PEAP（EAP-PEAP）とは？ 仕組みとEAP-TTLSとの違い

PEAPとは、トランスポート層を暗号化通信で使用されるSSL/TLSを使い、暗号化し経路上での情報漏洩を防ぎ、ログイン情報などを安全にやり取りするためのセキュリティ技術です。

これまで、多くのプログラマーの方はワイヤレス接続の管理の際にはEAP（Extensible Authentication Protocol）と呼ばれる技術を使用して、在宅ワークなど様々な場所から組織の情報にアクセスしていました。

しかし、近年のサイバー攻撃などの技術の巧妙化により、社外などからWiFiを用いて接続するのには、重大なセキュリティリスクを伴うとされ問題視されています。

そこでPEAPでは、EAPの通信速度とTLS（Transport Layer Security）トンネルを組み合わせることで、これまでのEAPによる通信速度を継続しながらTLSトンネルによりクライアントとサーバー間の通信全体をトンネル内で保護しています。

EAPとは

EAP（拡張認証プロトコル）は、複数の認証方式をサポートすることを目的とするプロトコルです。
EAPでは、WiFiを使用しているクライアントと認証サーバー間の構造を指定しますが、認証データの内容までは指定しません。データの内容は、使用するEAP方式に依存します。

以下は、一般的によく使われているEAP方式です。

• MD5-challenge
• ワンタイムパスワード
• 汎用トークンカード
• Transport Layer Security（TLS）

EAPは、PPPを拡張して認証する機能を追加したプロトコルですが、EAP自体にセキュリティ性能はありません。というのもEAPは、接続のために公開鍵システムを使用しています。ユーザーはログインIDやパスワードといった認証情報を証明し、認証された場合サーバーは公開鍵を渡し、ユーザーは暗号鍵を使用してデータを復号化します。

またEAPの設定はは、デフォルトではオフになっていますが、ユーザーレベルで設定できます。
設定方法としては、ローカルデータベースやLDAP内のユーザーのエントリーに値を設定することで使用することができます。

TLSとは

TLSとは、インターネットなどのネットワーク内でデータを暗号化して、情報を送受信するプロトコルのことで、SSLのセキュリティの脆弱性を改良した後継規格です。データを送受信するデバイス間で通信の暗号化を行い、中継装置などのネットワーク上に存在するほかのデバイスによるなりすましや、傍受、改ざん等を防ぐことができます。

TLSは会社などの組織だけではなく、ウェブサイトなどを閲覧する一般的な人にもセキュリティ性を高める為に非常に重要な技術です。例えば、インターネットを通してショッピングをした際に、TLSが導入されていない場合、クレジットカードの情報が盗まれたり、フィッシング犯罪に遭うかもしれません。

TLSを導入していれば、通信を暗号化してデータの送受信を行っている為、データの傍受などを未然に防ぎ、安全に接続することができます。

PEAPを構成しているコーディングやテクノロジーの仕組みは非常に複雑だといえます。PEAPの背後にある複雑なセキュリティの内容や仕組みについては、小規模なオフィスや組織で働く方には必要のない知識かもしれません。

しかし、PEAPの背後にあるテクノロジーの仕組みを理解することで、クライアントとサーバー間で移動するデータがどのようにして保護されているのか理解を深めることができ、結果としてデータを守るうえで役に立つといえます。

上述しましたがPEAPは、クライアントとサーバー間で相互認証を行いデータの送受信をするプロトコルで、サーバー側は認証証明書を発行し、クライアントはログインIDとパスワードによる認証が行われます。
クライアントがサーバーに接続し、アクセスすることを認証と呼びますが、大抵のプロトコルでは複数の手順を経てこの認証を得ます。PEAPプロトコルの場合は、2つのフェーズを経て認証を取得することができます。

フェーズ１

まずフェーズ1では、ユーザーが使用しているデバイスに接続しているオーセンティケーターと呼ばれる認証を行う装置が、サーバーに対してEAP要求を行ったり、アイデンティティメッセージを送信します。

この時、データの要求を行っているユーザーは真のアイデンティティまたは匿名化されたバージョンを使用している為、セキュリティは非常に高く担保されているので、情報やデータが漏洩してしまう可能性はきわめて低いです。

その後、2つのデバイス間でハンドシェイク（2点間の通信路を確立し、本格的な通信を開始する前にパラメータなどの取り決めを自動的に行う事。）が開始されます。

本質的には、このフェーズ1ではそれぞれのデバイスが基本的なチャレンジ処理を実行しますが、より多くの処理を行う必要があります。

フェーズ２

フェーズ2では、EAPサーバーが先ほどのフェーズ１で送信したメッセージとは別のメッセージを送信し、データの要求を行っているユーザーの真のアイデンティティを要求します。この認証が得られると、双方での接続は強化され、チャネルを開くことができます。

ここでは、通常よりも深い接続が実行され、システムでは鍵の交換が行われます。

このフェーズでは、TLSの非常に強固なトンネルの保護下で処理が実行されており、更にかなり手順が進んだ段階でこのような処理が実行されるため、この段階でのデータを盗まれたり、改ざんすることは非常に困難であるといえます。

上述してきたようにPEAPは、TLSを活用することでデータや機密性の高い情報も安全に保護します。一方で、TLSを活用したシステムはPEAP以外にも幾つかあり、組織の管理者はそれらからも検討することができます。

例えば、PEAPを導入する代わりに、EAP-TTLSを導入するというケースも散見されます。このEAP-TTLSという製品は、PEAPの仕組みと非常に類似しており、トンネルを介して証明書を発行することで認証を行います。しかしこれは、PEAPとは異なり独自のプロトコルで行われます。

マイクロソフト製品はグローバルスタンダードで、多くの製品がビジネスの場で使用されています。そのマイクロソフト製品であるPEAPであれば、ほかのマイクロソフト製品との接続が非常に容易であるため、いちいち使用しているデバイスにインストールする必要がなく、効率よく導入が可能です。

まとめ

本コラムでは、PEAPについてその仕組みやEAP-TTLSとの違いについて解説してきました。上述してきたようにPEAPは、EAPの通信速度とTLS（Transport Layer Security）トンネルを組み合わせることで、これまでのEAPによる通信速度を継続しながらTLSトンネルによりクライアントとサーバー間の通信全体をトンネル内で保護しています。

近年多くの企業で多様な働き方が検討されており、リモートワークなどは今後更に普及していくことが予想されます。そのような場面で、高いセキュリティ性を担保するためにはPEAPを導入することは非常に有意義であると考えられます。ぜひ導入を検討してみてはいかがでしょうか。