【ITニュース解説】RADIUS is 30+ Years Old: Why Are We Still Building the Future on It?

RADIUSとは、Remote Authentication Dial-In User Serviceの略で、ネットワークへのアクセスを認証、許可、記録するためのプロトコルだ。1991年に誕生し、インターネットサービスプロバイダ(ISP)や企業がユーザー認証を一元管理するために開発された。当時は画期的な技術であり、ダイヤルアップ接続にも対応できる軽量さから、ネットワーク認証の標準として広く普及した。

しかし、30年以上が経過した現在でもRADIUSが利用され続けている状況は、現代のネットワーク環境とのミスマッチを生じさせている。RADIUSは、Authentication（認証）、Authorization（許可）、Accounting（アカウンティング）という3つの要素をまとめて管理するAAAの概念を具現化したものだが、その設計は現代の複雑なネットワーク要件を十分に満たしているとは言えない。

RADIUSの主な問題点はいくつか存在する。まず、RADIUSはデフォルトでUDP（User Datagram Protocol）を使用する。UDPは高速だが、信頼性に欠け、データの偽装が容易であるという脆弱性がある。次に、RADIUSは初期設計段階で現代の高度な暗号化技術を想定していなかったため、セキュリティ面で課題がある。さらに、クラウドネイティブ、ハイブリッド環境、多様なデバイスに対応するために、EAP（Extensible Authentication Protocol）やRadSec（RADIUS over TLS）といった拡張機能が追加されてきたが、これらは場当たり的な対応であり、プロトコル全体を複雑化させている。ベンダー固有の属性も、RADIUSの標準化を阻害し、各環境が独自仕様となる原因となっている。

これらの拡張は、RADIUSを「フランケンシュタイン」のような状態にしており、最新のネットワーク環境での利用には無理が生じている。例えば、企業Wi-Fiに802.1Xで接続する際、依然として30年以上前の技術に依存しているのが現状だ。これは、最新のスマートシティをCOBOLで記述されたメインフレーム上で構築するようなものと言える。

では、現代的なAAAシステムはどうあるべきだろうか。もしゼロから設計するなら、以下のような要件を満たす必要がある。まず、クラウドネイティブであること。分散型で、高い可用性を備えている必要がある。次に、OIDC（OpenID Connect）、SAML（Security Assertion Markup Language）、FIDO2といった現代的なID標準をネイティブにサポートすること。そして、セキュリティがデフォルトで組み込まれていること。すべての通信でTLS（Transport Layer Security）を使用し、相互認証を必須とすべきだ。デバイスの状態やリスクスコアリングをリアルタイムに処理できることも重要だ。さらに、拡張が容易であり、場当たり的な拡張に頼らない設計が必要となる。つまり、RADIUSではない新しいアーキテクチャが求められている。

RADIUSが未だに使われ続けているのは、インフラの根強さを示している。一度「十分に使える」状態になると、人々は置き換えではなく、パッチを当て続ける傾向がある。しかし、セキュリティエンジニアやアーキテクトは自問すべきだ。過去の技術にパッチを当て続けるのか、それともクラウド時代に生まれた認証システムを設計するのか。この問いに対する答えが、今後のネットワークセキュリティの方向性を決定づけるだろう。