(1) 定義と特徴

無線LANとは、IEEE 802.11シリーズの規格に基づき、電波（Radio Frequency）または赤外線を用いて構築されるローカルエリアネットワーク（LAN）である。有線LAN（Ethernet）が物理的なケーブルによる接続を必要とするのに対し、無線LANは空間を伝送媒体とするため、デバイスの可搬性（モビリティ）が高いのが最大の特徴である。

(2) 周波数帯

主に以下の3つの帯域が使用される。

通信速度   2.4GHz  ──●──
           5GHz    ─────●─────
           6GHz    ───────────●──────────

到達距離   2.4GHz  ───────────●──────────
           5GHz    ─────●─────
           6GHz    ──●──

干渉の多さ
           2.4GHz  ●●●●●（多い）
           5GHz    ●●
           6GHz    ●（ほぼなし）

(1)無線LANアクセスポイント（AP: Access Point）

・無線端末と有線ネットワークを中継する基地局。
・一般的に、WLC（コントローラ）が不要な自律型と、WLC配下で動く集中管理型がある。

(2)無線LANコントローラ（WLC: Wireless LAN Controller）

・多数のAPを一元管理する装置。電波出力の自動調整、ローミング制御、セキュリティ設定の配信を行う。
・トンネルモード（全ての通信がWLCを経由する）、ブリッジモードがある。
・近年は、クラウド上の管理画面で代用されるケースも増えている。その代表は、Cisco Merakiがパイオニアであるが、HPE Arubaでも、Aruba Central（クラウド）にログインして、IAPを一括管理ができる。

→A.現状、多いのは圧倒的にオンプレ。ただ、クラウド化が進んできている。通信トラフィックの観点でも、特にデメリットは無い。単に慣れていないという点で、オンプレが多いのだろう。
・クラウド（Central）の場合、WLCを置かない場合と、WLC相当の装置をオンプレに置く場合の両方がある。ようは、WLCといっても機能がいくつかあり、どこまでをCentralに差せるかによって変わってくる。
・表にしてみるとこんな感じ。

・Arubaの場合、クラウドの機能はCentralという機能

・単純にWLCの画面だと、以下

・Centralの画面は以下で

・ここでゲートウェイを押すと、WLCの管理画面のようなものになる。※ゲートウェイが物理的なWLCの機能の一部を担っているので

(3)無線端末

PC、スマートフォン、タブレット、IoT機器など、無線LANインターフェースを持つデバイス。

(4)PoEスイッチ（Power over Ethernet）

APに対し、LANケーブル経由で電力とデータを同時に供給するスイッチ。

(5)認証サーバ

・IEEE 802.1X認証（エンタープライズ認証）を行う場合に必須です。MicrosoftのADでは代替えできず、Radiusサーバが必須です。

・以下はClearPassの画面

・APまたはWLCから認証サーバに問い合わせをする。事前に認証サーバを登録しておく

(1) 会社概要と変遷

Arubaはもともと「Aruba Networks」という独立した無線LAN専業ベンダーとして創業。その後、Hewlett Packard Enterprise (HPE) に買収された
・2002年：Aruba Networks 設立
・2015年：HP (現在のHPE) による買収
　HPの既存ネットワーク部門（ProCurveなど）をArubaブランドに統合し、「HPE Aruba Networking」 として再編された。
・2024年：HPEによるJuniper Networks 買収発表

(2) 市場シェアと勢力図

長年、エンタープライズ（企業向け）無線LAN市場はCisco、次いでAruba、最近では、Juniper Networks (Mist)、また、クラウドで管理できるCisco Merakiなどが有名であった。HPEのJuniper買収により、どうなるか。

(3)デモサイト

登録は必要になりますが、こちらから誰でもWLCを体験することができます。https://www.hpe.com/jp/ja/aruba-central.html?dmodal=modal-9c929

(1) 暗号化規格の変遷

・TKIP (Temporal Key Integrity Protocol):WPAで採用された暗号化方式。WEPと同じハードウェアで動くように設計されたため、根本的な強度が低く、現在は非推奨です。
・AES (Advanced Encryption Standard):WPA2以降で採用された、現在世界中で標準的に使われている非常に強固な暗号化アルゴリズムです。
・SAE (Simultaneous Authentication of Equals):WPA3-Personalの核心機能。「対等な認証」という意味で、従来のPSK（単純なパスワード照合）に代わる技術です。パスワードを総当たりで突破しようとする「辞書攻撃」を防ぎます。
・CNSA (Commercial National Security Algorithm):WPA3-Enterprise向けのオプション。極めて機密性の高い情報を扱うために、暗号鍵を192ビット（通常は128ビット）に強化したモードです。

(2) WPA2 (Wi-Fi Protected Access 2)

暗号アルゴリズムにAES (CCMP)を採用。長らく標準として利用されてきたが、「KRACKs」などの脆弱性が指摘された。

(3) WPA3

・最新のセキュリティ規格。
・辞書攻撃に対する耐性を強化した鍵交換方式であるSAE (Simultaneous Authentication of Equals)を採用。
・WPA2の4-Way Handshakeの場合、端末とAPは、パスワード（PSK）を元にして暗号化キーを生成する。パスワードを知っていれば、誰でも計算できてしまうのが問題。WPA3のSAEハンドシェイクでは、パスワードを直接使うのではなく、パスワードを種（シード）として、楕円曲線暗号などを用いた高度な数学的計算（Dragonfly鍵交換）を行う。これにより、毎回バラバラの鍵が作成される。
・また、鍵の長さですが、通常は128ビットですが、WPA3-Enterpriseだけで使える「特別モード」としてCNSA（Commercial National Security Algorithm、192ビット）が使えます。

(4)OWE

・OWE (Opportunistic Wireless Encryption)は、公衆Wi-Fiなどのオープンネットワークでも、端末ごとに通信を暗号化する仕組み。
・オー・ダブリュー・イーと読み、「オウェ」とは普通は読まない
・ArubaのAP設定画面では、セキュリティ設定で「Enhanced Open」を選択することでこのOWEモードになります。（※ただし、古いスマホやPCはOWEに対応していないため、Arubaでは「OWE対応機は暗号化、非対応機は普通のオープン接続」を1つのSSIDで共存させるTransition Modeという設定を使うのが一般的です）
・OWE（Opportunistic Wireless Encryption）を使った認証プログラム名がWi-Fi CERTIFIED Enhanced Open

(1)SSIDによる認証

※厳密には認証方式ではありません

・SSID（Service Set Identifier）は、無線LANネットワークを識別するための名前です。「ESS-ID」と同義として扱われます。
・SSIDを知らなければ接続できない設定（SSIDの隠蔽/ステルス機能）もありますが、これはツールを使えば容易に特定可能なため、認証技術としてもセキュリティ対策としても不十分です。

(2) Web認証（キャプティブポータル）

・ブラウザを開いた際にログイン画面を表示させ、ID・パスワード入力や規約への同意を求める方式。
・主にゲストWi-Fi、ホテル、空港などで利用されます。
・また、これは、無線LAN接続後の「上位レイヤ（Web）」での認証です。無線区間自体は暗号化されていない（Open）ことが多いため、盗聴のリスクがあります（近年はOWEによる暗号化との併用が推奨されています）。
・Arubaの場合、WLCやAP内臓のWeb認証機能もあれば、ClearPassを使ってより柔軟（画面カスタマイズやメールを飛ばす、承認者に許可をもらうなど）な設定が可能
・Arubaの画面（スマホ、登録画面）

（参考）POPCHAT（ポップチャット）

・Web認証（キャプティブポータル）を実現するための専用アプライアンス製品です。
・ネットワーク構成としては、アクセスポイント（AP）とインターネット（ルーター）の間に設置し、通信をチェックします。
・製品例
https://popchat.jp/model/

→A.以下の機能があります。
❶多様な認証手段の提供（ID/Pass以外）
単なるパスワード入力だけでなく、SNS認証（LINE, Facebook等）、メールアドレス認証、SMS認証（電話番号）などを簡単に実装できます。
❷ログの保存（法的要請・セキュリティ）
どのMACアドレスの端末が、どの認証（メールアドレス等）を使って、いつ、どのサイトを見たか（アクセスログ）」を長期間保存します。
❸メーカー不問
Aruba, Cisco, Buffaloなど、APのメーカーを問わず、その上位に設置するだけで認証機能を追加できます。

(3) MACアドレス認証

・端末固有のMACアドレスを事前に登録し、許可された端末のみ接続させる方式です。
・MACアドレスは平文で流れており、また、MACアドレスは偽装が容易であるため、セキュリティ強度としては低いです。
・入力インターフェースを持たないIoT機器やプリンタなどで、802.1X認証が使えない場合の代替策として利用される。

(4)事前共有鍵方式（PSK: Pre-Shared Key）

・アクセスポイント（AP）と端末に、あらかじめ同じパスワード（パスフレーズ）を設定しておく方式です。一般家庭で「Wi-Fiのパスワード」と言えばこれを指します。
・ 設定が簡単ですが、パスワードが一つしかないため、「誰か一人が漏らすと全員の変更が必要になる」という管理上のリスクがあります。
・Windowsでの設定:Wi-Fi一覧からSSIDを選択し、「セキュリティキー（パスワード）」を入力するだけで接続完了します。

(5)IEEE 802.1X認証（EAP認証）

・企業や組織で利用される、最も堅牢な認証方式です。「誰が（ユーザー認証）」または「どの端末が（端末認証）」接続しているかを厳格にチェックします。認証にはRADIUSサーバが必要です。
・これには主に2つの種類があります。

① PEAP（Protected EAP）
・「IDとパスワード」を用いて認証を行う方式です。
・ホテルのフリーWi-Fiは通常これ（PEAP）ではありません（ホテルは(3)Web認証が主）。PEAPは、大学のキャンパスWi-Fiや、社員にIDを配布している企業で使われます。
・ サーバ側のみが証明書を持ち、暗号化トンネルを作った中でID/パスワードを送るため安全です。
・PEAP (MS-CHAPv2) の標準的な動作では、Windowsにログインしているユーザーの「ID（ユーザー名）」と「パスワード」を裏でRADIUSサーバーに送って認証します。
・設定時に、「Windowsのログオン名とパスワード（およびドメインがある場合はドメイン）を自動的に使用する」のチェックを外せば、サプリカントがID/PWの入力画面を表示するようにもできる
・一度入力して接続できれば、次回以降はPCを再起動しても、エリア内に入ればキャッシュされた情報を使って自動的に再接続します。→しかし、ログインしないといけない。
・Windowsでの設定:
[コントロールパネル] > [ネットワークと共有センター] > [新しい接続またはネットワークのセットアップ]
「ワイヤレスネットワークに手動で接続します」を選択。
セキュリティの種類: 「WPA2-エンタープライズ」等を選択。
[設定の変更] > [セキュリティ]タブ > 認証方法の選択で「Microsoft: Protected EAP (PEAP)」を選択。
・接続時にIDとパスワードの入力画面が表示されます。
・認証サーバにユーザを登録しておく必要がある。

■PEAPでの「コンピュータ認証」
・設定方法（Windows側）：Wi-Fiのプロパティ画面で、以下の設定を変更
「ワイヤレスネットワークのプロパティ」を開く
「セキュリティ」タブ → 「設定」ボタン
「構成」ボタンの下にある「詳細設定」ボタンを押す
「認証モードを指定する」にチェックを入れる
プルダウンから**「ユーザーまたはコンピューターの認証」**を選ぶ
これだけで、
ログオン前 → **「コンピュータ認証」**で繋ぐ
ログオン後 → **「ユーザー認証」**に切り替える
という動きを自動でやってくれます。
★要確認

② EAP-TLS
・「デジタル証明書（クライアント証明書）」を用いて認証を行う方式です。
また、Windows端末にログインする際に、ユーザ認証をするという点では、ユーザ認証＋端末認証になる？
・端末に証明書がインストールされていないと接続すらできません。パスワード漏洩のリスクがなく、なりすましも極めて困難です。
・Windowsでの設定:
（PEAPと同様に手動構成画面へ進む）
認証方法の選択で**「Microsoft: スマートカードまたはその他の証明書 (EAP-TLS)」**を選択。
あらかじめWindowsの証明書ストアに、管理者から配布された「クライアント証明書」をインストールしておく必要があります。

(1)EAP-TLSはユーザ認証か端末認証か

・証明書にはユーザ証明書とコンピュータ証明書があり、一般的には、コンピュータ証明書（＝端末認証）です。
・挙動としては、 Windowsが起動した瞬間（ログイン画面が表示される前）に、PCが勝手にWi-Fiに接続します。→認証サーバは、許可されたPCだと判断しますが、「誰が使っているか」は関知しません。
・ただ、Windowsログインする際に、ユーザがID/パスワード（または生体認証）をするので、ユーザ認証もしているとも考えられる（※ただし、無線LANとは全く違う次元）

(2)二段階認証

EAP-TLSのデバイス認証後にWeb認証（ユーザ認証）をすることもできる。

(3)TEAP (Tunnel EAP)

・1つの通信の中で、「端末認証（TLS）」と「ユーザ認証（ID/Pass）」の両方行うことができます。※ただし、これを使うことは非常に少ない。
・以前はこのような高度な認証をするには、専用ソフト（Cisco AnyConnectなど）をPCに入れる必要がありましたが、現在はWindows 10 (バージョン2004以降) および Windows 11 が、OS標準でTEAPをサポートしています。
・Aruba ClearPassのClearPass Policy Manager (CPPM) は、TEAPによる「EAP Chaining（EAPチェイニング）」という機能をサポートしています。
・認証の流れですが、まず、「コンピュータ証明書」で端末認証を行い、続けて、そのトンネルの中で「ID/パスワード」でユーザ認証を行います。

A.両方できます。
❶パターンA：シングルサインオン（SSO） 【推奨・一般的】
「Windowsへのログインに使ったID/パスワードを、そのままWi-Fi認証にも使う」 設定です。Windowsが認証情報を裏で自動的にTEAP（の中のMSCHAPv2）に渡し、Wi-Fi認証を行う。
❷パターンB：手動入力（プロンプト表示）
「Windowsのログインとは別に、Wi-Fi接続時に入力を求める」 設定です。「サインイン」というポップアップ（PEAPと同じもの） が出て、IDとパスワードを入れる。

(1) 基本構成と役割

・WLCを入れている場合で解説します。
・この構成は、「サプリカント（端末）」、「パススルー（無線AP）」、「オーセンティケータ（WLC）」、「認証サーバ（RADIUS）」、そして「IDストア（AD）」で成り立つ。

(2)通信の流れ

❶端末 ⇔ 無線AP
EAP over LAN (EAPoL): 端末はAPに対して認証情報を送る。
※この段階では、端末はまだネットワーク（社内LAN）には参加できていない。
❷無線AP ⇔ WLC（コントローラ）
GREトンネル（PAPI）: Aruba独自の通信方式。APは受け取った認証パケットをそのままカプセル化（梱包）し、トンネルを通じてWLCへ転送する。
※APは中身を見ず、単にWLCへ運ぶ土管（トンネル）の役割に徹する。
❸WLC ⇔ RADIUSサーバ
RADIUSプロトコル: ここで初めて、WLCが認証パケットを取り出し、RADIUSパケットに変換してサーバへ問い合わせる。
❹RADIUSサーバ ⇔ AD
・プロトコルは、一般的にはLDAP
・RADIUSサーバが裏側のADに対し、「このユーザー（または証明書）は有効か？」を問い合わせる。

・Clearpassが、問合せ（連携）サキのADを指定する場合は、IPアドレスでは指定できず、ホスト名で指定する。※なので、ClearpassではDNSサーバを指定して名前解決できるようにしておく。
ADサーバー（ドメインコントローラー）自体には、それぞれユニークな名前がついています。（1台目: dc01.example.com、2台目: dc02.example.comなど）。しかし、ADのドメイン名そのもの（例: example.com）を指定することが多いだろう。→自動で負荷分散される。

(3) PEAP (ID/パスワード) の場合

・前提として、ClearPass自身をActive Directoryドメインに「ドメイン参加」させる必要があります。
・動きですが、

(4)EAP-TLS (電子証明書) の場合

「証明書のチェック」と「ADのチェック」を明確に分けて処理します。
・Step 1: 認証 (Authentication) = 「証明書の検証」
相手: ClearPass内部（または信頼するCA）
内容: 「この証明書は偽造されていないか？」「有効期限内か？」「失効リスト(CRL)に入っていないか？」をチェックします。
・Step 2: 認可 (Authorization) = 「ADアカウントの状態確認」
相手: Active Directory (LDAP接続)
内容: 証明書の中身（CN=UserAなど）を見て、ADに対してLDAP検索をかけます。

(1) PEAP (ID/パスワード認証) の課題

結論: Entra IDに対して、直接PEAP認証を行うことはできない。
理由は単純で、プロトコルが違う。Wi-Fi (PEAP)の場合、 認証プロトコルとして RADIUS (MS-CHAPv2) を使用する。一方のEntra IDは、Webプロトコル (OAuth 2.0, SAML, OIDC) しか話せない。

(2) EAP-TLS (電子証明書認証) の実装と挙動

・結論: 実装は可能
・Entra ID環境では、MDM（Microsoft Intune）と連携して証明書を配布する構成が一般的である。その際、当然ながらEntra ID上のユーザ情報を確認する。→「Entra IDに存在する正規ユーザ」にのみ、クライアント証明書がインストールされる。
・Wi-Fi接続時のEAP-TLS認証の瞬間、RADIUSサーバは、証明書の有効性のみチェック（標準的）する。よって。Entra IDへの問合せを行わない。問合せしないのであれば使える。

(1) 認証局 (CA) は誰か？

証明書を発行する機関を CA (Certificate Authority) と呼ぶ。無線LAN認証において、CAの役割を担うのは主に以下の2つである。

(2) サーバ証明書 (Server Certificate)

「RADIUSサーバが本物であること」を端末に証明するための証明書。
PEAP、EAP-TLSの両方で必須となる。

(3) クライアント証明書 (Client Certificate)

「端末（またはユーザ）が許可された者であること」をRADIUSサーバに証明するための証明書。
EAP-TLSの場合に必須となる。一般的には、デバイス証明書ではなく、ユーザ証明書であることが多い。

(4) 証明書の配置まとめ表