FAQ|YAMAHA RTX × PIO-ID(リモートアクセスVPNの認証強化)
文書更新日: 2026-05-26
本FAQは、YAMAHA RTXとPIO-IDを組み合わせてリモートアクセスVPNの認証を強化する場合の、よくある疑問点を整理したものです。 具体的な設定手順は、関連ドキュメントの設定例を参照してください。
関連ドキュメント
- 設定例(パスワード認証): リモートアクセスVPN-パスワード認証
- 設定例(2要素認証): リモートアクセスVPN-2要素認証(パスワード認証+ワンタイムパスワード認証)
- 技術解説: 誤解されている「PAP認証のリスク」
- SCS評価制度向け解説: SCS評価制度におけるYAMAHA RTXのVPN認証・管理者認証強化の考え方
- 解説: YAMAHA RTX向け2要素認証
- 導入事例: RescueNow 導入事例
Q1. リモートアクセスVPNで、クライアント証明書(EAP-TLS)による端末認証は可能ですか?(IKEv2/IPsec希望)
A.
対応していません。
YAMAHA RTXシリーズは、リモートアクセスVPN接続におけるクライアント証明書認証(例: EAP-TLS)をサポートしていません。そのため、PIO-IDを組み合わせても、RTXのリモートアクセスVPNでクライアント証明書による端末認証は実現できません。
IKEv2/IPsecを選択する場合でも、RTXがリモートアクセスVPNでクライアント証明書認証をサポートしていない点は同様です。
Q2. パスワードを事前保存して運用しています(例: YMS-VPN8)。OTPを追加すると、ユーザーにパスワードを開示する必要がありますか?
A.
OTP(ワンタイムパスワード)を追加する運用では、利用者が自分のパスワードを入力できる必要があります。
OTPは都度変わるため、リモートアクセスVPNクライアント側にパスワードを事前保存したまま運用する方式とは相性が良くありません。
Tip
RTX × PIO-IDの2要素認証(パスワード+OTP)では、リモートアクセスVPNクライアントの入力例として password:123456 のように、パスワードとOTPを :(コロン)で連結して入力します。
具体例は リモートアクセスVPN-2要素認証(パスワード認証+ワンタイムパスワード認証) を参照してください。
Q3. WLXのRADIUS/自己CA機能で、RTXのリモートアクセスVPNをPIO-IDと同じように2要素認証できますか?
A.
WLXに搭載されているRADIUS/自己CA機能は、PIO-ID利用時のようなOTPを用いた2要素認証を提供するものではありません。
YAMAHA製品単体でのリモートアクセスVPNへの適用可否や将来計画については、YAMAHAの公式情報を確認してください。
Q4. PAP認証では、パスワードがそのまま平文で送信されますか?
A.
いいえ。RADIUSにおけるPAPでは、User-Password属性が共有シークレットとRequest Authenticatorを用いた方式で保護されるため、入力されたパスワードがそのまま平文で送信されるわけではありません。
ただし、RADIUSパケット全体がTLSで保護されるわけではありません。そのため、RADIUS共有シークレットを十分に長く複雑にすること、送信元を制限すること、認証ログを確認することが重要です。
PIO-IDでは、PAP単体に依存せず、ワンタイムパスワード(OTP)を組み合わせた多要素認証を前提とします。この考え方については、誤解されている「PAP認証のリスク」 で整理しています。SCS評価制度の観点での説明は、SCS評価制度におけるYAMAHA RTXのVPN認証・管理者認証強化の考え方 を参照してください。
Q5. 2要素認証なのに入力が1回に見えます。「2段階認証(2回入力)」は可能ですか?
A.
本構成の2要素認証は、「パスワード」+「OTP」を検証することで成立します。
設定例では、入力回数は1回です。(例: password:123456)
Note
「2段階認証(2回入力)」のように、UI上で入力を2回に分けられるかどうかは、リモートアクセスVPNクライアントの実装や連携方式に依存します。
Q6. RADIUS認証ログはどのくらいの期間保存されますか?
A.
原則として30日間保存されます。プランや個別契約により異なる場合があります。
Q7. 複数拠点のリモートアクセスVPNで、拠点ごとに接続可否を制御できますか?
A.
はい、可能です。
PIO-ID側でユーザ/グループ単位に許可を分けることで、拠点(接続先)ごとにアクセス可否を制御できます。
Q8. 20 名程度の小規模事業所でも導入できるコスト感でしょうか?
A.
PIO-IDはオープンプライスのため、このFAQでは価格を明示していません。
最小契約ユーザ数は10名からです。
費用は要件や利用ユーザ数により異なるため、個別見積りとなります。
PIO-IDのお問い合わせフォーム からお問い合わせください。
Q9. 多要素認証で、SMSやメールによる認証は可能ですか?
A.
対応していません。
Q10. VPN接続端末とOTP表示端末は、どのような組み合わせになりますか?
A.
設定例では、Windows標準のリモートアクセスVPNクライアントと、スマートフォンのAuthenticatorアプリ(ソフトウェアトークン)を組み合わせて利用します。
Info
YAMAHA公式のリモートアクセスVPNクライアントはYMS-VPN8です。
Q11. iPhone/iPadやAndroid端末をVPN接続端末として利用できますか?
A. 本構成のVPN接続端末は、Windows端末を前提としています。スマートフォンやタブレットは、ソフトウェアトークンアプリを表示する端末として利用できます。
本構成でVPN接続端末として利用するには、次の2点を満たす必要があります。
- L2TP/IPsecを利用できること
- PAP認証を利用できること
YAMAHA RTXでRADIUS連携によるリモートアクセスVPNを利用する場合、VPN方式はL2TP/IPsecです。また、本構成ではYAMAHA RTX側でPAP認証を利用します。そのため、L2TP/IPsecまたはPAP認証を利用できないVPNクライアントは対象外です。
iPhone/iPadの標準VPNクライアントは、PAPを明示的に選択できないため対象外です。
Android 12以降は、標準機能でL2TP/IPsecを利用できないため対象外です。Android 11以前は、RTX側をPAPのみに設定した状態で実機検証が必要です。
Info
Apple公式資料では、iOS/iPadOSのL2TP/IPsecはMS-CHAPV2パスワードによるユーザ認証として説明されています。YAMAHA公式資料では、Android 12以降でL2TP/IPsec機能を利用できないと説明されています。
参考: VPN(仮想プライベートネットワーク)のセキュリティ(Apple)、Androidからリモートアクセスする(YAMAHA)
Q12. 社用デバイスに限定したVPN接続は可能ですか?
A.
本構成(RTX × PIO-ID)では、リモートアクセスVPN認証のレイヤで特定デバイスだけを識別して許可することはできません。
RTXがリモートアクセスVPNでクライアント証明書認証をサポートしていないため、証明書などで端末を強固に識別する構成は利用できません。
Q13. OTP はどこに入力しますか?(入力形式は?)
A.
設定例では、リモートアクセスVPNクライアントのパスワード欄に、パスワードとOTPを :(コロン)で連結して入力します。
例: password:123456
補足(全体の前提)
- RTX × PIO-ID構成では、「ユーザID+2要素認証(パスワード+OTP)」によるリモートアクセスVPN認証強化が中心となります。
- クライアント証明書による端末識別・デバイス認証は、RTXの仕様上サポート対象外です。