このガイドでは、 Kandjiで設定できるさまざまなタイプのネットワークについて説明します。ネットワークアクセス Library Itemsの設定手順については、 WiFi Library Item の構成 および Ethernet Library Itemの構成 のサポート記事を参照してください。
非エンタープライズ Wi-Fi 認証
Kandjiで Wi-Fi ネットワークを設定する場合は、認証の種類を選択する必要があります。エンタープライズ レベルの認証 (802.1X など) を必要としない環境には、それぞれに独自の長所と考慮事項を持ついくつかの確実なオプションがあります。
非エンタープライズ Wi-Fi 認証タイプ
オープンネットワーク ではパスワードは必要ありません。範囲内の誰でも接続できます。そのため、参加は簡単ですが、暗号化が行われていないため、ネットワーク経由で送信されるデータは保護されません。オープンネットワークは、公共のゲストWi-Fiや単純なテスト環境など、セキュリティが問題にならない状況に最適です。ほとんどのビジネスユースケースでは、より安全なものが必要になります。
WEP(Wired Equivalent Privacy) は、古いセキュリティプロトコルです。基本的な保護を提供するように設計されましたが、現在では安全性が低いと広く考えられています。WEPは、広く利用可能なツールですぐに解読できるため、他のものを使用できないレガシーデバイスがある場合を除き、お勧めしません。WEP を使用する必要がある場合は、そのネットワークを機密情報から分離してください。
WPA パーソナル は、ネットワーク アクセスに共有パスワード (事前共有キー) を使用します。WEPからのアップグレードとして導入されましたが、現在はWPA2とWPA3に大きく置き換えられています。WPA パーソナルは、新しいプロトコルを使用できない古いデバイスにのみお勧めします。使用する場合は、強力で一意のパスワードを選択し、できるだけ早くアップグレードする計画を立ててください。
WPA2 パーソナル は、エンタープライズ認証を使用しないほとんどの Wi-Fi ネットワークの現在の標準です。より強力な暗号化(AES)を使用し、広くサポートされています。ほとんどの中小規模の組織にとって、WPA2 Personal はセキュリティと使いやすさのバランスが取れています。パスワードは長くてランダムで、辞書に載っているようなものではないような強力なものであることを確認してください。
WPA3 パーソナル は、Wi-Fi セキュリティの最新の進化形です。誰かがオフラインでパスワードを推測しようとしても、解読がさらに困難になるように設計されています。また、後で誰かがあなたのパスワードを入手した場合でも、データの保護を強化します。WPA3は、デバイスやネットワーク機器がサポートしている場合に最適です。新しいハードウェアを展開する場合は、有効にする価値があります。
混合モード ネットワークでは、WPA2 と WPA3 の両方を同時に有効にできます。古いデバイスと新しいデバイスが混在していると便利です。ただし、WPA2のみをサポートするデバイスでもそのプロトコルを使用して接続するため、ネットワークの全体的なセキュリティは最も弱いリンクと同じくらい強力になることに注意してください。
非エンタープライズ Wi-Fi タイプの比較
プロトコル | 認証 | セキュリティレベル | 互換性 | 使用例 | 追記 |
|---|---|---|---|---|---|
オープンネットワーク | なし | 非常に低い | ユニバーサル | 公共Wi-Fi、テスト | 暗号化がなく、参加は簡単ですが、安全ではありません。 |
WEP | 共有キー | 低い | レガシーデバイス | レガシーシステム | 簡単に解読できるため、機密データにはお勧めしません。 |
WPA パーソナル (WPA-PSK) | 事前共有キー (PSK) | 適度 | 古いデバイス | 小規模なネットワーク、一時的なセットアップ | WPA2 に置き換えられ、必要な場合にのみ使用してください。 |
WPA2 パーソナル | 事前共有キー (PSK) | 高い | 最近のほとんどのデバイス | 家庭用、中小企業 | 現在の標準、強力な暗号化。 |
WPA3 パーソナル | 同時等価認証(SAE) | 非常に高い | 新しいデバイス | 新しいデプロイ、高セキュリティ環境 | 最新の標準で改善されたセキュリティ機能。 |
混合モード(WPA2 / WPA3) | PSK、SAE | 変数(デバイスによって異なります) | 混在デバイス環境 | ネットワークの移行 | WPA2 デバイスと WPA3 デバイスの両方の接続を許可し、セキュリティは最も弱いリンクに依存します。 |
エンタープライズWi-Fi認証
エンタープライズ Wi-Fi は 802.1X 認証を使用して、ネットワークに参加できるユーザーを制御します。共有パスワードの代わりに、各ユーザーまたはデバイスは、通常は資格情報とデジタル証明書の組み合わせを通じて個別に認証されます。このアプローチにより、セキュリティが向上し、大規模なアクセス管理が容易になります。
802.1X 認証には、次の 3 つの主要なコンポーネントが含まれます。
サプリカント - これは、接続するデバイス(MacやiPhoneなど)です。
オーセンティケータ - 通常、ゲートキーパーとして機能するワイヤレスアクセスポイントなどのネットワークデバイスです。
認証サーバー - 通常は、資格情報を確認し、アクセスを許可するかどうかを決定する RADIUS サーバーです。
デバイスがネットワークに参加しようとすると、認証サーバにクレデンシャルが提供され、認証サーバに渡されます。資格情報がチェックアウトされると、デバイスへのアクセスが許可されます。
エンタープライズ認証の種類
WPA2エンタープライズ
WPA2 Enterprise は、802.1X と強力な暗号化 (AES) を組み合わせます。各ユーザーは一意のログインを取得し、パスワード、デジタル証明書、さらには多要素認証を使用できます。このセットアップは広くサポートされており、堅牢なWi-Fiセキュリティを必要とする組織にとって最も一般的な選択肢です。
WPA3エンタープライズ
WPA3 Enterprise は、WPA2 Enterprise を基盤として、より強力な暗号化と追加の保護機能を追加しています。サーバー証明書の検証が必要であり、これにより、ユーザーが適切なネットワークに接続していることを確認するのに役立ちます。WPA3 では、接続を妨害したり、ユーザーを騙して不正なネットワークに参加させたりする可能性のある特定の種類の攻撃を防ぐのに役立つ Management Frame Protection (MFP) も導入されています。また、特に機密性の高いデータがある環境向けに、オプションの 192 ビット モードもあります。
EAP タイプ
ユーザーの認証に実際に使用される方法は、拡張認証プロトコル (EAP) と呼ばれます。一般的な EAP タイプには、次のものがあります。
EAP-TLS - 相互認証にクライアント証明書とサーバー証明書を使用します。この方法は非常に安全ですが、証明書の管理が必要です。
PEAP と EAP-TTLS - サーバー証明書とユーザー資格情報 (ユーザー名やパスワードなど) を使用します。EAP-TLSよりも管理が簡単ですが、それでも安全です。
EAP-FAST や LEAP などの他のタイプも存在しますが、あまり一般的ではないため、新しい展開には推奨されません。
エンタープライズ認証を選ぶ理由
ユーザーやデバイスごとに独自の認証情報があるため、共有パスワードの漏洩を心配する必要はありません。
アクセスは一元管理でき、ユーザーのアカウントを無効にすると、ユーザーはすぐにWi-Fiアクセスを失います。
証明書ベースの認証や多要素認証などの高度なセキュリティ機能をサポートします。
コンプライアンスとトラブルシューティングのための詳細なログ記録と監査を提供します。
エンタープライズ認証に関するその他の考慮事項
エンタープライズ認証には、追加のインフラストラクチャ、つまり RADIUS サーバーと、証明書ベースのセットアップの場合は認証局が必要です。ほとんどの組織では、すでにこれらを導入しているか、クラウドベースのソリューションを使用することができます。一度設定すると、セキュリティと管理性の利点は大きくなります。