RADIUS(ラディウス)とは | 意味や読み方など丁寧でわかりやすい用語解説

RADIUS (Remote Authentication Dial-In User Service) は、ネットワークへのアクセスを管理するための標準プロトコルである。ユーザーがネットワークに接続しようとするとき、そのユーザーが「誰であるか」を認証し、「何ができるか」を認可し、そして「何をしたか」を記録する、という一連の処理を提供する。これらの処理はそれぞれAuthentication（認証）、Authorization（認可）、Accounting（アカウンティング）と呼ばれ、頭文字をとって「AAA」と呼ばれることもある。RADIUSは、企業や組織において、無線LAN（Wi-Fi）、仮想プライベートネットワーク（VPN）、有線LANなど、様々なネットワーク環境でのユーザー認証を一元的に行うために広く利用されている。これにより、ネットワーク管理者は、ユーザーのアクセス権限を効率的に管理し、セキュリティを向上させることができる。システムエンジニアを目指す上では、ネットワークセキュリティの基盤技術の一つとしてRADIUSの理解は非常に重要である。

RADIUSプロトコルは、前述のAAAの概念に基づき、ネットワークへのアクセス要求を処理する。

まず、Authentication（認証）は、ユーザーが本人であることを確認するプロセスである。例えば、ユーザー名とパスワードの組み合わせが正しいか、デジタル証明書が有効かなどを検証する。これにより、不正なユーザーがネットワークに侵入することを防ぐ。RADIUSサーバーは、ネットワーク機器から送られてきたユーザーの認証情報を、自身の持つユーザーデータベースや連携する外部のディレクトリサービス（LDAPなど）と照合し、本人かどうかを判断する。認証に成功した場合、次の認可のプロセスへ進む。

次に、Authorization（認可）は、認証されたユーザーに対して、どのリソースへのアクセスを許可し、どのような操作を許可するかを決定するプロセスである。例えば、特定のユーザーは社内ネットワークの特定のセグメントにのみアクセスできる、あるいは接続時間や利用帯域に制限がある、といった具体的なアクセス権限を付与する。RADIUSサーバーは、認証されたユーザーのIDに基づいて、事前に定義されたポリシーやグループ設定を参照し、適切なアクセス権限をネットワーク機器に通知する。これにより、ユーザーごとに異なるきめ細やかなアクセス制御を実現し、セキュリティポリシーの適用を徹底できる。

最後に、Accounting（アカウンティング）は、ユーザーがネットワークに接続している間の活動を記録するプロセスである。具体的には、接続の開始時刻と終了時刻、利用したデータ量、セッションの継続時間などが記録される。これらの記録は、利用状況の監視、不正利用の調査、課金情報の生成、将来的なネットワークプランニングのためのデータ収集など、多岐にわたる目的で活用される。アカウンティング情報は、セッションの途中で定期的に、またはセッションの終了時に最終情報がRADIUSサーバーへ送信され、ログとして保存される。

RADIUSが実際にどのように動作するかを見てみよう。RADIUSシステムには主に三つの役割が登場する。一つ目は、ネットワークにアクセスしようとするユーザーやデバイスである「サプリカント（クライアント）」である。これはPCやスマートフォンなどが該当する。二つ目は、サプリカントからの接続要求を受け取り、RADIUSサーバーに認証を問い合わせるネットワーク機器「NAS (Network Access Server)」である。無線LANアクセスポイントやVPNゲートウェイなどがこれにあたる。三つ目は、認証・認可・アカウンティングのすべての処理を行う「RADIUSサーバー」である。

動作の流れは以下の通りである。まず、サプリカントがNASに対し、ネットワークへの接続を要求する。NASはこの要求を受け取ると、ユーザー名やパスワードといった認証情報を抽出する。次に、NASはこれらの認証情報をRADIUSサーバーへ「Access-Request」というメッセージで送信する。この通信はUDPプロトコルを使用して行われ、NASとRADIUSサーバー間は「共有シークレット」と呼ばれる秘密の鍵を使って暗号化または署名されることで、通信の盗聴や改ざんから保護される。

RADIUSサーバーはAccess-Requestを受け取ると、サプリカントが提供した認証情報を自身のデータベースと照合して認証処理を行う。認証に成功した場合、RADIUSサーバーはユーザーに付与すべき認可情報を決定し、「Access-Accept」というメッセージをNASに返信する。このメッセージには、アクセスを許可することと、そのユーザーが利用できる具体的なサービスや権限（例えば、特定のIPアドレス範囲、帯域制限、接続時間など）が含まれる。認証に失敗した場合は、「Access-Reject」メッセージが返信され、NASはサプリカントの接続を拒否する。

NASはRADIUSサーバーからの応答に基づいて、サプリカントの接続を許可するか拒否するかを決定し、実行する。接続が許可された場合、NASはユーザーのセッション開始情報をRADIUSサーバーに送信し、アカウンティングを開始する。セッション中に利用状況の更新情報が定期的に、またはセッション終了時に最終情報がRADIUSサーバーに送信され、アカウンティング情報として記録される。

RADIUSの最大の利点は、複数のネットワーク機器からの認証要求を単一のRADIUSサーバーで集中管理できる点にある。これにより、ユーザーが増加しても管理負荷を抑え、一貫したセキュリティポリシーを適用しやすくなる。また、異なるベンダーのネットワーク機器間でもRADIUSプロトコルを通じて相互運用が可能であるため、柔軟なシステム構築が可能となる。

しかし、RADIUSにはいくつか注意点もある。UDPプロトコルを使用するため、TCPのような再送制御や信頼性はプロトコルレベルでは提供されない。そのため、RADIUSサーバーがダウンすると、ネットワークアクセスが全くできなくなる可能性があるため、冗長化の設計が重要となる。また、RADIUSの通信自体は共有シークレットで保護されるが、認証情報が平文で送られる場合もあるため、EAPなどのよりセキュアな認証方式と組み合わせて利用することが推奨される。システムエンジニアとしては、これらの特性を理解し、適切な設計と運用を行うことが求められる。