こんなにあるの？セキュリティ要件に応じて適切な認証方式を選ぼう！認証プロトコルEAP

こんにちは！前回記事からの続きです。

前回は、EAPが認証方式を決める手順についてお話ししました。技術的にちょっと難しいので詳しく踏み込めなかった（言い訳？）のですが、サプリカント（PCなど）がEAPOLフレームを使ってオーセンティケータ（アクセスポイントなど）と「交渉」をするのでしたね。

さて、今回は、サプリカントとオーセンティケータの交渉で決定されるEAPの認証方式にはどんなものがあるか具体的に見ることにしましょう。

前から触れていますが、いっぱいあります。ベンダー独自のものをありますから、すべてを知ることはできません（多分）。しかし、教本に登場するような代表的なものだけでも知ることにしませんか？

その上で、後日、個別の方式についていくつか掘り下げたいと思います。

では、行ってみましょう！

これがEAPのバリエーションだ

では、さっそくEAPのバリエーションを並べてみました！

全部覚える必要はないし、意味もありません。そんなものか、と知るにとどめましょう。それぞれの方式を比較するとき、「サーバ認証」「クライアント認証」「ユーザ認証」など、何を対象に認証しているのか？に注目すると、違いが分かりやすいと思います。

１．EAP-TLS (Transport Layer Security)

デジタル証明書を使って、クライアントとサーバを相互認証することに最大の特徴があります。ただ、クライアント証明書の管理やコストが課題になります。情報処理技術者試験で問われるのは、このEAP-TLSが多いようです。なぜかしら？

２．EAP-TTLS (Tunneled Transport Layer Security)

サーバはデジタル証明書を使って認証しますが、クライアント認証は行いません。サプリカントは、IDとパスワードを使ってユーザ認証します。EAP-TLSに比べて、容易に実装できます。

３．PEAP (Protected EAP)

サーバはデジタル証明書を使って認証しますが、クライアント認証は行いません。サプリカントは、IDとパスワードを使ってユーザ認証します。なんだか、何を証明するかについては、EAP-TTLSと似てますね。実際には違う点がいろいろあるようですが…。そりゃそうか。

４．EAP-FAST (Flexible Authentication via Secure Tunneling)

Ciscoが開発した方式です。サーバ証明書を使わず無認証で導入することも選べます。シスコ製品を使わないなら、選択肢に入らない方式です。

５．EAP-MD5

EAP上で行う、「CHAP」みたいなものです。ハッシュ関数として、MD5を使用します。シンプルな認証方式ですが、セキュリティが低いとみなされます。なお、MD5は、十分な安全性を確保できなくなったハッシュ関数です。現在新たに導入することはないでしょう。

はい、本日はここまで。本当は、もっと認証方式があるのですが、これくらいにしておきましょう。きりがありません。

次回は、EAP-TLSについて掘り下げていきましょう！

では！