店舗(全拠点)からRADIUSサーバを利用するための高可用性ネットワーク(回線や経路の二重化)が必要です。
- RADIUSサーバやライセンスの購入や保守契約などのコストが発生。RADIUSサーバの認証トラブルや不具合が発生した際の切り分け、提供会社との調整が重荷となります。
- 店舗数(拠点数)や端末数の増加、特定時間帯の認証処理の集中により、当初導入していたRADIUSサーバ性能ではパフォーマンス不足が起きる時期が到来する可能性があり、RADIUSサーバ自体を上位機種に買い替える必要がでてきます。これが想定外の出費を招きます。
- クライアントが数百~数千台あり、店舗(拠点)での入れ替えが多発する場合、全台数について精緻な管理業務を、無線LANの認証にまで適用する必要があります。
何を選べばいいか、分からなくなってきました・・・
4. 「プライベートPSK」という第三の選択肢
前述の通り、これまでは「PSK認証」か「RADIUS認証」か、の二択でしたが、第三の選択肢があります。
それが、Extreme Networks社(以下 Extreme社)が提供する、「プライベートPSK(以下、PPSK)」という認証方式です。
- PPSKは、Extreme社の独自機能です。クラウドライセンスに標準装備されている認証機能です。
- 「PSK認証」の手軽さと「RADIUS認証」のセキュアさを兼ね備えた、画期的な認証方式です。
- サーバ導入は不要。各AP 上の機能だけで、RADIUS(正確には802.1X でのPEAP)認証とほぼ同等レベルの、セキュアな認証を実現できます。
- 1つのSSIDに、最大9,999個のパスワードを設定可能。
- SSIDごとに、1つのPPSKで同時認証できるクライアントの数を1 ~ 15個または無制限に設定可能です。
- 認証時に、利用者の端末をあらかじめ割り当てられたユーザプロファイル(VLAN・Firewall設定・QoS設定など)に振り分け可能です。
例えば・・・部署やグループ、または端末のOSごとなどで、自動的に利用するVLANに振り分け、それ以外のクライアン トは接続できなくする、といった使い方が可能です。
「PSK認証では不安だが、高額で管理に手間のかかるRADIUS認証サーバを設置したくない」 とお考えの多店舗(多拠点)ビジネスのお客様に最適な認証方式です。
~管理者とユーザの利用イメージ
それでは、PPSKではどのような利用イメージになるのか、管理者とユーザ側の視点から、見ていきましょう。
設定・更新・管理は、すべてクラウドダッシュボードから一括で行えます。
「ExtremeCloud™ IQ(以下XIQ)」にログイン
- SSIDなどの無線LAN設定情報、ユーザプロファイルを作成・登録。
- ユーザグループ(PPSK:ユーザ名+パスワードリスト)を作成・登録。
※CSVでのインポート / エクスポートも可能。
「無線LAN設定情報+ユーザプロファイル+ユーザグループ」を全APに展開
- 一度設定情報をAPに展開すれば、各APはその情報をずっと保持し続けます。
- PPSKの追加・変更・削除があればXIQで変更、全APを更新・同期します。
店舗内のAPだけで認証処理が完結。どこにも認証サーバを置く必要がありません。
Suzuki SayakaさんというPPSKを割当てられたユーザが、店舗のAPに初めて接続する場合の例です。
Suzukiさんは、SSID選択画面から、利用したいSSIDを選択。
自分に割り当てられたPPSKを入力し、ログインを要求します。
AP内にあるローカルDBでSuzukiさんのパスワードを検索、AP内でPPSKの一致を確認します。
一致すると、Suzukiさんのクライアントが認証され、割り当てられたユーザプロファイルをアサイン。Suzukiさんは無線LANの安全な利用が可能となります。
実際に、SuzukiさんがSSID TEMPO-WLANに接続するため
SuzukiさんのPPSK:83613257でログインする時の流れ
