WPA3 暗号化 & 設定ガイド
WPA3 の概要
WPA3 は、Wi-Fi Alliance によって開発された Wi-Fi Protected Access(WPA)標準の最新かつ第3世代の仕様で、WPA2 の後継となります。WPA 標準は、ワイヤレスセキュリティを標準化することを目的として、Cisco の Stephen Orr 氏が議長を務める Wi-Fi Alliance Security Technical Task Group によって最初に作成されました。
WPA3 は暗号化強度を高め、WPA3 をサポートするすべてのデバイスでより安全な認証プロセスを可能にすることにより、エンタープライズ、パーソナル、およびオープンネットワーク向けに高度な機能を導入します。
WPA3 の目的は次の通りです:
- 無線セキュリティの強化
- ユーザにとって安全な接続を簡易化
- 弱いパスワードでも強力な保護を提供
パブリックおよびオープン Wi-Fi ネットワークのセキュリティ強化
WPA3 Enterprise 形式では、WPA2 Enterprise が提供する堅牢な基盤を拡張し、すべての接続において Protected Management Frames(PMF)の使用を必須としています。このセキュリティ機能は、サービス拒否(DoS)、ハニーポット、盗聴などの危険な攻撃から保護します。
サポートされる WPA3 モード
● WPA3-Enterprise:802.1X セキュリティネットワーク向け。IEEE 802.1X と SHA-256 を認証および鍵管理(AKM)として利用します。
● WPA3-Personal:パーソナルセキュリティネットワーク向けに Simultaneous Authentication of Equals(SAE)方式を使用。SAE ではパスワード要素を導出する方法として以下の2つがあります:
o Hunting and Pecking (HnP)
o Hash-to-Element (H2E)
注: Wi-Fi 6E(6 GHz)および Wi-Fi 7 では HnP が辞書攻撃に弱いため、Hash-to-Element が必須です。
● WPA3 移行モード(パーソナルおよびエンタープライズ両方に対応する WPA2+WPA3 セキュリティベースの WLAN)。
● オープンセキュリティネットワーク向けの Opportunistic Wireless Encryption(OWE)。
6 GHz 動作および Wi-Fi 7 における WPA3 要件
Wi-Fi Alliance は、6 GHz 帯および Wi-Fi 7 において WPA3 を必須とし、最新のセキュリティを確保し、脆弱性から保護すると共に、新しいデバイスエコシステムの安全な基盤を提供します。
Wi-Fi 6E(6 GHz)における WPA3 要件 :
· 6 GHz 帯で動作するすべての Wi-Fi 6E デバイスに WPA3 が必須です。
· 個人利用では H2E を用いた WPA3-Personal(SAE)。
· エンタープライズ展開では WPA3-Enterprise(802.1X、オプションで 192 ビットセキュリティスイート)。
· パスワードなしで暗号化を提供する Enhanced Open(OWE)。
· 6 GHz では Protected Management Frames(PMF)が必須です。
· 6 GHz 動作では WPA2 は使用不可です。
注: WPA3 v3.4 の仕様(セクション 11.2)によると、Enhanced Open 移行モードは 6 GHz ではサポートされません。
WPA3-Enterprise における新しい暗号やアルゴリズム要件は 802.11w/PMF の適用を除きありません。Cisco を含む多くのベンダは、802.1X-SHA256 または "FT + 802.1X"(これは SHA256 と高速ローミングを組み合わせたもの)だけを WPA3 準拠と考え、SHA1 を使用する純粋な 802.1X は WPA2 の一部と見なし、6 GHz 向けには適合/サポートされないとしています。
Wi-Fi 7 における WPA3 要件:
· Wi-Fi 7 デバイスのすべてに WPA3 が必須で、Multi Link Operation や 802.11be データレート等の機能に対応します。
· パーソナル利用では暗号に GCMP256、AKM に SAE-EXT-KEY またはその FT 版である FT-SAE-EXT-KEY を採用した WPA3-Personal(SAE)。
· エンタープライズ利用では AES(CCMP128)、AKM に 802.1X-SHA256 またはその FT 版である FT+802.1X(命名には明示されませんが SHA256 を使用)を採用した WPA3-Enterprise。
注: WPA3-Enterprise では暗号として GCMP256 が要件ですが、アクセスポイントやワイヤレスクライアント側で厳密に強制されるわけではありません。
· OWE で GCMP256 を暗号として使用し、パスワードなしで暗号化を提供するオープンネットワーク。
· PMF が必須です。
· ビーコン保護が必須です。
注: Wi-Fi 6E と同様に、6 GHz 帯での Wi-Fi 7 動作における Enhanced Transition Mode はサポートされません。6 GHz 帯での Wi-Fi 7 動作用に純粋な OWE 専用 WLAN を構成することが推奨されます。
注: Wi-Fi 7 はこの文書執筆時点で比較的新しい認証であり、リリース初期段階では多くのベンダがこれらのセキュリティ要件をすべて導入していませんでした。
以下の表は、異なる Wi-Fi 標準におけるセキュリティ要件を示しています。
注: 「赤色」で強調された AKM と暗号は Wi-Fi 7 で必須です。
注: 標準では WPA3 Enterprise(802.1X-SHA256)において暗号に GCMP256 が求められますが、市場に出ている多くのクライアントは AES(CCMP128)を使用しても Wi-Fi 7 機能を利用可能です。
移行に関する考慮事項
既存の多くのネットワークでは、古いアクセスポイント(Wave-1 AP など)のインフラや WPA3 非対応のクライアントが多数存在するため、依然として WPA2 またはそれ以前のプロトコルで保護された Wi-Fi 6 以前の WLAN が運用されています。
Wi-Fi 6E(6 GHz)および Wi-Fi 7 の登場に伴い、Wi-Fi Alliance は 6 GHz 帯での運用と Wi-Fi 7 の全機能利用において WPA3 を必須としました。これにより、既存 AP プラットフォームから最新の AP へ移行しつつ、すべての WLAN を同時に WPA3 にアップグレードする際に課題が発生します。
これらの課題に対応するため、組織には設計・導入において次の3つの現実的な選択肢があります。
1. すべての WLAN を WPA3/Enhanced Open に移行
-
完全に安全な WLAN 環境を提供します。
-
ただし、レガシー WLAN やクライアントとの共存維持に課題があります。
-
以下の場合に最適です。
-
すべての AP が WPA3 をサポートしている場合(例: Wave-2 以降)。
-
WPA3 非対応のレガシークライアントが残っていない場合。
-
2. WPA3/Enhanced Open を用いた新しい WLAN を再設計または導入
-
既存の WLAN を維持し、レガシークライアントを引き続きサポートします。
-
次の目的で WPA3/Enhanced Open を利用する新しい WLAN を展開します。
-
Wi-Fi 6E および Wi-Fi 7 の要件を満たす。
-
WPA3 対応の最新クライアントをサポートする。
-
-
このハイブリッドモデルは柔軟性がありますが、SSID セットを2つ管理する必要があり、運用負荷が増加します。
3. 複数のセキュリティ標準をサポートする移行モードを使用
-
WPA2 WLAN を WPA3 移行モード(WPA2+WPA3 混在モードとも呼ばれる)に変換します。
-
このモードでは、AP は WPA2 と WPA3 の両方の機能をブロードキャストします。
-
WPA2 のみ対応クライアントは引き続き接続可能です。
-
WPA3 対応クライアントは WPA3 で接続します。
-
-
この方法の利点:
-
既存の SSID 名を維持します。
-
レガシーデバイスに対して最小限の影響で移行が可能です。
-
Wi-Fi 7 有効化前のネットワーク準備
以下は、既存の SSID を Wi-Fi 6E または Wi-Fi 7 準拠に移行する概要です。
ユースケース |
現在の WLAN セキュリティ |
Wi-Fi 7 準拠 SSID への移行 |
ゲストアクセス |
オープン |
OWE |
RADIUS 認証付き法人向け SSID |
WPA2 |
WPA3 または WPA3 トランジション(エンタープライズ) |
IoT/ゲスト(PSK ベース) |
WPA2 |
WPA3 または WPA3 トランジション(パーソナル) |
企業向けセキュア |
SuiteB 192 ビット |
SuiteB 192 ビット |
設定ワークフロー
WPA3 構成のワークフローは主に次の2つのステップで構成されます。
-
WLAN を作成し、WPA3-Enterprise、WPA3-Personal、または OWE(Opportunistic Wireless Encryption)を使用します。
-
(オプション)ネットワークに Wi-Fi 7 AP が含まれる場合は SSID を Wi-Fi 7 用に有効化します。これは、Wi-Fi 7 で追加されたセキュリティ要件によるものです。
注: Wi-Fi 6E および Wi-Fi 7 では MBSSID(Multiple SSID)が導入され、6 GHz 帯では1つのビーコンまたはプローブレスポンスフレーム内で4つの SSID を含むグループをアドバタイズできます。ダッシュボードでは4つの MBSSID グループをサポートし、各グループに4つの SSID を含められます。AP がグループの Wi-Fi 7 機能をアドバタイズするには、そのグループ内のすべての SSID が Wi-Fi 7 準拠である必要があります。1つでも非準拠の SSID があると、そのグループは Wi-Fi 6 に制限されます。
注: グループごとの SSID 構成はMR 32.1.4 から利用可能です。以前のリリース(MR 31.1.x ~ MR 32.1.3)では、AP が送信するすべての SSID が Wi-Fi 7 準拠である必要があり、1つでも準拠していないと AP は Wi-Fi 6 に制限されていました。
WPA3 Enterprise
WPA3-Enterprise は WPA2-Enterprise の基盤に加え、すべての WPA3 接続で 802.1X を使用した RADIUS サーバによるユーザ認証と PMF の利用を必須としています。デフォルトでは 128 ビット暗号化を使用しますが、機密データを送信するネットワークに追加の保護を提供する目的で、GCMP-256 を用いた SuiteB-192 ビットの暗号化をオプション設定できます。WPA3-Enterprise は、エンタープライズ、金融機関、政府機関、その他セキュリティを最重視する市場セグメントで推奨されています。
WPA3 Enterprise には、ネットワーク要件に応じてダッシュボード上で選択可能な3つの動作モードがあります。
1. WPA3 のみ
2. WPA3 192ビットセキュリティ
3. WPA3 移行モード
WPA3 のみ
WPA3 Enterprise のみの WLAN を構築するには次の手順を実施します。
1. ワイヤレス > アクセス制御 > セキュリティへ移動します。
2. 「エンタープライズ認証」を選択します。
3. WPA 暗号化の選択をWPA3 のみに設定します。
4. ネットワークに Wi-Fi 7 AP がある場合は、WPA3 の詳細設定 で GCMP256 を選択します。
5. RADIUS サーバを設定します。
WPA3 192ビットセキュリティ
このモードは、802.1X 標準を使用しながら 192 ビットセキュリティを採用し、エンタープライズ向けの安全な無線ネットワークを提供します。あらゆる種類のデータをより安全に保護するための高度な暗号化方式を提供します。このセキュリティスイートは Commercial National Security Algorithm(CNSA)スイートの推奨に沿っており、政府、防衛、金融、その他の産業など、高セキュリティな Wi-Fi ネットワークに広く使用されています。
WPA3 192ビットセキュリティは EAP-TLS 専用であり、サプリカントおよび RADIUS サーバの両方に証明書が必要です。また、WPA3 192ビット エンタープライズを使用するには、RADIUS サーバで許可された以下の EAP 暗号スイートのいずれかを使用する必要があります。
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
注: SuiteB - 192 ビットの SSID は Wi-Fi 7 に準拠しているため、ダッシュボードで SSID の構成変更は不要ですが、より高い SSID 番号で再設定する必要があります。
注: Wi-Fi 7 が「All SSIDs」サブタブで有効化された場合、SuiteB - 192 ビットの SSID は SSID 番号 #13〜#15 でのみサポートされます。これは、ネットワーク上のすべての種類の SSID に正しい MBSSID グルーピングが有効になるようにするためです。SuiteB - 192 ビットの SSID が下位の SSID 番号に設定されている場合、ダッシュボードは警告を表示し、Wi-Fi 7 を有効化するには修正が必要です。
注: SuiteB - 192 ビットの SSID がすでに #13〜#15 間に設定されている場合は変更不要です。
注: ネットワーク管理者が Wi-Fi 7 有効化下で SuiteB - 192 ビットの SSID を3つ以上必要とする場合は、Meraki サポートチームにお問い合わせください。
WPA3 192ビットセキュリティのみの WLAN を構築する手順は以下のとおりです。
1. ワイヤレス > アクセス制御 > セキュリティへ移動します。
2. 「エンタープライズ認証」を選択します。
3. WPA 暗号化の選択から「WPA3 192-bit セキュリティ」を選びます。
4. RADIUS サーバを構成します。
WPA3(エンタープライズ)移行モード
802.1X 用の WPA3 移行モードでは、クライアントは1つの SSID に動的暗号化で接続できます。これは、2.4 GHz と 5 GHz では WPA2 を使用し、6 GHz ラジオでは WPA3 を使用することで実現します。これにより、Wi-Fi 5、6、および 6E クライアントは、RADIUS 認証用に設定された同じ SSID に接続することができます。移行モードでは、クライアントは WPA2 エンタープライズと WPA3 エンタープライズの SSID 間をローミング可能です。WPA2 から WPA3 SSID にローミングすると再認証が行われますが、接続への影響は最小限です。
注: この機能はファームウェアバージョン 31.1.x 以降で利用可能です。
WPA3 トランジションセキュリティのみの WLAN を構築する手順は以下のとおりです。
1. ワイヤレス > アクセス制御 > セキュリティへ移動します。
2. 「エンタープライズ認証」を選びます。
3. WPA 暗号化で「WPA3 移行モード」を選択します。
4. ネットワークに Wi-Fi 7 AP がある場合は、WPA3 の詳細設定 にて GCMP256 を選択します。
5. RADIUS サーバを構成します。
注: 802.11w を「有効」に設定することを推奨します。これにより、PMF 非対応の WPA2 クライアントも接続可能になります。
注: Wi-Fi 7 では GCMP256 暗号をアクセスポイントで有効化する必要がありますが、実際には市場にある多くのクライアントは AES(CCMP128)でも MLO や 11be レートなどの Wi-Fi 7 機能を利用可能です。
WPA3-Personal
WPA3-Personal は、ユーザ認証のために SAE を使用したパスワードベースの認証方式で 128 ビット暗号強度を採用します。加えて、WPA2-Personal と異なり、WPA3-Personal ではパスワード推測回数の制限とライブネットワークとの都度通信を必須にすることで、オフライン辞書攻撃に対する耐性を高めています。この要件により、ネットワーク侵入の試みが大幅に時間を要し、総当たり攻撃の抑止にもなります。
WPA3-Personal の主な利点は以下です。
● 各 SAE 認証ごとに異なる共有秘密情報を生成
● 辞書攻撃やパッシブ攻撃から保護
● 前方秘匿性を提供
WPA3-Personal には、ネットワーク要件に応じてダッシュボード上で選べる2つの動作モードがあります。
1. WPA3 のみ
2. WPA3 移行モード
WPA3 のみ(パーソナル)
WPA3-Personal のみの WLAN を構築するには以下の手順です。
1. ワイヤレス > 設定 > アクセス制御 > セキュリティ へ移動します。
2. パスワードオプションを選択し、パスワードを入力します。
3. WPA 暗号化の選択でWPA3 のみを選びます。
4. ネットワークに Wi-Fi 7 AP がある場合、WPA3 の詳細設定で暗号と AKM を展開します。
a. 暗号に GCMP256 を選択
b. AKM に SAE および SAE-EXT-KEY を選択
5. ネットワークが Wi-Fi 6/6E AP を持ち、Wi-Fi 7 AP がない場合は、WPA3 の詳細設定で暗号と AKM を展開し、
a. AKM に SAE を選択
注: Wi-Fi 6/6E 標準では GCMP256 や SAE-EXT は必須ではありません。
WPA3 移行モード
WPA3 移行モードの WLAN を構築するには以下の手順です。
1. ワイヤレス > アクセス制御 > セキュリティへ移動
2. パスワードオプションを選択しパスワードを入力
3. WPA 暗号化でWPA3 移行モードを選択
4. ネットワークに Wi-Fi 7 AP がある場合、WPA3 の詳細設定で暗号と AKM を展開
a. 暗号に GCMP256
b. AKM に SAE および SAE-EXT-KEY
5. ネットワークが Wi-Fi 6/6E AP を持ち、Wi-Fi 7 AP がない場合は、AKM に SAE を選択するだけで十分です。この場合、暗号に GCMP256 や AKM に SAE-EXT は不要です。
a. AKM に SAE を選択
注: 802.11w を「有効」に設定することを推奨します。これにより PMF 非対応の WPA2 クライアントも接続可能になります。
Enhanced Open(OWE - Opportunistic Wireless Encryption)
OWE はオープンセキュリティの無線ネットワークに暗号化を付与し、盗聴から保護するためのセキュリティ方式です。OWE では、クライアントと AP がエンドポイントのアソシエーション時に Diffie-Hellman 鍵交換を行い、その結果得られる PMK を使用して 4-way ハンドシェイクを実行します。OWE はオープンセキュリティの無線ネットワークと関連しており、通常のオープンネットワークやキャプティブポータルと組み合わせて使用できます。
OWE には、ネットワーク要件に応じてダッシュボード上で選択できる2つの動作モードがあります。
1. OWE
2. OWE 移行モード
注: WPA3 仕様 v3.4 のセクション 11.3 では「AP の BSS 構成は Wi-Fi Enhanced Open Transition Mode(ビーコンおよびプローブレスポンスに OWE Transition Mode 要素を含む)を許可してはならない」と規定されています。そのため、6 GHz および Wi-Fi 7 では OWE トランジションは無効です。
OWE
OWE のみの WLAN を構築する手順は以下のとおりです。
1. ワイヤレス > 設定 > アクセス制御 > セキュリティ へ移動
2. 「Opportunistic Wireless Encryption (OWE)」を選択
3. WPA 暗号化をWPA3 のみに設定
4. ネットワークに Wi-Fi 7 AP がある場合、WPA3 の詳細設定で暗号と AKM を設定
a. 暗号に GCMP256
OWE 移行モード
OWE 移行モードでは、OWE 対応端末と非対応端末の両方が同一の SSID に同時接続できます。これにより、オープン(暗号化なし)の WLAN から OWE WLAN へのシームレスな移行が可能になり、ワイヤレス接続への影響を最小限に抑えます。
- オープン WLAN と OWE WLAN がそれぞれビーコンフレームを送信します。OWE WLAN のビーコンおよびプローブレスポンスは、オープン WLAN の BSSID および SSID をカプセル化する Wi-Fi Alliance ベンダ IE を含みます。同様に、オープン WLAN も OWE WLAN の IE を含みます。
- OWE STA は、OWE 移行モードで動作する OWE AP のオープン BSS の SSID のみを利用可能ネットワークのリストに表示し、OWE BSSID は表示しません。
- WPA3 対応クライアントは、オープン SSID を介して OWE SSID に接続します。
- 非 WPA3 クライアントは直接オープン SSID に接続します。
OWE トランジション WLAN を構築する手順は以下のとおりです。
1. ワイヤレス > 設定 > アクセス制御 > セキュリティ へ移動
2. まずオープン WLAN を作成
3. OWE WLAN を作成
4. WPA 暗号化をWPA3 移行モードに設定
5. オープン WLAN を指定
OWE 移行モードの制限事項
OWE 移行モードは Wi-Fi 7 ではサポートされません。OWE トランジションはオープン SSID を含む SSID ペアに依存しますが、オープン SSID は Wi-Fi 7 非準拠です。これは PSK トランジションやエンタープライズ トランジション SSID には当てはまりません。
2.4/5 GHz | 6 GHz | |
Wi-Fi 7 | OWE のみ | OWE のみ |
Wi-Fi 6/6E | Open、OWE トランジション、OWE | OWE のみ |
11be(Wi-Fi 7)構成:SSID グループごと
ネットワークに Wi-Fi 7 AP がある場合、11be をグループごとに有効化する必要があります。前述のとおり、1グループ4つのすべての SSID が Wi-Fi 7 セキュリティ要件に準拠している必要があります。ダッシュボードでは4つの SSID グループがあります。
グループ1 – SSID 1 〜 4
グループ2 – SSID 5 〜 8
グループ3 – SSID 9 〜 12
グループ4 – SSID 13 〜 16
そのため、ユーザは各グループ内で準拠する SSID を整理する必要があります。例として、Wi-Fi 7 要件準拠の SSID はグループ1に、WPA2 やオープンなど非準拠の SSID はグループ2に配置する、といった運用が可能です。
11be をグループごとに有効化する手順は以下のとおりです。
1. ワイヤレス > 設定 > 電波設定 > RF プロファイル
2. 対象のプロファイルを編集
3. 一般 タブの 11be セクションへ移動
4. SSIDグループごとに移動
5. グループ内の全 SSID が Wi-Fi 7 準拠であることを確認し、11be を ON に設定
6. 非準拠 SSID が含まれるグループでは 11be は オフ に設定
注: グループ内の適切なセキュリティ設定を確認してください。有効化後にセキュリティ設定を変更すると、MBSSID グループ全体に影響し、設定変更後に MBSSID が再計算されます。