導入しやすく、安全性も良好！バランスの良さが魅力の認証方式「PEAP」

前回記事からの続きです。

前回は、EAPによる認証方式の筆頭格、EAP-TLSについてご紹介しました。サーバとクライアントで相互認証を行うことで、高いセキュリティを確保するのでした。他方、導入し運用するのに、高い技術力、そして予算が必要でした。

EAP-TLSの簡単な概念図

続いて今回は、EAP-TLSと並ぶ代表的な認証方式PEAPについてご紹介します。こちらもEAP-TLSと同様、情報処理技術者試験のためにも知っておきたい方式です。EAP-TLSやEAP-TTLSとの違いをぜひ知りたい！

では早速いってみよう！

暗号化された経路で「ユーザ認証」

PEAP（Protected EAP）は、サーバはデジタル証明書を使って認証しますが、クライアント認証は行いません。サプリカントは、IDとパスワードを使ってユーザ認証します。

超簡単な絵にしてみましょう！

見てのとおり、認証サーバは「サーバ証明書」を準備しておく必要がありますが、サプリカント（PC）は、デジタル証明書がいりません。他方、暗号化した経路を通じて、IDとパスワードを使って「ユーザ認証」を行います。

そうです。端末（クライアント）の認証を行っているのではなく、「ユーザの認証」を行っていることに注意したいところです。認証の対象がそもそも、EAP-TLSと異なります。

クライアント証明書の配布や管理がいらないのは、ネットワーク担当者にとっては助かりますね。

導入しやすさが特長

では、PEAPの良い点を整理しましょう。

1. 強化されたセキュリティ: 暗号化されたチャンネルを使用するため、中間者攻撃によって認証情報が第三者に盗まれるリスクが低くなります。ふむ、これは基本か。

2. 比較的に簡単なセットアップ: 導入が比較的には容易です。「比較的に」ですよ。EAP-TLSと違ってクライアント証明書がいらないですからね。また、クライアントのOSが標準で対応しています。EAP-TTLSは、追加のソフト導入が必要なのに比べると助かりますね。

クライアントのOSが標準で対応しているということに補足が必要です。

実は、PEAPの中にはさらにバリエーションがあり、マイクロソフト社の「MS-PEAP」（PEAPv0、EAP-MSCHAPv2とも）、シスコ社の「Cisco-PEAP」（PEAPv1、EAP-GTCとも）などが代表選手です。

教本などで、「追加のソフトが要りません」といっているのは、「MS-PEAP」のことを暗に指していると思われます。新しいMac OSでも標準で対応しています。

セキュリティと導入のしやすさの両立

短所も確認しますか。

1. 限定された認証方式: PEAPはEAP-TTLSよりも限られた認証方式のみをサポートするようです。詳しく分かりません。勉強します。

2. サーバ証明書の管理: サーバ証明書の管理が必要です。これは長所の裏返しですけれども。

う～ん、目立った短所というのもあまりないですね。

印象としては、他の方式と比べて導入のしやすさと、セキュリティのバランスがよいですね。

実際のところ、EAPのなかでもPEAPは幅広く導入されている認証方式です。

はい、本日はここまで！今回は、EAPの認証方式の代表格PEAPについてご紹介しました。セキュリティ的な強さでは、EAP-TLSが筆頭になるのですが、バランスの良さで実際に人気なのはPEAPの方です。

次回は、3番手の規格？EAP-TTLSをご紹介します

では！