IEEE 802.1X(アイ・トリプル・イー・ハチ・マル・ニ・テン・イチ・エックス)とは | 意味や読み方など丁寧でわかりやすい用語解説

IEEE 802.1Xは、有線LANや無線LANにおいて、ネットワークへの接続を許可する前にユーザーやデバイスを認証するための標準規格である。ポートベースのネットワークアクセス制御（PNAC）とも呼ばれ、ネットワークの入り口で不正な接続を未然に防ぎ、セキュリティを強化することを主な目的とする。具体的には、PCやスマートフォンなどのデバイスがLANケーブルをスイッチに接続したり、無線LANのアクセスポイントに接続しようとしたりした際に、そのデバイスが正規のものであるかを確認する仕組みを提供する。認証が成功したデバイスのみに通信を許可し、認証に失敗したデバイスや未認証のデバイスからのアクセスは完全に遮断する。これにより、許可されていない私物端末の接続や、悪意のある第三者によるネットワークへの侵入を防ぐことが可能となる。この認証の仕組みは、3つの主要な構成要素によって成り立っている。

詳細を解説する。IEEE 802.1X認証システムは、「サプリカント」「オーセンティケータ」「認証サーバ」という3つの役割を持つコンポーネントで構成される。サプリカントは、ネットワークへの接続を要求するクライアントデバイスそのものを指す。例えば、企業のネットワークに接続しようとする従業員のノートPCやスマートフォンがこれにあたる。サプリカントは、認証に必要な情報（ユーザーIDとパスワード、デジタル証明書など）を提示する役割を担う。次にオーセンティケータは、サプリカントと社内ネットワークとの間に位置する中継機器であり、物理的な接続点を提供する。有線LANの場合はLANスイッチ、無線LANの場合は無線LANアクセスポイントがこの役割を果たす。オーセンティケータは、サプリカントから受け取った認証情報を自ら検証するのではなく、後述する認証サーバへと転送する役割を持つ。認証が完了するまでの間、オーセンティケータはサプリカントの通信を認証用の通信のみに制限し、通常のデータ通信をブロックする。最後に認証サーバは、ユーザーアカウント情報やデバイス情報といった認証情報を一元管理するデータベースを持ち、認証の可否を最終的に判断するサーバである。一般的にはRADIUS（Remote Authentication Dial In User Service）サーバがこの役割を担うことが多い。

認証プロセスは以下の流れで進行する。まず、サプリカントがオーセンティケータ（スイッチやアクセスポイント）に接続を試みると、オーセンティケータはサプリカントに対して認証情報を要求する。サプリカントは要求に応じて、IDやパスワード、証明書などの認証情報をオーセンティケータに送信する。オーセンティケータは、その認証情報を認証サーバへ転送する。認証サーバは、受け取った情報と自身が保持するデータベースを照合し、正当性を検証する。検証の結果、正当なユーザーまたはデバイスであると判断されれば「認証成功」、そうでなければ「認証失敗」の結果をオーセンティケータに返す。オーセンティケータは、認証サーバから受け取った結果に基づいてアクセス制御を行う。認証成功の通知を受け取った場合、オーセンティケータはサプリカントが接続しているポートを開放し、通常のネットワーク通信を許可する。一方、認証失敗の通知を受け取った場合や、応答がない場合は、ポートを閉じたままにし、ネットワークへのアクセスを拒否する。

IEEE 802.1Xは認証の枠組みを定めた規格であり、実際にどのような方法で認証情報をやり取りするかについては、EAP（Extensible Authentication Protocol）というプロトコルが利用される。EAPには様々な種類が存在し、IDとパスワードを用いるEAP-PEAPや、より強固なセキュリティを持つデジタル証明書を用いるEAP-TLSなど、セキュリティポリシーに応じて柔軟な認証方式を選択できるのが特徴である。IEEE 802.1Xは、このEAPメッセージをLAN上で安全に送受信するための仕組み（EAP over LAN、通称EAPOL）を定義している。また、認証に成功したユーザーやデバイスが所属する部署などに応じて、動的に特定のVLAN（Virtual LAN）に割り当てる機能と連携させることも可能である。これにより、例えば営業部の社員は営業部門のネットワークセグメントに、経理部の社員は経理部門のセグメントに自動的に接続させるといった、よりきめ細かなアクセスコントロールが実現できる。このように、IEEE 802.1Xは現代の企業ネットワークにおいて、端末の多様化に対応しつつ、高度なセキュリティを確保するために不可欠な技術となっている。