WPA2/3 enterpriseでセキュリティが向上する理由:WiFi・無線LANのセキュリティ

2023-01-10

普段家庭で使っているWiFi(無線LAN)も当然セキュリティの設定をしていると思いますが、ほとんどの場合はSSIDとパスワード(パスフレーズ)だけで使えるWPA2/3パーソナルを使っていると思います。

そんな無線LANのセキュリティですが、アクセスポイントによってはWPA2/3エンタープライズを設定することもできます。

WPA2/3パーソナルよりもエンタープライズの方がセキュリティは向上するのは知っていましたが、理由については何となく「認証が必要だから」くらいの認識でした。

今回、自宅のネットワークをWPA2エンタープライズにしてみたいと思ったので、改めてセキュリティが向上する理由を調べました。

*WPAにはWPA, WPA2, WPA3がありますが、以降はWPA2/3として表現しています。

WPA2/3 Enterprise

IT用語辞典e-wordsでは以下のように説明されています。

WPA2エンタープライズとは、Wi-Fiのセキュリティ規格「WPA2」に用意されたモードの一つで、企業など比較的規模の大きいネットワークで利用するための仕様。利用者ごとに登録されたIDとパスワードにより認証を行う。

WPA2エンタープライズ【WPA2 Enterprise】

Rytrで作られた説明(多少修正しています)も同様です。

WiFi Protected Access(WPA/2/3)は、無線LANを保護するために現在使用されている最も一般的なプロトコルで、主に一般家庭や小規模事業者向けのWPA2/3 Personalと、大規模事業者むけのWPA2/3 Enterpriseを選択できます。
ユーザー全員が単一のパスフレーズで接続するWPA2/3 Personalと違い、WPA2/3 Enterpriseでは802.1Xなどの高度な認証方法もサポートされているため、より安全なユーザー認証とデータの暗号化が可能になります。

認証方法の違い

WPA2/3パーソナルではSSIDとパスフレーズのみが認証情報として使われるため、個別のユーザー認証はありません。

また、クライアントからの視点についても、接続しているアクセスポイントはSSIDのみで識別していいます。

WPA2/3エンタープライズではIEEE 802.1Xによるユーザー認証が可能になるため、ID・パスワードもユーザー個別のものが使用され不正アクセスに対して堅牢になる上、ユーザーによって接続するVLANを指定することで接続と同時にネットワークのセグメンテーションも可能になります。

また、使用する認証プロトコルによってID・パスワードだけでなくクライアント証明書も使用できるため、より確実なアクセス制限も可能です(MACアドレス制限では偽装も可能なため)。

加えて、クライアントでは接続アクセスポイントの正規性を、認証サーバーのサーバー証明書で検証することが可能になります。

デメリット

ユーザー認証が必要になるためRadiusサーバーなどの認証サーバーの構築・設定が必要になります。

もちろん、構築だけでなく運用も必要になりますが、特にクライアント証明書を使用する場合は各クライアント証明書を「安全に」導入する事も必要になります。

UniFi Dream Routerでは設定無く簡易Radiusサーバー(EAP-PEAP)が利用できます。

後、複数人で共有している端末を使う場合はクライアント証明書が使用できない場合もあります。その場合はID・パスワードを使った認証になりますが、自動再接続ができなくなるため利便性は悪くなります。

セキュリティ的なまとめ

WPA2/3エンタープライズはユーザー認証に加えてサーバー証明書で接続先の検証が可能になるため、不正アクセス対策だけでなく、なりすましアクセスポイントへの対策もできる事が大きな利点だと思っています。

もちろん、表示される画面を何も気にしなければ一緒ですが…。

とは言え、実際のところ家庭で使う無線LANではなりすましアクセスポイントを気にする必要は少ないと思います(屋外⇒屋内よりも、屋内の電波が一番強いと思うため)。

やはりオフィスユースで、広い範囲に渡って無線LANを使用する場合や、機密性の高い情報を取り扱う場合はセキュリティ面のメリットが大きくなると思いました。

結論

セキュリティ面のメリットやユーザー別のVLAN設定は魅力でしたが、結局、家の無線LAN環境はWPA2/3パーソナルで運用しています。

家庭と言うこともあり、PCを子どもと共有しているので自動再接続ができないと不便なことと、何よりもAndroid 12までのEAP-PEAP設定が不便だったため導入を諦めました。

さすがに、ちょっと試してみたいだけでOpen SSLサーバーとFree Radiusサーバーを立てるのは…。

Android 13では証明書を「初回接続時に信頼する」の選択ができるようになったので、家族のスマホがAndroid 13になるまでWPA2/3エンタープライズは保留にしています。