中嶋悟
名前:中嶋 悟(なかじま さとる) ニックネーム:サトルン 年齢:28歳 性別:男性 職業:会社員(IT系メーカー・マーケティング部門) 通勤場所:東京都千代田区・本社オフィス 通勤時間:片道約45分(電車+徒歩) 居住地:東京都杉並区・阿佐ヶ谷の1LDKマンション 出身地:神奈川県横浜市 身長:175cm 血液型:A型 誕生日:1997年5月12日 趣味:比較記事を書くこと、カメラ散歩、ガジェット収集、カフェ巡り、映画鑑賞(特に洋画)、料理(最近はスパイスカレー作りにハマり中) 性格:分析好き・好奇心旺盛・マイペース・几帳面だけど時々おおざっぱ・物事をとことん調べたくなるタイプ 1日(平日)のタイムスケジュール 6:30 起床。まずはコーヒーを淹れながらニュースとSNSチェック 7:00 朝食(自作のオートミールorトースト)、ブログの下書きや記事ネタ整理 8:00 出勤準備 8:30 電車で通勤(この間にポッドキャストやオーディオブックでインプット) 9:15 出社。午前は資料作成やメール返信 12:00 ランチはオフィス近くの定食屋かカフェ 13:00 午後は会議やマーケティング企画立案、データ分析 18:00 退社 19:00 帰宅途中にスーパー寄って買い物 19:30 夕食&YouTubeやNetflixでリラックスタイム 21:00 ブログ執筆や写真編集、次の記事の構成作成 23:00 読書(比較記事のネタ探しも兼ねる) 23:45 就寝準備 24:00 就寝
EAPとRADIUSの基本と役割
EAP は Extensible Authentication Protocol の略であり、ネットワークに接続する端末がどのように身份を証明するかを決める「枠組み」です。
この枠組み自体は具体的な認証方法を決めません。代わりに複数の内側の認証方法を包み込み、同じやり取りの流れを作る基本です。
一方で RADIUS はネットワーク機器と認証サーバーの間で認証情報をやり取りするための“運ぶプロトコル”です。基本は UDP で通信され、クレデンシャルや利用者の属性などを一方向にやり取りします。
つまり EAP は「何を認証するか」という枠組み、RADIUS は「認証情報をどう伝えるか」という運び方を決めるものです。
この二つは別の役割をもちつつ、実際の運用では組み合わせて使われることが多く、802.1X としての認証フローの中心にもなります。
次に、なぜこの違いが大切なのかを具体的に見ていきましょう。
たとえば wifi の企業利用では、EAP の内側にいくつかの認証方法が選べ、EAP-TLS や PEAP、EAP-TTLS などの方式が登場します。これらはどうやってユーザーの証明を行うかを定義しますが、実際にその証明情報をやり取りして受け渡す役割を担うのが RADIUS です。RADIUS は認証サーバーとネットワーク機器の間の橋渡しをします。つまり、「どう認証するか」は EAP が決め、「認証情報の伝える方法」は RADIUS が決めるのです。RADIUS には UDP をベースにした伝送特性、時にはセキュリティを高めるための RadSec(RADIUS over TLS) などの外部的な拡張もあります。
このような組み合わせを理解すると、なぜ WPA2-Enterprise の設定で「EAP の種類」と「RADIUS サーバの設定」が別々に必要なのかが分かりやすくなります。
実際の認証フローを比較して理解する
ここでは初心者にも分かりやすいよう、認証の流れを簡単な場面に置き換えて説明します。まず端末がネットワークに接続すると、相手はアクセスポイントを通じて EAPOL という小さな認証データを送ります。ここでの EAPOL は「この端末は認証を試みています」という合図です。アクセスポイントはこの情報を受け取り、RADIUS サーバへ「Access Request」という形で渡します。RADIUS 側はその情報を EAP の内側の方法に沿って検証します。たとえば EAP-TLS なら端末の証明書とサーバ証明書を照合します。認証が成功すれば RADIUS は Access Accept を返し、端末はネットワークへのアクセスを得ます。失敗すれば Access Reject となります。ここで重要なのは、実際の「誰が認証を受けるか」という部分は EAP が担い、「その認証情報をどのように伝えるか」という通信手段が RADIUS で支えています。
実務ではこの流れを監視するためにログを取り、場合によっては再チャレンジが発生します。例えば内側の認証方法が PEAP や EAP-TLS のように選択可能であっても、RADIUS の設定次第で「内側の方法は何か」だけでなく「どのタイミングで挑戦を繰り返すか」も決まります。
以下の表は EAP と RADIUS の役割を視覚的に整理したものです。
この表を見れば、EAP が「どう認証するか」という設計を担い、RADIUS が「その認証情報をどう伝えるか」という通信の道具だと分かりやすくなります。
覚えておくべきポイントは以下のとおりです。
ポイント1 EAP は認証方法の選択肢を増やす枠組み、ポイント2 RADIUS は認証情報を運ぶ伝送路、ポイント3 実際の運用では両者を組み合わせて使うことが一般的である、という点です。
友達とカフェで雑談するように話しましょう。私が EAP のことを「認証の地図」、RADIUS を「郵便屋さん」と表現すると、友達はすぐにピンときます。EAP は認証の方法をいっぱい持つ枠組みで、例えば EAP-TLS や PEAP などの名前を覚えるだけで十分。ところがその地図を実際に動かして道順を届けるのが RADIUS です。郵便屋さんが安全に書類を渡してくれれば、地図の内容がどんな手続きかを端末が理解できる。つまり EAP は“どう認証するか”の設計図、RADIUS は“その設計図を現実に動かす配送システム”なのです。
ITの人気記事
