1. ホーム > 
  2. セキュリティ > 
  3. ネットワークセキュリティを強化する iNetSec > 
  4. blog > 
  5. blog21004

MACアドレスが認証に使用される理由とは?



コンピュータ・ネットワーク・ITサービスなどを使用する際には、人やモノなどの対象の正当性や真正性を確認するために「認証」が行われます。その中で、ネットワークに接続する端末を認証するためにMACアドレスが使用されるケースが多いのはなぜでしょうか。




「MACアドレス」とは、そもそも何?


まずはMACアドレスの概念について振り返っておきましょう。MACアドレスとは、端末のネットワークアダプターやネットワーク機器に製造段階で割り振られる固有の識別番号です。「イーサネットアドレス」「物理アドレス」と呼ばれることもあります。

端末での有線LAN、Wi-Fi、Bluetoothの接続には、それぞれ別のMACアドレスが割り当てられ、スマートフォンや無線LANに接続するゲーム機にもMACアドレスが割り当てられています。

MACアドレスは16進数で表すため0~9、A~Fを使って「00:00:00:00:00:00」~「FF:FF:FF:FF:FF:FF」の範囲で付与されます。

1~3番目の番号がメーカー番号で、4番目が機種番号、5・6番目がシリアル番号になっています。例えば「00:15:5D:11:6G:E8」と付与された場合、1~3番目「00:15:5D」がメーカー番号、4番目「11」が機種、5・6番目「6G:E8」がシリアル番号という構成になります。メーカー番号については技術標準化機関であるIEEEが管理して払い出しており、4番目以降の番号はメーカーが採番して製造段階で付与しています。基本的にMACアドレスは全世界で重複することがありません。



データの送受信に使われるMACアドレス


MACアドレスはたとえ重複したとしても同一セグメント内に同じMACアドレスがなければ問題ありません。というのもMACアドレスは隣接した機器間のデータ送受信にのみ使われるからです。

MACアドレスと似た概念にIPアドレスがあります。IPアドレスは送信先の住所のようなもので「論理アドレス」と呼ばれることもあります。

MACアドレスが機器の製造段階で付与されるのに対し、IPアドレスはソフトウェアによってデバイスごとに割り当てるもので、いつでも変更可能です。またIPアドレスは「最終的な送信先」、MACアドレスは「次の経由地」を指定するのに使わるという違いがあります。

例えばWebブラウザ上でURLを指定すると、最終的な送信先はURLのドメインから変換されたIPアドレスになりますが、経由地としては、端末が接続されているルーターのMACアドレスが指定されます。ルーターよりも先の伝送では端末のMACアドレスは使われないため、万が一世界中のどこかで同一のMACアドレスが存在しても、同一ネットワークに存在しないかぎりデータの送受信には問題がないということになります。このような仕組みでIPアドレスとMACアドレスの両方を使ってデータの送受信が行われています。



ID/パスワード、ICカード、MACアドレス…、認証に利用される様々な要素




認証の要素には大きく分けて「知識情報(ユーザーが知っていること)」「所持情報(ユーザーが持っているもの)」「生体情報(ユーザー自身の特徴)」がありますが、ユーザーなど「人」の認証には次のようなものが使用されます。


  • ID/パスワード
    ユーザーを識別する符号とパスワードを組み合わせて認証します。ソフトウェア上で管理できるため便利ですが、ID/パスワードが流出すると、誰でもその人になりすますことができてしまいます。また流出しなくとも、簡単なパスワードは推測されやすくなります。そのため複雑なパスワードを設定するルールを設けることもありますが、複雑なパスワードは忘れやすいだけでなく、利用するたびに入力が必要となると面倒に感じられることもあります。そして、複数のシステムに同じパスワードを使いまわしがちになり、いったん流出してしまうと被害が他のシステムに広がる可能性もあります。
  • ICカード
    社員証などのICカードで認証を行います。偽造が比較的難しいためなりすましを防止でき、セキュリティを強化できます。一方で紛失の恐れがある、貸し借りができてしまう、いつも携帯する必要がある、ICカードリーダーの導入にコストがかかるといったデメリットがあります。
  • 生体情報
    指紋、顔、虹彩や静脈などの認証システムは、古くから実用化されてきました。ICカードや端末のように忘れたり紛失がなく、なりすましを防止しやすいのがメリットですが、認証精度は100%ではなく、生体情報のリーダーに導入コストがかかるほか、病気や怪我などで認証部位に変化があった人への対応が必要となります。
  • クライアント証明書(ユーザー証明書)
    システムやITサービスを利用する端末に電子証明書をインストールし、正規の利用者であることを認証します。利用者にとってはID/パスワードを入力する手間が省けるのが最大のメリットですが、証明書発行機関へ利用者数分の発行手続きが必要ですし、各端末への展開にも手間がかかります。また、証明書ファイルの流出や端末の紛失時に速やかに該当する証明書を失効させる手段も考慮する必要があります。

一方、端末など「モノ」の認証には次のようなものが使用されます。


  • MACアドレス
    端末のMACアドレスで認証を行うというものです。設定や管理の必要がないため運用がシンプルです。利用者が明示的にID/パスワードなどを入力する手間が省け、ICカードやクライアント証明書などを展開する必要もないため、手軽に利用できるといったメリットがあります。
  • クライアント証明書(コンピュータ証明書)
    IEEE802.1XのEAP-TLS認証などで利用します。端末に電子証明書をインストールし、ネットワーク接続時に正規の端末であることを認証します。証明書の発行・展開に手間がかかり、証明書ファイルの流出や端末の紛失時の対応を考慮する必要があります。

このように認証で使用する要素には一長一短がありますが、社内ネットワークにおける不正接続の検知には、導入・運用の手軽さやコストバランスなどからMACアドレスがよく使用されています。また、従業員のBYOD端末についてもユーザー認証では管理できないので、MACアドレスによる管理が実用的と考えられます。




MACアドレスのランダム化の流れと端末認証での対応




昨今、MACアドレスでの認証に関して注意しなければならないのが、ランダムMACアドレスです。Android 10 や iOS 14 では、ネットワーク接続時にMACアドレスを自動的に変更する機能がついており、デフォルトでオンとなっています。これは空港やホテルなど不特定多数の利用者がいる施設のWi-Fiに接続する際に、端末のMACアドレスが取得されることで追跡が容易となってしまうため、プライバシー保護の観点から設計された機能です。

一方、企業ネットワーク上では、端末のMACアドレスを秘匿しなければならない理由は特にないでしょう。そのため、社内ネットワークへの接続時にMACアドレスによる認証などを導入している場合は、ランダムMACアドレスをオフにする必要があります。

AndroidやiOSでは接続先ごとにMACアドレスのランダム化の設定を分けることができます。




MACアドレスを利用して不正接続を防止する「iNetSec SF」



iNetSec SFは、エージェントレスで社内ネットワークに接続するさまざまな機器を自動的に検出し、不正な機器が接続されたときに遮断することもできるアプライアンス製品です。

昨今、社内の無線LANに私物のスマートフォンを接続したり、テレワークで使用していた個人所有のPCを会社に無断で持ち込むなど、IT管理者が知らないうちに社内ネットワークに端末が接続されている、というケースが増えているようです。未登録の端末は、社内のセキュリティポリシーを満たしていないケースもあり、万一それらの端末がマルウェアに感染していたりすると、自社はもちろん取引先にまで被害が及ぶこともあります。

iNetSec SFは、ネットワーク上を流れるブロードキャストARPを読み取ることで機器を検知し、MACアドレスを使って機器情報を一意に管理しています。そして、未登録のMACアドレスを持つ機器から接続があったときは遮断する機能を持っています。もし新しい機器を接続した場合は、利用申請画面に遷移するため、使用許可の手続きができます。

端末管理をもれなく実施することができ、無断で端末をネットワークに接続できないようにしてウイルス感染の温床をなくすことができます。iNetSec SFの導入によって、シンプルでもれのない端末管理による効果をぜひ実感してください。



商標について
Androidは、Google LLC.の商標または登録商標です。
iOSは、Apple Inc.の商標です。


前の記事へ
次の記事へ