WPA3 暗号化 & 設定ガイド
はじめに
初代 Wi-Fi Protected Access(WPA)標準は 2003 年にリリースされ、Wired Equivalent Privacy(WEP)暗号化アルゴリズムを置き換えました。その後、2004 年に WPA2 が登場し、さらに 2018 年には Wi-Fi Alliance により WPA3 が発表されました。WPA3 では、認証の強化、暗号強度の向上、ネットワークセキュリティ強化のための保護管理フレーム(PMF)の必須化など、Wi-Fi セキュリティの簡素化に役立つ新機能が導入されました。
この記事では、WPA3 について解説し、ユーザーがネットワークセキュリティの意思決定を行う際の一助となる情報を提供します。
WPA3 は、MR 27.X で構成されたワイヤレスネットワークではデフォルトで有効です。
レガシーアクセスポイント(802.11ac Wave-1 以前)は WPA3/MR 27+ をサポートしません。WPA3 を使用する SSID が設定された場合、これらの AP では WPA2 でトラフィックが暗号化されます。詳細は MR Mixed Firmware Networks を参照してください。
暗号化
Cisco Meraki は、以下の 2 つの WPA3 モードをサポートしています:
- WPA3-Personal
- WPA3-Enterprise
WPA3-Personal では、複雑でないパスワードでもより強力なパスワードベース認証が可能です。WPA3 は Simultaneous Authentication of Equals(SAE)を採用し、パスワード推測への耐性を強化しています。SAE は安全な鍵確立プロトコルです。
WPA3-Personal
WPA3-Personal は、Simultaneous Authentication of Equals(SAE)を使用し、WPA2 PSK をベースにしつつ、ユーザーがパスフレーズのみで認証できる仕組みです。
SAE によって、STA と Meraki AP の双方が Association Request/Response 前に相互認証するため、非複雑なパスフレーズでも安全性が向上します。SAE は RFC 7664(Dragonfly Key Exchange)のバリアントです。
WPA3-Personal には 2 つのバリアントがあります:
- WPA3 のみ
- WPA3 移行モード
WPA3 のみ
WPA3 のみを使用する場合、アクセスポイントは Beacon で WPA3 SAE のみを受け付ける旨を通知します。移行モードを使用する場合は、Beacon で WPA2 および WPA3 の両方を受け付けることを通知し、WPA3 非対応の STA も SSID に接続可能です。
WPA2 は辞書攻撃への耐性としてパスワードの複雑さに依存しています。移行モード使用時はパスワード選択にご注意ください。
「WPA3 のみ」では、暗号化に AES-GCM(Galois/Counter Mode)が使用されます。
WPA3 SAE のプロセスは以下の通りです:
-
プローブリクエスト
-
Beacon の後に AP へ通常のリクエストを送信します。
-
-
プローブレスポンス
-
STA への通常の応答を返します。
-
-
STA から AP への認証(コミット)
-
このパケットは 802.11 認証フレームです。
-
コミットには、SAE 認証シーケンス番号 1、およびパスワードとは無関係なスカラー値や要素が含まれます。
-
これは STA 側で PMK を生成するために使用されます。
-
-
AP から STA への認証(コミット)
-
このパケットは 802.11 認証フレームです。
-
コミットには、SAE 認証シーケンス番号 1、およびパスワードとは無関係なスカラー値や要素が含まれます。
-
これは AP 側で PMK を生成するために使用されます。
-
-
STA から AP への認証(コンファーム)
-
このパケットは 802.11 認証フレームです。
-
コンファームには、Seq Number 2 の確認メッセージと、AP が検証するための生成済みキーが含まれます。
-
-
AP から STA への認証(コンファーム)
-
このパケットは 802.11 認証フレームです。
-
コンファームには、Seq Number 2 の確認メッセージが含まれ、STA にキーが正しいことを知らせるか、認証を拒否します。
-
-
通常のアソシエーションリクエスト
-
通常のアソシエーションレスポンス
-
SAE で生成した PMK を利用した 4-way ハンドシェイク。この後、通常のデータ通信が可能となります。
設定
WPA3-SAE を有効にするには、ワイヤレス > 設定 > アクセス制御 > セキュリティ に移動し、WPA 暗号化の選択で WPA3 のみ を選択してください。
WPA3 移行モード
WPA3 SAE には移行モード(混在モードとも呼ばれる)があり、WPA3 を使用する SSID で WPA2 クライアントとの共存を可能にします。WPA3 ではマネジメントフレーム保護(MFP/802.11w)を 必須(Required) に設定する必要がありますが、ダッシュボードでは 有効(Enabled) も選択できるため、WPA3 や MFP 非対応の STA もシームレスに接続可能です。
802.11w を 必須(Required) に設定すると、MFP 非対応の WPA2 クライアントは接続できません。
設定
WPA3 移行モードを有効化するには、ワイヤレス > 設定 > アクセス制御 > セキュリティに移動し、WPA 暗号化の選択でWPA3 移行モードを選択してください。
WPA3 Personal のクライアント動作チャート
以下のチャートは、ダッシュボード設定に基づく STA の接続動作の違いを示しています:
| ダッシュボード設定 | クライアント動作 | |||
| WPA3 | 802.11w PMF | WPA2 STA | WPA2 STA PMF | WPA3 STA |
| WPA3のみ | 必須 | 接続不可 | 接続不可 | 接続 |
|
移行モード |
必須 | 接続不可 | 接続 | 接続 |
| 有効 | 接続 | 接続 | 接続 | |
WPA3-Enterprise
WPA3 Enterprise は WPA2 をベースにしており、将来的にその後継として設計されています。
動作モード
WPA3 Enterprise には、ネットワーク要件に応じて選択できる 2 つの動作モードがあります。
2023年3月13日以前は、ダッシュボードでは WPA3 192-bit セキュリティを強制する「WPA3 のみ」モードのみ提供されていました。
WPA3 のみ
このモードでは WPA2 と同じ暗号方式を使用しますが、802.11w(PMF)の有効化が必須となります。
WPA3 192-bit
このモードは 192-bit セキュリティを提供し、引き続き 802.1X 標準を利用してエンタープライズ向けの安全な無線ネットワークを実現します。商用国家安全保障アルゴリズム(CNSA)スイートの推奨に準拠しており、政府・防衛・金融・その他高セキュリティが求められる Wi-Fi ネットワークでよく利用されます。
WPA3 192-bit セキュリティは EAP-TLS 専用で、サプリカントと RADIUS サーバーの両方で証明書が必要です。また、WPA3 192-bit エンタープライズを利用するには、RADIUS サーバーが以下いずれかの EAP 暗号スイートを必ず使用してください:
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
WPA3-Enterprise 192-bit は WPA2 とほぼ同様のプロセスで動作しますが、前述の暗号スイートにより強化されています。
WPA3 192-bit の処理フローは以下の通りです:
- STA から AP への通常のプローブリクエスト
- プローブレスポンスには RSN SHA384 Suite-b が含まれ、WPA3 エンタープライズ 192-bit セキュリティであることを示します
- STA から AP への通常の 802.11 認証(SEQ 1)
- AP から STA への通常の 802.11 認証(SEQ 2)
- STA から AP への RSN 機能を含むアソシエーションリクエスト
- AP から STA へのアソシエーションレスポンス
- EAP プロセスにより、RADIUS サーバーとの間で Identity Request/Response および EAP-TLS プロトコルによる認証情報交換を実施
- RADIUS サーバーで認証が完了すると Access-Accept メッセージが送信され、AP から STA へ「Success」メッセージとして伝達されます
- EAP プロセスに基づき PMK が生成され、4-way ハンドシェイクで有効な鍵が生成されます。この後、通常のデータ通信が可能となります
設定
ダッシュボードで本機能を有効にするには、以下の手順に従ってください:
- ワイヤレス > アクセス制御 > セキュリティに移動します
- エンタープライズ認証から RADIUS サーバーを選択します
- WPA 暗号化の選択で WPA3 のみ または WPA3 192-bit セキュリティ を選択します
- RADIUS サーバーを設定します
WPA3 192-bit は Meraki Cloud 認証 ではサポートされません。
WPA3 移行モードは MR31.1.x ファームウェアバージョンで利用可能です。
Opportunistic Wireless Encryption (OWE)
Opportunistic Wireless Encryption(OWE)は、ユーザーに認証情報やパスワードの入力を求めずに、クライアントへセキュアな統合を提供します。
RFC 8110 で詳細が定義されており、OWE は SAE と同等の保護をクライアントに提供します。
設定手順:
ワイヤレス > 設定 > アクセス制御 > セキュリティ で Opportunistic Wireless Encryption(OWE)を選択します。
OWE は MR 27.1 以降の新しいアクセス制御ページで利用できます。
OWE 非対応クライアントは SSID への接続に失敗します。
OWE 移行モード
Opportunistic Wireless Encryption(OWE)移行モードは、OWE 対応および非対応 STA が同じ SSID に同時接続できるようにします。
OWE 移行モードは、オープンな暗号化なし WLAN から OWE WLAN へのシームレスな移行を無線接続に影響なく実現します。
- オープン WLAN と OWE WLAN の両方が Beacon フレームを送信します。OWE WLAN の Beacon と Probe Response フレームには、Wi-Fi Alliance ベンダー IE でオープン WLAN の BSSID・SSID がカプセル化され、同様にオープン WLAN 側にも OWE WLAN 情報が含まれます。
- OWE STA には、OWE 移行モードの OWE AP が持つオープン BSS の SSID のみが利用可能ネットワーク一覧に表示され、OWE BSSID は非表示となります。
- WPA3 対応クライアントはオープン SSID 経由で OWE SSID に接続されます。
- 非 WPA3 クライアントはオープン SSID に直接接続されます。
ファームウェア:MR 32.1.x
ハードウェア:Wi-Fi 6、Wi-Fi 6E、Wi-Fi 7
設定:
1. OWE 移行モードを有効化するには、ワイヤレス > 設定 > アクセス制御 > セキュリティに移動します。
2. サインオン方法として Opportunistic Wireless Encryption(OWE) を選択し、WPA 暗号化方式をWPA3 移行モードに変更します。
3. WPA3 移行モードを選択後、利用可能なドロップダウンから SSID を選択し、OWE 非対応クライアントが接続するための暗号化なしオープン SSID を割り当てます。
注意:このオープン SSID は事前に有効化し、ドロップダウンに表示されるようにしてください。また、OWE 移行モード SSID と同一のネットワーク設定にしてペアリングできるようにすることを推奨します。
OWE 移行モードの制限事項
|
2.4/5G |
6G |
|
|
Wi-Fi 7 |
OWE のみ |
OWE のみ |
|
Wi-Fi 6/6E |
許可 |
OWE のみ |
- Protected Management Frame(PMF)は必須(Required)である必要があります。これは WPA3 のみのレイヤ 2 セキュリティでデフォルト設定です。
- Enhanced Open は、対応する新しいバージョンのエンドクライアントでのみ動作します。
- 移行モードは 6GHz では動作しません(WPA3 が必須なため)。
WPA3 と 6 GHz
WPA3 SAE には移行モード(混在モードとも呼ばれる)があり、WPA3 用 SSID で WPA2 クライアントとの共存を可能にします。WPA3 ではマネジメントフレーム保護(MFP/802.11w)を必須にする必要がありますが、ダッシュボードでは有効の設定もできるため、WPA3 や MFP 非対応の STA もシームレスに接続可能です。
2.4/5 GHz で WPA2、6 GHz で WPA3 など暗号化方式が異なる場合は、SSID 名を分けて運用することを推奨します。
互換性設定:
|
セキュリティタイプ |
2.4/5 GHz |
6 GHz |
|
Open |
ON |
OFF |
|
OWE* |
ON |
ON |
|
OWE 移行*** |
ON |
ON |
|
WPA2 Personal |
ON |
OFF |
|
WPA2 Enterprise |
ON |
OFF |
|
WPA3 Personal |
ON |
ON |
|
WPA3 Personal 移行*** |
ON |
ON |
|
WPA3 Enterprise |
ON |
ON |
| WPA3 Enterprise 移行** | ON | ON |
|
WPA3 Enterprise 192-bit |
ON |
ON |
*OWE は新しいアクセス制御ページで利用可能です。
** MR 31.1.X ファームウェアが必要です
*** MR 32.1.X ファームウェアが必要です
下記は最も一般的な 3 種類の WLAN と、それぞれでよく選択されるセキュリティプロトコルです:
|
2.4/5 GHz |
6 GHz |
|
|
コーポレートアクセス |
WPA2-Enterprise |
WPA3-Enterprise |
|
SMB・ホームオフィス |
WPA2-PSK |
WPA3-SAE-H2E |
|
Wi-Fi ホットスポット |
Open |
OWE |
将来的には、新しいクライアントドライバが 2.4/5 GHz および 6 GHz の両方で WPA3-Enterprise や WPA3-SAE-H2E モードをサポートし、WPA3-SAE-H2E でバンド間ローミングもシームレスに可能になる見込みです。
Wi-Fi 7 のセキュリティ要件
Wi-Fi 7(802.11be)標準では、より高度なセキュリティ要件が必須となります。これにより、ネットワーク管理者は SSID ごとにより細かな暗号化タイプや AKM を選択できるようになります。Wi-Fi 7 標準では Open や WPA/WPA2 のみの SSID は許可されません。ダッシュボードでもこの要件が強制されます。
Wi-Fi 7 では、以下のセキュリティ標準が必須です:
-
AKM SAE-EXT(24)以上
-
GCMP 256
-
AP Beacon 保護
注意:AP Beacon 保護は、ワイヤレス > 設定 > 電波設定 > RF プロファイル > 編集 > 一般 > 802.11be で Wi-Fi 7 を有効化するとデフォルトで有効になります。
注意:上記のすべてのセキュリティ標準は同時に必ず適用してください。
暗号化方式や AKM の設定は、下図のようにダッシュボード上で SSID ごとに選択できます:
Wi-Fi 7 有効化前のネットワーク準備
以下は、既存の SSID を Wi-Fi 7 準拠に移行するための概要です:
|
利用ケース |
現状のセキュリティ暗号化 |
Wi-Fi 7 準拠 SSID |
|
ゲストアクセス |
Open |
OWE |
|
企業/セキュア/RADIUS認証 |
WPA2 |
WPA3 または WPA3 トランジション(Enterprise) |
|
IoT/OT/ゲスト(PSK ベース) |
WPA2 |
WPA3 または WPA3 トランジション(SAE) |
|
企業/セキュア |
SuiteB 192 Bit |
SuiteB 192 Bit* |
* 下記「Wi-Fi 7 と SuiteB 192Bit」セクション参照
注意:OWE 移行モードは Wi-Fi 7 ではサポートされません。OWE トランジションはペアとなる SSID(Open SSID を含む)に依存しますが、Open SSID は Wi-Fi 7 で非準拠です。PSK トランジションや Enterprise トランジション SSID には該当しません。
注意:WPA3 移行モードは MR 31.1.1 以降のファームウェアで PSK/SAE および Enterprise SSID タイプでサポートされています。
現時点で WPA2 のみの SSID については、WPA3 移行モードへの移行を推奨します。これにより、Wi-Fi 7 準拠を実現しつつ、WPA3 非対応のレガシークライアントもサポート可能です。移行モードでは同一 SSID で異なる AKM を使い分けられるため、Wi-Fi 7 準拠への移行障壁が最小限に抑えられます。
MR 31.1.x で Wi-Fi 7 を有効化するには、ダッシュボードネットワーク内の全 SSID が Wi-Fi 7 準拠である必要があります。非準拠の SSID が存在する場合、Wi-Fi 7 有効化時に警告が表示され、管理者が保存を選択しても Wi-Fi 7 は有効化されません。管理者が警告対象の SSID を修正する必要があります。
下記は警告メッセージの例です:
注意:MR 31.1.x 以降のファームウェアでは、Wi-Fi 7 を有効にするにはすべての SSID が準拠している必要があります。
既存 SSID の変更や新しい SSID の有効化が Wi-Fi 7 準拠でない場合、ダッシュボードは管理者に警告メッセージを表示します:
Wi-Fi 7 AP で設定された SSID が非準拠の場合、AP はクライアント接続性を優先し Wi-Fi 6(802.11ax)モードで動作します。
注意:Wi-Fi 7 準拠判定対象は ブロードキャスト/有効化されている SSID のみです。Wi-Fi 7 AP でブロードキャストされていないレガシー SSID(SSID 可用性タグ利用)は準拠判定の対象外となります。
Wi-Fi 7 と SuiteB - 192 Bit
SuiteB - 192 Bit SSID は Wi-Fi 7 準拠のため、ダッシュボード上で追加設定は不要ですが、SSID 番号を高い番号(#13~#15)で再構成する必要があります。
Wi-Fi 7 を All SSIDs サブタブで有効化する際、SuiteB - 192 Bit SSID は SSID #13~#15 のみでサポートされます。ネットワーク内で SuiteB - 192 Bit SSID が下位番号で設定されている場合、警告が表示され、修正しないと Wi-Fi 7 を有効化できません。
注意:SuiteB - 192 Bit SSID がすでに #13~#15 に設定されていれば、変更は不要です。
注意:Wi-Fi 7 有効化時に 3 つ以上の SuiteB - 192 Bit SSID が必要な場合は、Meraki サポートチームへご相談ください。
MR 30.X ファームウェアの新機能
MR 30 ファームウェアでは、ほとんどの WPA3 暗号化オプションで 802.11r(アダプティブモード除く)サポートが追加されました。
ネットワーク管理者は ワイヤレス > 設定 > アクセス制御 > WPA 暗号化 から高速ローミングを構成可能です。
Cisco Meraki は以下の WPA3 モードで Fast Transition をサポートします:
- WPA3 Personal
- WPA3 のみ
- WPA3 移行モード
- WPA3 Enterprise
- WPA3 のみ
WPA3 Personal の設定
- ワイヤレス > 設定 > アクセス制御 > セキュリティ に移動
- パスワード を選択
- WPA 暗号化 を WPA3 のみ または WPA3 移行モードに設定
- 802.11r を有効化
WPA3 Enterprise の設定
- ワイヤレス > 設定 > アクセス制御 > セキュリティ に移動
- エンタープライズ認証 を選択
- WPA 暗号化 を WPA3 のみ に設定
- 802.11r を有効化
- RADIUS サーバーを設定
RADIUS 認証の WPA3 移行モード
注意:この機能は 31.1.x 以降のファームウェアで利用可能です。
802.1X 用 WPA3 移行モードでは、クライアントが単一 SSID で動的暗号化方式を利用できます。2.4/5 GHz では WPA2、6 GHz では WPA3 を使用することで、Wi-Fi 5/6/6E クライアントが同一 SSID へ RADIUS 認証で接続可能です。移行モードにより、クライアントは WPA2 エンタープライズと WPA3 エンタープライズ SSID 間でローミングできます。WPA2 から WPA3 へのローミング時には再認証が発生しますが、接続の途切れは最小限です。
設定
アクセス制御ページで、802.1X ベース認証を使用する SSID に対し WPA3 移行モードを設定できます。
802.11 の詳細は 802.11k と 802.11r 概要 をご覧ください。
WPA3 機能をサポートする統合無線搭載 MX/Z シリーズについては MX and Z-Series Wireless Settings をご参照ください。