無線LANメーカーが説明しない認証方式の「不都合な真実」を解明!
多店舗(多拠点)ビジネスの無線LANに「プライベートPSK」が最適である理由
2023年11月9日
販売店や営業所、学習塾など、多店舗(多拠点)ビジネスでの無線LAN選び。従来の、いわゆる「業界の常識」では、
PSK認証:全クライアントで共通パスワードを利用するシンプルな認証方式
あるいは
RADIUS認証:認証サーバ×IEEE802.1Xによる高度な認証方式
のどちらかを選ぶのが、一般的です。
しかし、実はPSK認証にも、RADIUS認証にも、それぞれ懸念点があります。
では、どうすればよいのか?というと、今後の時流に合った必要最低限なセキュリティレベルを再考して、運用管理やコスト負担も低く抑えられる、 シンプルな認証方式を選ぶという視点が、重要です。
そこで今回ご提案するのが、まだあまり知られていない「プライベートPSK(PPSK)」という認証方式です。
このブログでは、以下の順番で、無線LANの認証方式にまつわる「メーカーが説明しない不都合な真実」を、包み隠さず解き明かします。その上で、なぜPPSK認証が多店舗(多拠点)ビジネスに最適なのか?をご説明します。
貴社にとって最適な無線LAN選びに、ぜひお役立てください。
1. 多店舗(多拠点)ビジネスで提案される一般的な2つの認証方式
まずは、一般的な2つの認証方式について整理してみましょう。
- SSIDごとに、8 ~ 63文字の「共通パスワード」を全クライアントで利用する、もっともシンプルな認証方式です。
- ユーザID&パスワード、MACアドレス、デジタル証明書などを用いた、高度な認証方式です。
- RADIUSサーバの設置が必要です。
- 一般的に、以下のEAP(Extensible Authentication Protocol)の認証方式をサポートします。
EAP-TLS、EAP-TTLS / MSCHAPv2、PEAPv0 / EAP-MSCHAPv2、PEAPv1 / EAP-GTC、EAP-SIM、 EAP-AKA、 EAP-FASTLEAP
- MACアドレスを登録し、クライアントのMACアドレスで認証します。“このMACアドレス”を認証。
- ユーザを登録し、ユーザID+パスワードで認証します。“このユーザ”を認証。
- ユーザ証明書を発行しユーザ証明書で認証します。
- ユーザ証明書はクライアントにもRADIUSサーバにも設定が必要です。“このクライアント”を認証。
2. 「 PSK認証」に潜む懸念点
- PSK認証はSSIDごとに8 ~ 63文字の「共通パスワード」を全クライアントで利用するため、万一そのパスワードが外部に漏れると、不正に無線LANにアクセスできてしまい、セキュアではありません。
- 仮にパスワードを変更する場合、APの設定変更に加えて、全拠点、全クライアントのパスワードを設定し直す必要があり、運用負荷が高くなります(そのため多くのPSK認証ではパスワードが長期間変更されず、そのまま使用されて危険な状態となっています)。
- また SSIDごとに利用するネットワーク(VLAN)を1つしか設定できないため、複数のシステムや複数種類のクライアントがあり用途に応じてネットワーク(VLAN)を分ける場合は、ネットワーク(VLAN)ごとに異なるSSIDを設定する必要があります。この点でも運用負荷が高くなります。
- 実は、1つのAPに設定するSSIDの数が増えると、同時に多数のSSIDを利用するための「ビーコン送信処理」が増えてしまい、どんな高性能な機種でも、APのパフォーマンスが急激に低下します(大手メーカーの技術情報にも「SSIDは3つまでを推奨」などと書かれています)。
- Web会議や動画などのリッチコンテンツを多人数で利用する業種では、特に注意が必要です。
やはり予算を確保してもらってRADIUS認証にすべきですかね?
3. 「RADIUS(IEEE802.1X)認証」に潜む懸念点
- 設計や運用、証明書管理、PKI(公開鍵暗号基盤)の構築に、深い知識と技術、勉強時間が必要。
専任に近い管理者を任命・採用する必要があります。 - 全店舗(全拠点)からRADIUSサーバを利用するための高可用性ネットワーク(回線や経路の二重化)が必要です。
- RADIUSサーバやライセンスの購入や保守契約などのコストが発生。RADIUSサーバの認証トラブルや不具合が発生した際の切り分け、提供会社との調整が重荷となります。
- 店舗数(拠点数)や端末数の増加、特定時間帯の認証処理の集中により、当初導入していたRADIUSサーバ性能ではパフォーマンス不足が起きる時期が到来する可能性があり、RADIUSサーバ自体を上位機種に買い替える必要がでてきます。これが想定外の出費を招きます。
- クライアントが数百~数千台あり、店舗(拠点)での入れ替えが多発する場合、全台数について精緻な管理業務を、無線LANの認証にまで適用する必要があります。
何を選べばいいか、分からなくなってきました・・・
4. 「プライベートPSK」という第三の選択肢
前述の通り、これまでは「PSK認証」か「RADIUS認証」か、の二択でしたが、第三の選択肢があります。
それが、Extreme Networks社(以下 Extreme社)が提供する、「プライベートPSK(以下、PPSK)」という認証方式です。
- PPSKは、Extreme社の独自機能です。クラウドライセンスに標準装備されている認証機能です。
- 「PSK認証」の手軽さと「RADIUS認証」のセキュアさを兼ね備えた、画期的な認証方式です。
- サーバ導入は不要。各AP 上の機能だけで、RADIUS(正確には802.1X でのPEAP)認証とほぼ同等レベルの、セキュアな認証を実現できます。
- 1つのSSIDに、最大9,999個のパスワードを設定可能。
- SSIDごとに、1つのPPSKで同時認証できるクライアントの数を1 ~ 15個または無制限に設定可能です。
- 認証時に、利用者の端末をあらかじめ割り当てられたユーザプロファイル(VLAN・Firewall設定・QoS設定など)に振り分け可能です。
例えば・・・部署やグループ、または端末のOSごとなどで、自動的に利用するVLANに振り分け、それ以外のクライアン トは接続できなくする、といった使い方が可能です。
「PSK認証では不安だが、高額で管理に手間のかかるRADIUS認証サーバを設置したくない」 とお考えの多店舗(多拠点)ビジネスのお客様に最適な認証方式です。
~管理者とユーザの利用イメージ
それでは、PPSKではどのような利用イメージになるのか、管理者とユーザ側の視点から、見ていきましょう。
設定・更新・管理は、すべてクラウドダッシュボードから一括で行えます。
「ExtremeCloud™ IQ(以下XIQ)」にログイン
- SSIDなどの無線LAN設定情報、ユーザプロファイルを作成・登録。
- ユーザグループ(PPSK:ユーザ名+パスワードリスト)を作成・登録。
※CSVでのインポート / エクスポートも可能。
「無線LAN設定情報+ユーザプロファイル+ユーザグループ」を全APに展開
- 一度設定情報をAPに展開すれば、各APはその情報をずっと保持し続けます。
- PPSKの追加・変更・削除があればXIQで変更、全APを更新・同期します。
店舗内のAPだけで認証処理が完結。どこにも認証サーバを置く必要がありません。
Suzuki SayakaさんというPPSKを割当てられたユーザが、店舗のAPに初めて接続する場合の例です。
Suzukiさんは、SSID選択画面から、利用したいSSIDを選択。
自分に割り当てられたPPSKを入力し、ログインを要求します。
AP内にあるローカルDBでSuzukiさんのパスワードを検索、AP内でPPSKの一致を確認します。
一致すると、Suzukiさんのクライアントが認証され、割り当てられたユーザプロファイルをアサイン。Suzukiさんは無線LANの安全な利用が可能となります。
実際に、SuzukiさんがSSID TEMPO-WLANに接続するため
SuzukiさんのPPSK:83613257でログインする時の流れ
5. PPSKなら、セキュリティ向上とコスト低減の両立が可能!
それではここからは、多店舗(多拠点)ビジネスにおける具体的なニーズごとに、PPSKならどのように解決できるかを 見ていきましょう。
店舗数=設定情報数にはしたくない。
- 全店舗(全拠点)で共通のSSIDやVLAN番号などの設定情報を使うよう、ネットワークデザインを「標準化」します。
これにより、設定・管理の負荷を大きく削減できます。
- SSIDは、全店舗(全拠点)共通の1つだけにします。
- 併せてVLANも整理して、全店舗(全拠点)で同一のVLAN設計にします。
- その上で、VLANごとにユーザプロファイルを作成します。
こうすることで、全社的なSSID数を劇的に削減できます。
もっと楽に管理したい。
- PPSKはユーザごとではなく、各店舗(各拠点)ごとに1つだけ設定します。各店舗(各拠点)内では全クライアントが共通のPPSKを利用します。
- 管理者は全店舗(全拠点)分のPPSKを登録したユーザグループ(300店舗なら300PPSK)を作成し、全APに展開します。
これにより、ユーザグループの更新頻度を劇的に減らすことが可能です。
- 管理者は退職者の出た店舗(拠点)のPPSK 1個だけをユーザグループ上で更新、全APにそれを一括展開します。
当該店舗(拠点)のみ初回利用時にユーザ再認証が必要ですが、他店舗(他拠点)には影響がありません。
ここでポイントとなるのが、「全店舗(全拠点)で共通のSSID、VLAN番号などの基本設定情報を使うように、ネットワークデザインを「標準化」することです。まとめると、以下のようになります。
| これまでの設計方針 | 設計の観点 | PPSKを活用する設計方針 |
|---|---|---|
| 個別の設定ファイルが 店舗数分必要 |
設定ファイル | 全店舗共通の1つだけ |
| 店舗毎に統一性がなく、管理したいネットワーク(VLAN)の数だけSSIDを複数設定 | SSID | 全店舗共通の1つだけ |
| 店舗ごとに統一性のないVLAN番号 | VLAN | 全店舗共通・同一定義のVLAN番号 複数VLANを使用する際は1つのSSIDに複数VLANを利用可能な設定とする |
| 全店舗同じパスワード(PSK認証)または全クライアントの個別管理(802.1X認証) | 認証方式 | 店舗ごとに1つのPPSKを作成
|
6. PPSKならでは!パスワードに依存しないセキュリティ強化策
さらにPPSKは、認証時に条件判定してクライアントにダイナミックにユーザプロファイルを設定、接続できます。この機能を使うことで例えば、特定のOSのクライアントだけ認証し、それ以外のOSのクライアントは接続させない、といったことが基本機能の範囲で(もちろん認証サーバの設置もなく)実現できます。
| 条件判定の種類 | PPSKの条件判定の内容 |
|---|---|
| ユーザ グループ | PPSKが存在するユーザグループで判定(職種別、所属別、入学年度別など) |
| クライアントOSタイプ | PPSKを入力したクライアントのOSで判定 (Android,Blackberry,Chrome,iOS Device,macOS,Symbian,Windows, Windows Phone) DHCP Option55の値を基にしてより細かいOS判別のカスタマイズも可能 |
| クライアントロケーション | PPSKを入力したクライアントが接続するAPのロケーションで判定 |
| スケジュール | PPSKを入力したクライアントが接続する日付、期間、曜日、時間帯で判定 |
実は
他メーカーにも、「PPSK認証」と似たような機能が存在しますが、下記の観点で、
まったく違うものと考えられます。
| 観点 | 他社の類似機能(Sanko IB 調べ) | Extreme Networks 社のPPSK |
|---|---|---|
| コンセプト | RADIUSサーバの導入を前提として、RADIUSサーバで管理できないIoT機器やゲストユーザを補完する目的が色濃い仕組みと考えられます。 | RADIUSサーバの導入をしたくないユーザのために開発された仕組みです。 |
| 設定の手法 | MACアドレスの登録や別のクラウドID基盤との連携が必要なものもあります。 | MACアドレス管理や他システムとの連携とは一切関係なくクラウドから簡単に設定できます。 |
| システム構成 | 無線LANコントローラや専用のNACサーバの導入、別のクラウドID基盤の導入を前提とするものもありシステム構成が大掛かりになりがちです。 | サーバ類は不要でAPとクラウドライセンスの標準機能により利用可能です。 |
| メーカーの力の 入れ方 | 不明 | 戦略的差別化機能として積極的に提案しています。 |
APは通常の無線LANのデータ通信処理の合間に、SSIDごとに1秒間に10回、周りの端末にSSIDを知らせるための電波(ビーコン)を送信します。SSIDが多くなると、SSIDの数だけビーコンの処理が増えるため、APの負荷が高まり通信パフォーマンスが低下します。
7. PPSKならでは!店舗(拠点)からの問合せ対応も安心!
それでは最後に、PPSKならではの管理者側のメリットもご紹介します。
管理者用のクラウドダッシュボード「ExtremeCloud™ IQ(以下XIQ)」は、店舗(拠点)名など分かりやすい表記を使って、設定も管理も見やすくできます。従来のようにMACアドレスだけをたよりに当該のユーザのクライアントを探すしかない、というとても非効率な状況から脱却できるため、対応もスピーディに行えます。
ユーザ管理時の超便利機能
A. ユーザからの無線LANトラブルの申告があった場合、どうやってそのユーザが利用しているクライアントを確認しますか?
Q. プライベートPSKではそのユーザのクライアントを簡単に特定し、すぐに詳細を確認できます。当機能ならではの便利さです!!
もう面倒なMACアドレスの確認は不要です。
東京店舗から問合せがあり、そのPCの接続状況を表示するまでの操作
「ユーザー」の画面にプライベートPSKで認証されたユーザーの名前の一覧が表示されます。“Tokyo”をクリックします。
PCのアイコンにマウスを当てると、東京店舗のPCの概要情報が表示されるので、PCのホスト名”DESKTOP-GT9EPVO”をクリックします。
東京店舗のPC(DESKTOP-GT9EPVO)の接続状況が表示されます。
8. 結論+まとめ!
- 多店舗(多拠点)ビジネスではセキュリティと実務負荷のバランスが重要・・・PSK認証とRADIUS認証の2択では不十分!
- PEAP相当・サーバ不要のPPSKが、多店舗(多拠点)ビジネスの認証課題を一気に解決!
- PPSKはSSID数を極限に減らせるためリッチコンテンツ多用環境でもAPパフォーマンス発揮に大きく貢献!
- PPSKを主軸にした設計によりAP設定情報を全社で1つだけにできるため構築・管理を劇的にシンプル化!
- 認証時の条件設定機能を使えばクライアントOS限定など、さらなるセキュリティ強化が可能!
- 使いやすいクラウド管理画面で、運用時の店舗(拠点)からの問い合わせ対応負荷も劇的に削減!
- 802.11ax
- 5GHz:2 x 2 : 2
- 2.4GHz: 2 x 2 : 2
- 802.11ax
- 5GHz:2 x 2 : 2
- 2.4GHz: 2 x 2 : 2
ZeroWaitDFS・2つのLANポート
- 802.11ax
- 5GHz:4 x 4 : 4
- 2.4GHz: 2 x 2 : 2
- 802.11ax
- 5GHz:4 x 4 : 4
- 2.4GHz: 2 x 2 : 2
「不都合な真実」を解明!
いま、「最適」で「もっともお買い得」な無線LAN製品の選び方
9. おわりに
「シンプルなPSK認証か、サーバを導入してのRADIUS認証か」多店舗(多拠点)ビジネス向けの無線LAN選びでは、この2つの選択肢から選ぶことが、これまでの業界の常識でした。
メーカーやベンダーにとって、RADIUSサーバの導入を提案、採用してもらうことが彼らのビジネス戦略上、とても重要なのは今後も変わらないでしょう。
Extreme Networks社のプライベートPSK(PPSK)は、この常識を覆す、画期的なソリューションです。
PPSKは、PSK認証よりセキュアでありつつ、RADIUS認証よりも管理負荷、初期コスト、運用コストが削減できる上に、設定や管理も究極にシンプルです。
近年、無線LANの展開に際し、非常に多くのお客様から、「過剰な投資やオンプレミスのサーバ設置はしたくない」との声を多くいただいています。
さらに、「社内情報へのアクセス管理は無線LAN認証とは別に、より上位のレイヤーで実現したい」との声も、よく耳にします。
これらの点からも、PPSKによる認証は、多店舗(多拠点)ビジネスとの相性のよい、セキュリティとコストとのバランスがとれた、最適な提案と考えます。
この機会にぜひ、ご検討ください。
当ブログの記事をまとめたホワイトペーパーは、下記よりダウンロードいただけます。
