EAP-SIMとは?公衆Wi-Fiで20年使われるSIM認証の仕組みを解説(EAP-AKA/AKA')

こんにちは、コモン・クリエーションでIoT・SIMエンジニアリングサービスの事業責任者をしている山本です。本記事では、SIMの秘密鍵を使ってWi-Fi接続を認証する仕組みであるEAP-SIM/EAP-AKA/EAP-AKA'について解説します。
はじめに
昨今、ローカル5GとWi-Fiの認証統合という文脈で、SIMを用いたWi-Fi認証が改めて取り上げられる機会が増えています(三井情報、ローカル5GとWi‑FiにおけるSIM認証の共通化を実現 を参照)。
しかし、SIMによるWi-Fi認証はけっして新しい技術ではありません。IETFで2006年にRFC化され、日本の通信キャリアが2012年から公衆Wi-Fiサービスで商用稼働させてきた、十分に成熟した方式です。
本稿では、以下の項目を仕様と実例に基づいて整理します。
EAP-SIM/EAP-AKA/EAP-AKA'とは何か
仕様面から見た技術の歴史
日本国内・海外での商用利用実績
システム構成(Wi-Fi AP/RADIUS/SIMクレデンシャル)
弊社がこの技術を実装する場合のアプローチ
1. 用語と仕様の整理
SIMベースのEAP認証は次の3方式に整理できます。いずれもIETFで標準化されています。
方式 | 正式名称 | RFC | 発行年 | ベースとなるSIM/USIM機能 |
|---|---|---|---|---|
EAP-SIM | EAP Method for GSM Subscriber Identity Modules | RFC 4186 | 2006 | GSM認証(Ki、A3/A8) |
EAP-AKA | EAP Method for 3rd Generation Authentication and Key Agreement | RFC 4187 | 2006 | USIM AKA(K、Milenage) |
EAP-AKA' | Improved EAP Method for 3rd Generation Authentication and Key Agreement | RFC 5448 | 2009 | USIM AKA + 鍵導出強化(SHA-256、網名バインド) |
ポイントは次の通りです。
いずれもEAP(Extensible Authentication Protocol、RFC 3748)の認証方式の一つ。802.1X(Wi-FiのWPA2/3-Enterprise)上で使えます。
SIM/USIM内部の秘密鍵と認証アルゴリズム(A3/A8またはMilenage)を、Wi-Fiなど非3GPPアクセスでそのまま再利用する仕組みです。
EAP-AKA'は3GPP TS 33.402で、Wi-Fiなどnon-3GPPアクセスから3GPPコア網へ接続する場合の正規認証として規定されています。
2. EAP-SIM(RFC 4186)
EAP-SIMはGSM SIMの認証アルゴリズム(A3/A8)を流用し、ネットワーク認証とセッション鍵生成を行う方式です。クライアントとRADIUSサーバーの間でチャレンジとレスポンスを行い、それをWi-FiのEAP/802.1Xフレームに乗せます。
サーバー側は、SIMのIMSIをキーにHLR/AuC(または同等のSIMクレデンシャルストア)に問い合わせ、GSM認証ベクトル(RAND, SRES, Kc)を取得します。これをクライアントのSIMが同じ鍵とA3/A8で計算した結果と突き合わせて認証します。

GSMベースであるため一方向認証であり、現在の用途では後述するEAP-AKA / EAP-AKA'のほうが主流です。
3. EAP-AKA / EAP-AKA'(RFC 4187 / RFC 5448)
EAP-AKAはUSIMの3G認証(AKA、Authentication and Key Agreement)をWi-FiのEAP上で利用する方式です。EAP-AKA'はその改良版に当たります。
3G AKAはGSMと異なり、ネットワーク側もクライアント側に対して身分を証明する相互認証を行う点が決定的に異なります。これは現在のWPA2/3-Enterpriseを用いたWi-Fi接続では大きな利点となります。
EAP-AKA'はRFC 5448で次の改善を加えています。
鍵導出関数をSHA-256ベースに変更
導出鍵にアクセス網の名前(network name)をバインド
EAP-AKAからのダウングレード攻撃の防止
3GPP TS 33.402では、Wi-Fiをはじめとするnon-3GPPアクセスから3GPPコアへ接続する場合の認証としてEAP-AKA'を必須としており、現代のキャリアWi-Fiオフロードでは事実上の標準です。
4. 商用利用の実績
EAP-SIM / EAP-AKAは仕様だけの技術ではなく、日本国内でも10年以上の商用稼働実績があります。
事業者 | サービス | 導入時期 | 方式 |
|---|---|---|---|
KDDI | au Wi-Fi SPOT | 2012年11月〜 | EAP-SIM |
ソフトバンクモバイル | ソフトバンクWi-Fiスポット | 2013年〜 | EAP-SIM |
KDDI | au_Wi-Fi2(現行SSID) | 〜現在 | EAP-AKA(WPA2-EAP) |
AT&T, T-Mobile, Vodafone 等 | Hotspot 2.0 / Passpoint | 2012年〜 | EAP-SIM / EAP-AKA |
au Wi-Fi SPOTでは、2012年10月時点で約20万カ所のアクセスポイントのうち半数以上がすでにEAP-SIM対応に切り替わっていました。当時の発表では、SIM認証の導入により接続完了時間が大幅に短縮されたことも報じられています。
また、Wi-Fi Allianceが定めるHotspot 2.0(Passpoint)のリリース1から、EAP-SIM / EAP-AKAは標準サポート方式の一つとして組み込まれています。海外の主要キャリアはPasspoint経由でモバイル網からWi-Fiへのオフロードを行うために、この方式を商用展開してきました。
5. システム構成
EAP-SIM/AKAを使うWi-Fi認証システムの基本構成は、ごく標準的な802.1X + RADIUSです。特殊な専用機器は登場しません。

実装上必要な要素は次の通りです。
レイヤ | 必要なもの | 既存実装の例 |
|---|---|---|
端末側(Supplicant) | EAP-SIM/AKA対応supplicant、SIM(物理 / eSIM) | iOS, Android, Windowsが標準でサポート。Linuxはwpa_supplicant |
AP/コントローラ側 | 802.1X(EAP over LAN) | 一般的な企業向けWi-Fi APは標準対応 |
認証サーバー側 | EAP-SIM/AKA対応RADIUS | FreeRADIUS(rlm_eap_sim / rlm_eap_aka)、商用AAA製品 |
認証ベクトル供給 | HLR/AuCまたは同等の鍵管理基盤 | キャリアのHLR、または自社のSIMクレデンシャルDB |
端末側、AP側、認証サーバー側のいずれも、すでに標準対応しているかOSSで実装が揃っています。新規発明は存在せず、組み合わせの問題にとどまる、というのが技術スタックの実情です。
6. 弊社がこの技術を実装する場合のアプローチ
技術的なボトルネックは、結局のところ「SIMの秘密鍵をどう発行・管理し、RADIUSにどう連携するか」という一点にあります。Wi-Fi側は既存資産で十分です。
弊社の「LibeSIM」では、SIM / eSIMのプロビジョニング(SM-DP+、IINに基づくICCID発行)、IMSIと秘密鍵の発行・管理(自社でSIMクレデンシャルを保持する構成)、MVNO回線との接続を一気通貫で扱っています。これらをEAP-SIM/AKA対応RADIUS(FreeRADIUSなど)と組み合わせれば、企業Wi-Fi上でのSIM認証はそのまま構築できます。物理UICC、コンシューマ向けeSIM(SGP.22)、IoT向けeSIM(SGP.32)のいずれの形態でも対応可能です。
EAP-SIM/EAP-AKAは、SIMクレデンシャルを管理できる事業者であれば組み立てられる、標準と実装の蓄積された枠組みです。
ローカル5Gに閉じた特殊な仕組みではない、というのが本稿の主張です。
まとめ
EAP-SIM(RFC 4186)/EAP-AKA(RFC 4187)/EAP-AKA'(RFC 5448)は、いずれも2006〜2009年に標準化されたSIMベースのEAP認証方式である。
国内では2012年にau Wi-Fi SPOTがEAP-SIMを導入して以降、公衆Wi-Fiで長年商用稼働してきた。海外でもHotspot 2.0(Passpoint)を通じて主要キャリアが採用している。
構成は802.1X + RADIUS + SIMクレデンシャルの組み合わせで、端末・AP・RADIUSの各層に既存実装が揃っている。
実装上の本質は「SIMの秘密鍵/IMSIを発行・管理できる体制」と「EAP-SIM/AKA対応RADIUS」の連携にあり、これは弊社LibeSIMの領域と重なる。
SIMを使ったWi-Fi認証は、20年近い仕様の歴史と十数年の国内商用実績を持つ、すでに成熟した技術領域です。新しく感じられるとすれば、それは「ローカル5Gとの一体運用」というユースケースの組み立て方であって、認証プロトコル自体ではありません。
参考規格
IETF RFC 3748「Extensible Authentication Protocol (EAP)」
IETF RFC 4186「EAP Method for GSM Subscriber Identity Modules (EAP-SIM)」
IETF RFC 4187「EAP Method for 3rd Generation Authentication and Key Agreement (EAP-AKA)」
IETF RFC 5448「Improved EAP Method for 3rd Generation Authentication and Key Agreement (EAP-AKA')」
3GPP TS 33.402「Security aspects of non-3GPP accesses」
Wi-Fi Alliance「Hotspot 2.0 / Passpoint Specification」
参考サイト
au Wi-Fi SPOTへのEAP-SIM導入(2012年) https://www.itmedia.co.jp/mobile/articles/1211/02/news043.html
FreeRADIUS EAP-SIM/AKA設定ガイド https://wiki.freeradius.org/guide/eap-sim
おわりに
弊社では「LibeSIM」として、SM-DP+ や MVNO 回線、eIM(eSIM IoT Remote Manager)、eUICC、IPA/LPA のご提供を行っております。ご興味がございましたら、デモや PoC 等行っておりますので、ぜひお問い合わせください。

山本 真基
コモン・クリエーション株式会社
執行役員 LibeSIM事業責任者
当社にて、eSIM Tech Partner「LibeSIM」の立ち上げ・事業推進を主導。SM-DP+・eIM・MVNOをワンストップで提供し、eSIMの運用に必要なすべてをオープンに選択できる環境の実現を目指す。国内唯一のeIMプロバイダーとして、SGP.32時代のIoT接続管理の最前線に立つ。
