RADIUSとLDAPの違いとは？認証プロトコルの仕組みと使い分けを解説

第36回で解説した「多要素認証（MFA）」などの仕組みを、企業内の膨大な数のユーザーやデバイスに対して適用する場合、一つひとつの機器（Wi-FiルーターやVPNサーバーなど）で個別にIDを管理するのは現実的ではありません。

そこで重要になるのが、認証情報を一箇所に集約して管理するための「認証プロトコル」です。今回は、ネットワークへのアクセス管理に特化した「RADIUS」と、ユーザー情報などのディレクトリ管理を得意とする「LDAP」の違いと、それぞれの役割について詳しく解説します。

RADIUS（Remote Authentication Dial In User Service）
LDAP（Lightweight Directory Access Protocol）
RADIUSとLDAPの違いと使い分け
認証プロトコルとセキュリティの進化
まとめ

RADIUS（Remote Authentication Dial In User Service）

RADIUSは、主にネットワークの「入り口」で接続の可否を判断するためのプロトコルです。

RADIUSの役割

Wi-Fi接続、VPN接続、スイッチングハブへのログインなど、ネットワーク機器へのアクセス時に認証・認可・課金（AAA：Authentication, Authorization, Accounting）を行うのが主な役割です。

仕組み（クライアント・サーバーモデル）

RADIUSクライアント（NAS）： 無線LANアクセスポイントやVPNゲートウェイなどの機器。ユーザーから送られてきた情報をRADIUSサーバーへ転送します。
RADIUSサーバー： 転送されてきた情報を照合し、「接続許可（Access-Accept）」か「拒否（Access-Reject）」を返します。

第32回で解説した「メール認証（SPF/DKIM/DMARC）」がメールの送信元を保証するように、RADIUSは「社内ネットワークに入ろうとするデバイスやユーザー」の身元を厳格にチェックします。

LDAP（Lightweight Directory Access Protocol）

LDAPは、ネットワーク上の「ディレクトリサービス」にアクセスし、情報を検索・管理するためのプロトコルです。

LDAPの役割

「ディレクトリサービス」とは、ユーザー名、メールアドレス、所属部署、電話番号、さらには各リソースへの権限などを階層構造（ツリー状）で管理するデータベースのようなものです。Windows環境でよく使われる「Active Directory（AD）」も、このLDAPの仕組みを利用しています。

認証におけるLDAP

LDAP単体でも「バインド（Bind）」という操作によって、第33回で学んだ「認証（本人確認）」を行うことが可能ですが、本来の強みは「情報の検索」にあります。「このユーザーの所属はどこか」「どのグループの権限を持っているか」といった詳細な情報を素早く引き出すのに適しています。

RADIUSとLDAPの違いと使い分け

これら2つは役割が重なる部分もありますが、実務では以下のように使い分けられます。

項目	RADIUS	LDAP
主な目的	ネットワーク接続の認証（入り口管理）	ユーザー情報の集中管理・検索
得意なこと	Wi-FiやVPNの認証、利用ログの記録	組織図に基づいた詳細情報の管理
主な用途	無線LAN、VPN、リモートアクセス	社内ポータル、ファイルサーバー権限

連携して使うケース

実際の現場では、これらを組み合わせて運用することが一般的です。

例：ユーザーがVPN接続を試みる → RADIUSサーバーが受付窓口になる → RADIUSサーバーが裏側でLDAPサーバー（AD等）に問い合わせてパスワードが正しいかを確認する。

このように、RADIUSを「認証の入り口」、LDAPを「情報の保管庫」として連携させることで、強固で効率的なID管理が実現します。

認証プロトコルとセキュリティの進化

かつてのRADIUSなどは通信の一部が暗号化されないなどの弱点もありましたが、現在はEAP（Extensible Authentication Protocol）などの技術と組み合わせることで、第31回で学んだ「電子署名」の基盤である証明書認証をRADIUS経由で行うなど、セキュリティレベルが大幅に向上しています。

第35回で解説した「シングルサインオン（SSO）」がクラウドサービス間の連携を担うのに対し、RADIUSやLDAPは主に「組織内のインフラ環境」を守るための守護神と言えます。

まとめ

ネットワーク認証の世界は、一見複雑ですが、それぞれのプロトコルの得意分野を理解することが第一歩です。

RADIUSは、ネットワーク機器と認証サーバーを繋ぐ「入り口」のプロトコル。
LDAPは、膨大なユーザー情報を管理・検索するための「ディレクトリ」のプロトコル。

これらを正しく理解し設定することは、企業のネットワークセキュリティを設計するエンジニアにとって必須のスキルとなります。

次回の第38回では、これらの認証や権限管理をさらに高度に統合・自動化する「IAM（Identity and Access Management）の基本」について詳しく解説します。

RADIUSとLDAPの違いとは？ネットワーク認証を支えるプロトコルの仕組み