PEAPとは？TLSトンネル内で認証するEAP方式【SG試験】

まず結論

PEAPは、TLSで保護されたトンネルを作り、その中で利用者認証を行うEAP方式です。

SG試験では、PEAPの細かい通信手順よりも、「TLSトンネルの中でID・パスワードなどを使う」方式として切り分けることが重要です。

選択肢で、

が出てきたら、PEAPを疑います。

PEAPは、認証情報をそのまま外に出さず、まず安全な通り道を作ってから、その中で本人確認をする方式です。

たとえるなら、

先に安全な個室を用意して、
その中で本人確認をする

ようなイメージです。

IDやパスワードを使う場合でも、TLSで保護されたトンネルの中でやり取りするため、認証情報を守りやすくなります。

ただし、EAP-TLSのように、クライアント証明書まで使って相互認証する方式とは切り分けます。

PEAPは、Protected EAPの略です。

EAP（Extensible Authentication Protocol）で使われる認証方式の1つで、TLSによって保護されたトンネルを作り、その中で別の認証方式を使います。

基本の流れは次のとおりです。

PEAPでは、まずTLSトンネルを作る点がポイントです。

そのあとで、トンネルの中でMS-CHAPv2などの認証方式を使って利用者を確認することがあります。

SG試験では、細かい内部方式名よりも、PEAP＝TLSトンネル内で利用者認証と押さえるのが大切です。

PEAPは、企業や学校などの無線LAN認証で使われることがあります。

代表的には、次のような場面です。

EAP-TLSでは、クライアント側にも証明書を配布して管理する必要があります。

一方、PEAPでは、サーバ証明書を使ってTLSトンネルを作り、その中でID・パスワードなどの認証を行います。

そのため、証明書管理の負担を減らしつつ、認証情報を保護したい場合に使われます。

PEAPで混同しやすいのは、EAP-TLS、EAP-TTLS、EAP-MD5です。

SG試験では、次のようなひっかけに注意します。

誤解1：PEAPはクライアント証明書で相互認証する方式
→ 違います。クライアント証明書まで使う相互認証が中心なら、EAP-TLSを疑います。

誤解2：TLSを使う方式はすべてEAP-TLSである
→ 違います。PEAPもTLSを使いますが、ポイントはTLSトンネルの中で利用者認証を行うことです。

誤解3：PEAPは認証情報を暗号化せずに送る方式
→ 違います。PEAPでは、TLSで保護されたトンネル内で認証情報をやり取りします。

誤解4：PEAPとEAP-TTLSは完全に同じ
→ かなり似ていますが、試験ではどちらも「TLSトンネル内で別の認証を行う方式」として、EAP-TLSとは切り分けるのが実用的です。

選択肢では、「TLSトンネル」と「ID・パスワードなどの利用者認証」が出たらPEAP、「デジタル証明書による相互認証」が出たらEAP-TLSと判断します。