私たちの多くは、店舗、喫茶店、空港など、様々な公衆スペースで退屈なWi-Fi 接続経験があるのではないでしょうか。その大きな壁のひとつがキャプティブポータルのプロセスです。キャプティブポータルはユーザーの接続情報が要求されるだけでなく、再認証のプロセスも必要です。そのため、キャプティブポータル = 面倒なものと考える人が多いのです。

この不便さに加えて、キャプティブポータルの安全性も課題です。ほとんどのキャプティブポータルはオープンSSIDで運用され、私たちのデバイスとインフラ間の通信は脆弱なままです。HTTPSのようなアプリケーションレベルの暗号化に頼っているにもかかわらず、私たちのオンライン活動は可視状態です。通信をセキュアにするためにVPNを選ぶ人もいますが、ネットワーク接続ごとにVPNをオンにする手間がかかるため、多くの人はVPNを定期的に使用しません。

Wireless Broadband Alliance（WBA）は、OpenRoaming という画期的な技術を提供しています。この革新的な技術は、キャプティブポータルや手動でのパスワード入力の手間をかけずに、シームレスで安全なWi-Fiアクセスを提供します。

(https://wballiance.com/openroaming/how-it-works)

Extreme Networks はOpenRoaming のTechnology Provider であるだけではなく、Extreme Networks の 無線アクセスポイント 及び無線コントローラ はOpenRoaming Intercrop Certified も持っています。

OpenRoamingの仕組みについて

エンドユーザーにとっては、OpenRoamingの利用は驚くほど簡単です。MacOS、Windows、Android、iOS、Linuxなど、デバイスのオペレーティング・システム（OS）にOpenRoamingのプロファイルをインストールするだけです。該当するデバイスはOpenRoaming のプロファイルをインストールすると、SSIDの名称に関係なく、世界中のWBA OpenRoaming をサポートできるSSIDへのアクセスできます。このプロファイルが証明書であり、有効期限が切れるまで複数年間の有効性があります。また、将来のOSアップデートでOpenRoamingプロファイルがデフォルトで含まれることが期待されていますが、本稿執筆時点（2024年4月）ではまだ実装されていません。

OpenRoaming の仕組みを理解するためには、下記のキーワードの理解が必要です：

• Identity Providers（IDPs）： 異なるWi-Fiネットワーク間の認証を実施するため、ユニークなユーザーIDを生成し、ユーザー認証と認可を処理するサービスです。デバイスにインストールしたプロファイルはIDPから生成したものです。
• Access Providers（APs）： ユーザーにインターネット・アクセスを提供する Wi-Fi ネットワークです。APs はWBA OpenRoaming フェデレーションの登録が必要であり、その上にWBA OpenRoaming用のプロトコルとセキュリティ対策に準拠しています。例えば、Extreme　Networks 無線コントローラ(ExtremeCloud IQ Controller) とExtreme　Networks 無線アクセスポイントはアクセスプロバイダとして機能します。
• Federation Hub： OpenRoamingを促進する中心的なコンポーネントで、IDPsとAPs間の仲介役として機能し、ユーザーとWi-Fiネットワーク間のシームレスな接続を保証します。WBA Open Roamingフェデレーションがフェデレーションハブとして機能します。

OpenRoamingの主要コンポーネント

• IEEE 802.11u / Passpoint (Hotspot 2.0) : Wi-Fi Certified Passpointプログラム（またはHotspot 2.0）の一部であるこの業界標準の修正は、自動ネットワーク検出と選択、シームレスなホットスポット間ローミング、および強化されたWPA3™セキュリティを提供します。
• Dynamic Peer Discovery（DPD）： アクセスネットワークプロバイダがアイデンティティプロバイダが運営するサーバやエージェントを動的に検出できるようにすることで、公衆Wi-Fiネットワークへのローミングを簡素化し、設定の複雑さを大幅に軽減します。
• WBA OpenRoaming PKI: WBA OpenRoamingに加入することで、OpenRoaming PKI証明書を購入することができ、IDプロバイダとWi-Fiネットワークプロバイダ間のコラボレーションを促進する集中型ポリシーオーソリティを実現し、ユーザーに安全なWi-Fi体験を提供します。
• RADSEC： RADIUS over TLSとしても知られ、ネットワークインフラ（無線コントローラやアクセスポイントなど）とWBA OpenRoamingフェデレーション間の安全な通信トンネルを確立し、RADIUSパケットの暗号化通信を保証します。

OpenRoamingは、TLS暗号化を利用し、不正アクセスからユーザーデータを保護し、GDPRの慣行に従います。

証明書ベースの認証は、安全な通信を保証し、ユーザー、IDP、およびAPの身元を確認し、それによって完全なエンドツーエンドの安全な通信フレームワークを作成します。

Easy OpenRoaming

Extreme Networks のExtremeCloud IQ Controller を利用すると、OpenRoamingの設定は非常にシンプルことが特徴です。下記図を示すように、Open Roamingを作成した際には、Trust – Point とWBAID を追加するだけです。

検証結果

日本Labで端末に東京フリーWi-Fi 及びWBA のDevice Profileをインストールし、無事にWBA OpenRoamingに対応したWi-Fi Networkを接続できたことを確認しました。

OpenRoamingは、キャプティブ・ポータルの煩わしさに別れを告げ、世界中のユーザーにシームレスで安全なWi-Fi体験を提供します。

ExtremeCloud IQ Controllerの詳細はこちらをご覧ください。