PEAP(Protected Extensible Authentication Protocol)とは 仕組みとEAP-TTLS

PEAP(Protected Extensible Authentication Protocol)とは、WiFiネットワークのセキュリティを強化するために使用されるセキュリティプロトコルです。具体的にPEAPは、EAP(拡張認証プロトコル)の速度とトランスポート層セキュリティ(TLS)トンネルを組み合わせたものです。PEAPにより、クライアントとサーバー間の通信全体をTLSトンネル内で保護します。

本社が保持するデータに接続するコンピューターを、組織内の何人のユーザーが使用していますか?

従業員の一部、場合によっては全員が、オフィスの外で作業する可能性があるのではないでしょうか。実際に、スタンフォード大学は、コロナ禍でテレワークが「ニューノーマル」になり、42%以上の従業員がリモートからログオンするようになっていると報告しています。そして、オフィスで勤務できる状況に戻ったとしても、おそらくノートPCとスマートフォンを使って仕事をするようになるでしょう。

従業員がオフィス内外問わず、WiFiによる接続を提供する場合は、重大なセキュリティリスクを抱える可能性があります。

この問題に対処するため、PEAP(Protected Extensible Authentication Protocol)が作成されました。

PEAPとは? PEAPの概要

長年にわたり、プログラマーはワイヤレス接続の管理にEAP(Extensible Authentication Protocol、拡張認証プロトコル)と呼ばれるものを使用してきました。PEAPは、このテクノロジーの一種であり、セキュリティ保護が強化されています。

従来のEAPでは、システムは接続のために公開鍵システムを使用します。そして、ユーザーが認証情報(ユーザー名/パスワードの入力など)を証明できる場合、サーバーはトランザクションを完了するための公開鍵を渡し、ユーザーは暗号鍵を使用してそれを復号化します。

しかし残念ながら、パスワードの入力と鍵のやりとりは、EAP内の保護されていない領域で発生する可能性があります。そのため、システムにハッキングの大きなリスクが残ります。

PEAPは、EAPの速度とTLS(Transport Layer Security)トンネルを組み合わせます。クライアントとサーバー間の通信全体は、このTLSトンネル内で保護されます。PEAPは、特定の手法を記述するものではありません。代わりに、複数のEAPメカニズムの連結が必要とされます。

PEAPの仕組み

PEAPの背後にあるコーディングとテクノロジーの仕組みは複雑です。Microsoftでさえ、小規模オフィスで働く平均的なユーザーは、このようなPEAPの複雑なセキュリティ機能・仕組みを詳細に理解する必要はないと述べています。

しかし、このPEAPの仕組みを確認することは、二者間で移動するデータをPEAPがどのように保護するのかを理解する上で役立ちます。

サーバーに接続してアクセスを取得することは認証と呼ばれ、通常はいくつかの手順を伴います。PEAPプロトコルには2つのフェーズが含まれます。

  1. フェーズ1:ユーザーのデバイスに接続されるオーセンティケーターがEAP要求/アイデンティティメッセージを送信します。クライアントは、真のアイデンティティまたは匿名化されたバージョンを使用して返信できるので、窃取は困難です。

    2つのデバイス間でハンドシェイクが開始されます。本質的に、この段階では2つのシステムが基本的なチャレンジを処理しますが、さらに多くの処理を実行する必要があります。

  2. フェーズ2:EAPサーバーが別のメッセージを送信し、ユーザーの真のアイデンティティを要求します。二者は接続を強化し、チャネルが開きます。

    ここでは、より深い接続が形成され、システムは鍵を交換します。このステップは、TLSトンネルの保護の下でプロセスがかなり進んだ段階で実行されるため、破ったり改ざんしたりするのが非常に困難です。

認証に関連するすべての手順の詳細な説明については、図を参照してください。舞台裏で起こるすべての処理がユーザーに認識されることはありません。

また、処理に要する時間も最小限に抑えられます。適切なプログラミングにより、2つのシステムがチャットして接続し、ユーザーがアクセスを取得するまで数秒しかかかりません。

フェーズ2のプログラミング

PEAPプロトコルを使用すると、認証を2つのフェーズで実行します。フェーズ1からフェーズ2にジャンプするには、二次的なツールが必要です。

以下のようなオプションを利用できます。

  • EAP-MSCHAPv2:これはPEAPv0にバンドルされ、今日使用されているPEAPの最も一般的な形式の1つです。Microsoft製品に標準で付属し、認証のフェーズ2の2番目のハンドシェイクの詳細を処理します。
  • EAP-GTC:この製品はPEAPv1にバンドルされ、Microsoft環境外の製品で動作します。実装にはコーディングのノウハウが必要であるため(EAP-MSCHAPv2では不要です)、使用されることはほとんどありません。

一見複雑にみえてしまいますが、PEAPには明らかなメリットがあります。

PEAPの手法をいずれかのヘルパーと併せて使用することで、サーバーにアクセスする権利があることを証明できます。認証情報はシステム内に保存されるため、この証明が必要とされるのは一度だけです。組織で働いている間、パスワードを更新(または記憶)する必要は二度とありません。これによって計り知れない時間を節約できます。

PEAPとEAP-TTLS

前述したように、PEAPはTLSを使用してメッセージを安全に維持し、保護します。しかし、TLSを使用するシステムは他にもあり、ネットワーク管理者は複数のオプションから選択できます。

たとえば、一部の企業はPEAPを使用する代わりに、EAP-TTLSと呼ばれるものを使用しています。このEAP-TTLSの製品は、PEAPによく似たトンネルを介して証明書ベースの認証を提供します。しかし、これは独自のプロトコルであり、PEAPのようにMicrosoft製品にはバンドルされません。

研究者が指摘するとおり、Microsoftはコンピューターの同義語とも言える存在になっています。ほとんどの個人や企業が、Microsoft製品を使用してビジネスを行っています。PEAPではなくEAP-TTLSを選択した場合は、接続する必要があるすべてのコンピューターにEAP-TLSをインストールしなければならず、そのために多くの時間を費やすことになります。

Oktaをデータ保護に役立てる

WiFiによって、接続を簡素化できます。範囲内のユーザーは、正しい資格情報を知っているだけで接続できます。

しかし、WiFiにはセキュリティリスクが伴います。そのようなリスクを見つけることは、必ずしも容易ではありません。このような場合に役立つのがOktaです。

Oktaは、セキュリティを危険にさらすセットアップとパッチの不備をチェックするための支援を提供します。

参考文献

Stanford Research Provides a Snapshot of a New Working-From-Home Economy(2020年6月、Stanford University) 

802.1X Overview and EAP Types(2020年10月、Intel) 

1.3 Overview(2020年10月、Microsoft) 

Microsoft's Windows Still Synonymous With Computer(2020年3月、Statista)