こんにちは。クレスコ・デジタルテクノロジーズのM.Sです。
ネットワーク設計や構築の分野で4年の経験を積んでおり、日々技術の進化に触れながら業務に取り組んでいます。参画した無線更改案件において、クラウド管理型の無線LAN管理サービスとして新規にJuniper Mistを導入しました。設計対象の無線LAN環境の一つに外部ゲスト向けの無線LANがあり、そのSSIDの認証方式にMulti PSKを採用しました。
本記事では、Multi PSK採用時の設定方法や利点、具体的な導入ケースについて説明・紹介します。

■あわせて読まれている資料：
CROSS for Juniper Mist(ネットワークマネージドサービス)

Multi PSKとは

Multi PSKは、1つのSSID（無線ネットワークの識別名）に対して複数のPSK（Pre-Shared Keys: 事前共有鍵）を設定できる認証方式です。これにより、ユーザーごとに異なるパスワードを割り当て、接続後の使用権限（Role）を柔軟に管理できます。

通常のPSKでは、1つのSSIDに対して1つのパスワードしか設定できませんが、Multi PSKではこれを解消し、より細かな管理が可能になります。
ただし、現時点（2024年12月）で対応している無線セキュリティプロトコルはWPA2までとなっており、WPA3に未対応であるため、WPA3が必須の環境では導入が出来ない点にご留意ください。 

余談ですが、似た仕組みとして同じくJuniper Mistで利用可能なPPSK（Private Pre-Shared Key）があります。PPSKもMACアドレスごとに異なるパスワードを設定できます。ただし、RADIUSサーバーとの連携が必須となります。

構成例

私が参画した案件では、ゲスト用無線の認証方式として、Multi PSK+ゲストポータル機能の２段階で導入しました。

お客様からのご要望は以下の通りでした。
①    ゲスト用無線のユーザーそれぞれに異なるパスワードを設定できること
②    期間が過ぎればそのパスワードは利用できなくなること
③    ネットワーク管理者がゲスト用無線ユーザーの接続状況を把握できること

これらのご要望を実現するため、①と②をMulti PSKで、③をゲストポータル機能で対応しました。Multi PSKのみでは「PSKを利用しているユーザー数」しか追跡できず、ユーザーの具体的な情報や認証期限を設定できないため、ゲストポータル機能を併用しています。

設計の方針は以下の通りです。

•  Multi PSK：ユーザーごとに異なるPSKを作成、利用期間終了後に対象のPSKを削除
•  ゲストポータル機能：パスワード認証かつ、ゲストには名前、Emailアドレス、会社名を入力必須項目とする

 
以降の章「3.Multi PSKの設定方法」及び「4.動作確認方法」では、ゲストポータル機能を含む設定内容について記載しています。

ゲストポータル機能に関連する箇所については、各項番の冒頭に「★」マークを付けるようにしていますので、ゲストポータル機能を利用されない方も参考としてご覧いただければと思います。

Multi PSKの設定方法

Mist上でMulti PSKを設定する具体的な方法について記載します。
※ゲストポータル機能を設定しない場合、手順④～⑦は実施不要
 
前提条件：
・    Mist上でOrganizationや無線を利用するSiteの作成及び設定が完了していること
・    設定変更対象のOrganizationにNetwork Admin以上のRoleでログインしていること

■無線LANの作成
①    画面左側のタブより[Site] を選択し、表示された中から [WLANs] をクリックし、遷移した画面
　　で[Add WLAN]を選択する。
②    SSID名やWLAN STATUS等、基本的な設定を要件通りに設定する。
③    [Security]の項目にて、[WPA2]、[Personal(PSK)]、[Multiple passphrases] を選択する。
　　[Multiple passphrases]を選択すると、Multi PSKを指定したことになる。

※[Passphrase]の方を選択すると通常のPSKを指定

④　★[Guest Portal]の項目にて、[Custom guest portal]にチェックを入れる。
表示された[Configure Portal]ボタンをクリックし、ポータルの設定画面に遷移する。

⑤　★[Authorization]タブで、[Passphrase]を選択、設定するパスワードをボックス内に記載する。

⑥　★[OK]ボタンをクリックし、ポータルの設定を終える。
⑦　画面右上の[save]をクリックし、無線LAN作成が完了。

■Multi PSKのKey作成
前提条件：
・    前述している無線LAN作成の手順が完了していること
 
①    画面左側のタブより[Site] を選択し、表示された中から [Pre-Shared Keys] をクリックし、
　　遷移した画面で[Add key]を選択する。
※設定対象のSiteになっていることを確認すること

②    Create Keyの画面になるので、以下の通り各項目を入力する。

 

※Notify user by emailのチェックボックスについては、PSKの作成・編集時にメール通知を
受けたい場合にチェック

③　 [Create]を選択し、作成内容を保存する。
④　Multi PSKを利用するユーザーごとに前述している②と③の手順を繰り返す。

動作確認方法

設定した通りのMulti PSK（+ゲストポータル機能）でログインできるのかを確認する手順について記載します。
※ゲストポータル機能を設定していない場合、手順③及び⑥は実施不要
※以下手順はWindows端末での無線接続確認例
 
前提条件：
・    動作確認する端末の準備が完了していること
・    無線利用するのに必要な各NW機器の設定及び構築が完了していること
 
①    無線接続する端末にて、ゲスト用無線のSSIDを選択、接続をクリックする。

②　セキュリティーキーの入力を求められるので、Multi PSKで設定したパスワードを入力する。

③    ★ポータルサイトの画面が開かれるので、赤枠の項目にポータル設定にて指定したパスワードを入力する。

他、氏名とEmailアドレス、会社名を入力し、サインインを押下する。

④　無線に接続できていることを確認する。接続状況について端末の画面右下が以下の図の通りになっていることを確認する。


⑤    Mist管理画面側でも接続されていることを確認する。

画面左側のタブより[Site] を選択し、表示された中から [Pre-Shared Keys] をクリックし、
遷移した画面にて、利用しているMulti PSKの[No. of Clients]が0でないことを確認する。


⑥    ★ゲストポータル機能設定側でも確認する。
画面左側のタブより[Site] を選択し、表示された中から [WLANs] をクリック、対象のSSIDを選択し、画面内の[Guest Portal]の項目にて[Edit Guest Authorization]のボタンをクリックする。

表示された[Authorized Guests]画面にて、ポータルサイトで入力した氏名・Emailアドレス・会社名のユーザーが表示されていることを確認する。

活用事例

Multi PSKはゲスト用無線の認証方式として活用できるほか、以下の用途にも適しています。

•  IoT機器:IoT機器の多くはPCやスマートフォンのようなセキュリティ機能を持っておらず、802.1X認証のサプリカント機能をサポートしていないことも多いです。Multi PSKを活用することでセンサーや端末ごとに個別のPSKを設定することができるため、パスワード流出時の影響範囲を限定し、ネットワーク全体のセキュリティリスクを軽減できます。
• 柔軟な権限管理: 各PSKに異なるRoleを付与することで、ユーザーに適した権限を付与できます。例えば、社内の部門別にアクセス制限をかける運用にも対応できます。
• 教育機関での活用: 生徒や教職員それぞれに異なるPSKを発行することで、端末の利用状況を効率的に管理できます。また、利用期間を限定することで、セキュリティリスクを軽減できます。

 
高度な認証システム（RADIUSや802.1X）を導入せずに、比較的簡単かつ安価にセキュリティを強化できます。

まとめ

Multi PSKを活用することにより、柔軟で効率的な管理とセキュリティの強化を見込めます。特に複数のグループに対して異なるアクセス権限を設定する必要がある場合や、簡便な運用を求める場面で有用です。個人的な意見ですが、Multi PSKは、RADIUSサーバーを導入することなくユーザー単位での認証や通信制御が可能なため、SOHOや中小規模の企業に適していると感じました。Mist自体の価格やターゲット層が合致すれば、非常に優れたソリューションだと考えています。

■サービス資料一覧はこちら↓