EAP-TLSとは？デジタル証明書で相互認証する方式【SG試験】

まず結論

EAP-TLSは、デジタル証明書を使って、認証サーバとクライアントを相互に認証するEAP方式です。

SG試験では、EAP-TLSそのものの細かい通信手順よりも、「証明書による相互認証」か、「ID・パスワードによる利用者認証」かを切り分けられるかが重要です。

選択肢で、

が出てきたら、EAP-TLSを疑います。

EAP-TLSは、無線LANなどに接続するときに、

「利用者側も本物か」
「認証サーバ側も本物か」

を、お互いに証明書で確認する仕組みです。

たとえるなら、入館時に社員証を見せるだけでなく、受付側も「正規の受付であること」を示すようなものです。

IDとパスワードだけだと、入力内容が盗まれたり、偽の接続先にだまされたりするリスクがあります。EAP-TLSでは、証明書を使うことで、より強い認証を行います。

EAP-TLSは、EAP（Extensible Authentication Protocol）で使われる認証方式の1つです。

EAPは、無線LANやネットワーク接続時の認証で使われる枠組みです。その中でEAP-TLSは、TLSの仕組みを利用して、デジタル証明書による認証を行います。

基本の考え方は次のとおりです。

EAP-TLSは、IETFのRFCでも定義されています。詳しい技術仕様としては、RFC 5216 The EAP-TLS Authentication Protocolや、TLS 1.3に対応したRFC 9190 EAP-TLS 1.3があります。

ただし、SG試験ではRFCの細部を覚える必要はありません。まずは、EAP-TLS＝証明書を使う相互認証と押さえるのが大切です。

EAP-TLSは、主に企業や組織のネットワークで、安全に利用者や端末を認証したい場面で使われます。

代表的な場面は、次のようなものです。

特に、管理されたPCやスマートフォンにクライアント証明書を配布し、証明書を持つ端末だけを接続可能にするような使い方がイメージしやすいです。

一方で、EAP-TLSは証明書の発行・配布・失効管理が必要です。そのため、単に「利用者IDとパスワードだけでログインする方式」と考えると誤りです。

EAP-TLSで最も混同しやすいのは、PEAPやEAP-TTLSです。

用語	判断ポイント
EAP-TLS	クライアント証明書も使う相互認証
PEAP	TLSで保護したトンネル内で、ID・パスワードなどを使う
EAP-TTLS	TLSトンネルを作り、その中で別の認証方式を使う
EAP-MD5	チャレンジレスポンス型。相互認証ではない

SG試験では、次のようなひっかけに注意します。

誤解1：EAP-TLSはIDとパスワードだけで認証する方式
→ 違います。EAP-TLSの中心は、デジタル証明書による相互認証です。

誤解2：TLSを使っていれば、すべてEAP-TLSである
→ 違います。PEAPやEAP-TTLSもTLSを使いますが、TLSトンネルの中でID・パスワードなどを使う点が異なります。

誤解3：EAP-TLSはサーバだけを認証する方式
→ 違います。EAP-TLSでは、認証サーバとクライアントの両方を証明書で確認する相互認証がポイントです。

選択肢では、「証明書」「相互認証」「認証サーバとクライアント」がそろっていればEAP-TLS、「トンネル内でID・パスワード」ならPEAPやEAP-TTLSを疑います。