- MPSKの基礎
- PSKとMPSKの違いや比較
MPSKとは
MPSKは、Multiple Pre-Shared Keyの略で、無線LAN/Wi-Fiの認証方式の1つです。
以下の記事でPSK認証の解説をしていますが、PSK認証のデメリットとして1つのSSIDに対して認証で使用するパスフレーズは1つであるため、パスフレーズ漏洩の可能性があります。
このデメリットを解説した認証方式がMPSKです。
MPSKは端末ごとにパスフレーズを設定する方式のため、たとえパスフレーズが漏洩しても影響が限定的です。
PSKでパスフレーズが漏洩しパスフレーズを変更した場合、Wi-Fiを使用する全員に新たなパスフレーズを周知させないといけないが、MPSKの場合、漏洩した端末を使っている人への周知で済むためです。
一見メリットが多そうに見えるMPSKですが、デメリットや制限も存在しますので、以下で解説します。
MPSKのメリットデメリット
MPSKのメリット、デメリットは以下です。
- パスフレーズ漏洩時の影響範囲を限定できる
- 端末ごとに異なるPSKが設定されるので、管理が簡単になる
- 認証機能を持たないIoT機器でも接続可能なケースが多い
IoT機器は802.1x認証のサプリカントをサポートしていないケースがほとんどです。
PSK認証ではパスフレーズの漏洩があり、PSK認証とMAC認証を組み合わせる方式も可能なケースが大半ですが、MACアドレスの詐称は簡単に実施できてしまうので、セキュリティが高いとは言えません。
一方、MPSKでは端末ごとに異なるパスフレーズを使用するので漏洩の影響範囲が限定的で、802.1x認証に対応していない機器でも使用できます。
- 単純なPSKよりも設定が複雑になる
- MPSKをサポートしていない機器があるケースが考えられる
デメリットとしては、単純なPSKを設定するより設定が複雑になることとアクセスポイントなどがMPSKに対応していないケースが考えられます。
またMPSKを使用する場合、アクセスポイントの他に認証サーバ等が必要になるケースもあり、費用がかさむ場合もあります。
MSPKの利用例
〇Cisco Meraki
Cisco Merakiのアクセスポイントで認証サーバを使用せずMPSKを設定する場合、各SSIDにて複数のPSKを設定する方法で実現しているそうです。
この場合、各個人に独自のPSKを設定する場合と、部署やグループごとにPSKを設定するパターンが主に考えられそうです。
〇HPE Aruba
HPE ArubaのアクセスポイントでMPSKを実現する場合、認証サーバ製品であるClearPassを使用するのがベストプラクティスであるそうです。
ClearPassに各機器のMACアドレスを登録することで、ClearPassが自動で各MACアドレスに対応したPSKを発行してくれます。
ただ、管理者がMSPKを使用する全機器のMACアドレスを登録、管理するのは負担が大きいため、ユーザ自身がClearPassのポータルサイトにアクセスし、MACアドレスを登録できる機能もあります。
また、発行されたPSKはメール配信も可能です。
