# WPA3のモードがややこしいのでまとめてみた
2026年5月時点でAruba Centralでの内容となります.また,様々な情報やAIの情報をまとめたものとなり間違いがあるかもしれませんので,参考程度にしてください.
まず,WPA3-Enterpriseで選択出来るモードは以下のとおり.
| WPA3-Enterprise Transition Mode | CCM-128 | トランジションモードでWPA2でも接続可 |
| WPA3-Enterprise Only Mode | GCM-256 | WPA3のみ,WPA2接続不可 |
| WPA3-Enterprise 192-bitモード | CNSA | WPA3のみ,EAP証明書暗号を強制 |
# 6GHzについて
6GHz運用するのでWPA3必須のため,OnlyModeでいいかなと考えていたけど,どうも端末のドライバによってはGCM-256に対応していないものもあるよう.
また,6GHzのみの運用は少し懸案がある.
>>> 技術的には6GHz単独でも繋がる
6GHz単独SSIDでも,クライアントは PSC(Preferred Scanning Channels)という20MHz幅×15chの決まったチャネルだけアクティブスキャンして発見できる仕様になっている.FCC規制で6GHz全帯でアクティブプローブは出来ないが,PSCに限ればOK。
>>> でも実運用ではほぼ5GHz補助が必須
理由は RNR(Reduced Neighbor Report / 802.11ax) という仕組み:
[5GHz Beacon] ← この中に「同じSSIDが6GHzのch37で出てる」という情報を含める
↓
クライアント「ほな6GHz直接スキャンせずいきなり接続する」これが無いと:
- 6GHz発見に数秒〜十数秒かかる
- 移動中のローミングでブチブチ切れる
- バッテリー食う
→ 結論として 5GHz側を「Discovery補助」として一緒に出すのがほぼ必須
なので結果的に5GHzか2.4GHzとの併用になる.ただし6GHz帯ではTransition Mode自体が仕様で禁止(WPA2/WPA3混在不可)されているため,1つのSSIDで両立は不可能.現実的には「WPA2用SSID」と「WPA3用SSID」を分けて運用するのが落とし所になる(後述).
>> PSC(Preferred Scanning Channels)
6GHz帯は5925-7125MHzと広大だが,FCC規制でアクティブプローブ(クライアントから探しに行く)が打てるチャネルが限定されている.具体的には20MHz幅で59chある6GHzチャネルのうち,15chだけがPSCとして定義されており,クライアントはこの15chに対してのみアクティブスキャンが許可されている.
- PSC外のチャネルはパッシブスキャン(ビーコンを受信するまで待つ)のみ
- なのでAP側は基本的にPSCチャネルという上でビーコンを出す設計が推奨される
- Aruba CentralでもAPは自動的にPSCチャネルを優先選択する
PSCだけで運用しても6GHz単独SSIDの発見は理論的には可能.ただし発見までに数秒~十数秒かかるケースもあるため,実運用ではRNR(後述)と組み合わせるのが標準.
>> RNR(Reduced Neighbor Report / 802.11ax)
RNRは802.11ax(Wi-Fi 6)で追加された仕組みで,「ある周波数帯のビーコンに,別の周波数帯のBSS情報を埋め込んで告知する」もの.
- 告知元: 2.4GHz/5GHzのビーコン
- 告知内容: 同じAPから出ている6GHz BSSのSSID/チャネル/BSSID
- 効果: クライアントが6GHzを直接スキャンせずに発見できる
特に重要なのは「同じ物理AP上のBSSしかRNRで告知できない」という制約.別のAPで5GHzだけ出ていても,それは6GHz発見の助けにはならない.
つまり6GHzを使う場合は,そのAP単体で2.4/5/6GHzすべてを同時に出せる構成が前提になる.最新のWi-Fi 6E対応AP(例: Aruba AP-635, AP-655)はトライバンドで全部出せる.
# 実運用設計パターン
6GHzを使いたいが,既存のWPA2クライアントも収容したい — というのが現場で一番多いパターン.前述のとおり6GHzは仕様でWPA3 + PMF必須/Transition Mode禁止なので,1つのSSIDで両立は不可能.
そこでSSIDを2本に分けて運用するのが定石になる.
>> 例: SSID2本構成
| SSID名(架空) | バンド | セキュリティ | 暗号 | 対象クライアント |
|---|---|---|---|---|
office-legacy | 5GHz | WPA2-Enterprise | CCMP-128 | WPA3非対応の既存端末(Wi-Fi 5以前) |
office-modern | 2.4/5/6GHz | WPA3-Enterprise | ccm128 or gcm256 | WPA3対応の新世代端末 |
ポイント:
-
office-modernを5/6GHzで出すことで,5GHzビーコンのRNRが6GHz発見を補助してくれる - 同一SSIDで複数バンド出すので,暗号スイートは1つに揃える必要がある(5GHzと6GHzでccm128/gcm256混在は不可)
- 既存端末の入替に応じて
office-legacyを段階的に廃止していく移行設計
# 暗号スイートはccm128かgcm256か
ここで悩むのが office-modern の暗号選択.
ざっくり結論:
- 互換性重視 → ccm128 (Transition相当のスイート,Only Modeでも選択可)
- 最新世代だけに絞る → gcm256 (Only Mode)
>> 罠: WPA3対応 ≠ GCMP-256対応
WPA3対応カタログ表記の端末でも,Wi-Fi 6世代(5GHz止まり)のチップはGCMP-256対応が怪しい個体が結構ある.
| チップ世代 | 代表チップ | WPA3 CCMP-128 | WPA3 GCMP-256 | 6GHz |
|---|---|---|---|---|
| Wi-Fi 6 | Intel AX200/AX201 | ○ | △ ドライバ依存 | × |
| Wi-Fi 6 | Apple M1 Mac | ○ | △ | × |
| Wi-Fi 6E | Intel AX210/AX211 | ○ | ○ | ○ |
| Wi-Fi 6E | Apple M2 Pro以降 | ○ | ○ | ○ |
| Wi-Fi 6E | iPhone 15以降, Pixel 6以降 | ○ | ○ | ○ |
| Wi-Fi 7 | Intel BE200, FastConnect 7800 | ○ | ○ | ○ |
IEEE 802.11規格上,WPA3-Enterpriseの必須暗号スイートはCCMP-128で,GCMP-256はオプション扱い.つまり「WPA3-Enterprise対応」と謳う製品はCCMP-128さえ実装してれば名乗れてしまう.
判断基準:
- 端末調達基準を「Wi-Fi 6E (802.11ax 6GHz対応) 必須」に揃えられる → gcm256でいける
- Wi-Fi 6止まりの端末も
office-modernに繋ぎたい → ccm128が無難
カタログだけで判断せず,採用予定の主要モデルで5GHz接続+GCMP-256の実機検証を必ず実施したい.
# Windows側の設定対応
Windows 11(21H2以降)の手動プロファイル作成画面では,暗号化選択肢が以下のとおり:
| Windows選択肢 | 中身 | Aruba側設定 |
|---|---|---|
| TKIP | RC4ベース(WPA用) | 使用不可(WPA3で禁止) |
| CCMP | AES-CCM 128bit | ccm128 に対応 |
| GCMP | AES-GCM 256bit | gcm256 / cnsa に対応 |
>> XMLプロファイルで配布する場合
ccm128/gcm256 共通:
<authEncryption>
<authentication>WPA3</authentication>
<encryption>AES</encryption>
<useOneX>true</useOneX>
</authEncryption> 192-bit Mode(CNSA)の場合は <authentication>WPA3ENT192</authentication> を使う.
# まとめ
- 6GHz運用はWPA3 + PMF必須,Transition Mode禁止
- 6GHz単独でも繋がるが,5GHz補助(RNR)があると発見がスムーズ
- 既存WPA2端末との両立はSSIDを2本に分ける設計が現実解
- 新SSIDの暗号スイートはカタログだけで決めず実機検証(GCMP-256対応の罠)
- 端末調達を「Wi-Fi 6E以降」に揃えられるならgcm256で美しく統一可能