PEAP(ピーラップ)とは | 意味や読み方など丁寧でわかりやすい用語解説

PEAP（Protected Extensible Authentication Protocol）は、無線LANや有線LANなどのネットワーク環境において、ユーザーやデバイスの認証を安全に行うためのプロトコルである。IEEE 802.1X認証フレームワーク内で利用されるEAP（Extensible Authentication Protocol）の一種であり、認証情報を暗号化されたトンネルで保護しながら交換する点が特徴だ。主に企業の無線LANや、大学などの教育機関でBYOD（Bring Your Own Device）デバイスのネットワーク接続認証などに広く採用されている。

PEAPは、EAPという汎用的な認証プロトコルの拡張形式の一つとして位置づけられる。EAPは、特定の認証方式に限定されず、さまざまな認証メカニズムをプラグインのように組み込めるように設計されたプロトコルであり、その柔軟性から多くの認証プロトコルがEAPの内部で動作する。PEAPは、このEAPの特性を活かし、安全な通信路を確立した上で、その中で実際のユーザー認証を行うという二段階のプロセスを採用している。具体的には、まずクライアント（PCやスマートフォンなど）と認証サーバ（通常はRADIUSサーバ）との間にTLS（Transport Layer Security）による暗号化されたトンネルを確立する。このトンネルは、盗聴や改ざんから認証情報を保護する役割を担う。一度この安全なトンネルが確立されると、そのトンネル内で、ユーザー名とパスワードなどを用いた具体的な認証処理（内側認証と呼ぶ）が行われる。この二段階の認証構造により、認証情報の機密性が大幅に向上し、中間者攻撃や認証情報の盗聴といった脅威からネットワーク接続を保護できるのだ。

PEAPの詳細な動作を理解するには、まずPEAPが利用される背景にあるIEEE 802.1X認証の仕組みとEAPについて掘り下げる必要がある。IEEE 802.1Xは、ポートベースのネットワークアクセス制御の国際標準であり、主に有線・無線LAN環境におけるユーザーやデバイスの認証とアクセス許可を管理するために用いられる。802.1X認証は、サプリカント（認証を要求するクライアントデバイス）、認証器（ネットワークスイッチや無線LANアクセスポイント）、認証サーバ（通常はRADIUSサーバ）という3つの主要な要素で構成される。サプリカントがネットワークに接続しようとすると、認証器はネットワークへのアクセスを一時的に制限し、認証サーバと連携してサプリカントの認証を行う。この認証プロセスで用いられるのがEAPである。EAPは、認証器と認証サーバの間で認証メッセージを中継し、サプリカントと認証サーバ間で認証方式をネゴシエートし、認証情報をやり取りするためのフレームワークを提供する。

PEAPは、EAPの多くの種類の中でも特に広く使われる方式の一つである。PEAPの動作は、大きく分けて以下の2つのフェーズで進行する。

第一フェーズ：TLSトンネルの確立 このフェーズでは、クライアントと認証サーバ間でTLSハンドシェイクが行われ、暗号化された通信路（トンネル）が確立される。

1. クライアントが認証要求を送信する。
2. 認証サーバは、自身のサーバ証明書をクライアントに提示する。このサーバ証明書は、認証サーバが信頼できる正規のサーバであることを証明するためのものだ。
3. クライアントは受け取ったサーバ証明書を検証する。この検証が成功すると、クライアントは認証サーバが本物であると信頼し、暗号化された通信を開始するための鍵交換が行われる。このサーバ証明書の検証がPEAPのセキュリティにおいて非常に重要だ。もしクライアントが信頼できないサーバ証明書を受け入れた場合、悪意のあるサーバが偽装されている可能性があり、中間者攻撃のリスクが生じる。通常、クライアントは事前に信頼された認証局（CA）のルート証明書をインストールしておき、そのCAによって署名されたサーバ証明書のみを信頼する。 このフェーズでは、通常クライアントは自身の証明書を提示する必要はない。これがPEAPがEAP-TLS（クライアント証明書も必須とするEAP方式）と比較して、導入が容易であるとされる理由の一つだ。

第二フェーズ：内側認証（Inner Authentication） TLSトンネルが確立された後、そのセキュアなトンネル内で実際のユーザー認証が行われる。

1. クライアントは、安全なTLSトンネルを通じて、ユーザー名とパスワードなどの認証情報を認証サーバに送信する。この認証情報は、TLSによって暗号化されているため、ネットワーク上を盗聴されても傍受される心配はない。
2. 認証サーバは、受け取った認証情報を検証する。この内側認証で最も一般的に利用されるプロトコルはMS-CHAPv2（Microsoft Challenge-Handshake Authentication Protocol, version 2）である。MS-CHAPv2は、チャレンジ・レスポンス方式に基づいており、パスワードそのものをネットワーク上に流すことなく認証を完了できるため、さらにセキュリティを高める。
3. 認証サーバが認証に成功すると、ネットワークアクセスを許可するメッセージをクライアントに返し、クライアントはネットワークへの接続が許可される。

PEAPの大きなメリットは、その高いセキュリティと導入の容易さにある。TLSトンネルによって認証情報が保護されるため、無線LANなどのオープンな環境でも安全にユーザー認証を行える。また、クライアント証明書の事前配布や管理が不要であるため、大規模な組織での導入や、ユーザーが所有する多様なデバイス（BYOD）に対応する際の運用負荷を大幅に軽減できる。ユーザーは既存のユーザー名とパスワードさえあれば認証が可能であり、管理者側はRADIUSサーバにサーバ証明書を設定するだけで済む場合が多い。

PEAPにはいくつかのバリアントが存在するが、最も一般的なのはPEAPv0（またはPEAP-MSCHAPv2）と呼ばれるもので、内側認証にMS-CHAPv2を使用する。これは事実上の業界標準となっており、Windows、macOS、Linux、iOS、Androidなど、主要なオペレーティングシステムやデバイスで広くサポートされている。

しかし、PEAPを導入する際にはいくつかの注意点もある。最も重要なのは、クライアントが認証サーバの証明書を正しく検証するように設定することだ。もしクライアントがサーバ証明書の検証をスキップするように設定されている場合、悪意のあるアクセスポイントが正規の認証サーバになりすまし、ユーザーの認証情報を盗み取るといった中間者攻撃（Man-in-the-Middle attack）のリスクが発生する。そのため、クライアントデバイスには、認証サーバの証明書を発行した信頼された認証局のルート証明書を確実にインストールし、サーバ証明書の検証を有効に設定することが強く推奨される。これにより、ユーザーは安全なネットワークにのみ接続できることを保証できる。

PEAPは、その安全性と利便性から、今日の多くの企業や教育機関のネットワーク認証基盤として重要な役割を果たしている。EAPという柔軟なフレームワークの中で、TLSによる暗号化トンネルと組み合わせることで、ユーザーの利便性を損なうことなく、高いレベルのネットワークセキュリティを実現しているのだ。