Broadband Watch logo

無線LANルータ編
第4回:MACアドレスとMACアドレスフィルタリング


 有線LAN、無線LANを問わず、すべてのネットワーク機器にはMACアドレスと呼ばれるユニークなIDが付与されています。このMACアドレスを用いたセキュリティ方式として、MACアドレスフィルタリングがあります。


MACアドレスは機器ごとに固有の番号が割り当てられる

 有線、無線を問わず、ネットワークに接続する機器には「MACアドレス」と呼ばれるIDが付与されています。無線LANカードを例に取ると、大抵は本体を裏返した面に貼られているシールに「MAC:XX XX XX XX XX XX」という番号が見つかると思います(写真1)。また、有線/無線LANに同時対応した最近のノートPCでは、無線LANのMACアドレスと有線LANのMACアドレスが本体底面に記されているケースもあります(写真2)。

 これらの例に限らず、世の中にあるすべてのネットワーク機器には、それぞれユニークなMACアドレスが振られています。というのも、ネットワーク機器は最終的にMACアドレスを使ってお互いを認識し、通信を行なうからです。従って、同じMACアドレスを持つ機器が複数存在すると、どれを相手に通信をしたら良いのかが判断できなくなってしまいます。これを避けるため、すべてのネットワーク機器は製品の製造段階でMACアドレスが重複しないような配慮がされています。

 ただ、通常はこうしたことを利用者が認識するケースはほとんどありません。MACアドレス自体は、12桁の16進数で構成され、最大で281兆個の機器が利用できることになっています。各機器に割り振られたMACアドレスを利用者に覚えてもらうのは大変ですし、入力するのも面倒です。このため、通常はURLやホスト名、IPアドレスなどを入力すると、後は機器内部でMACアドレスに変換して通信をしてくれるわけです。


写真1:無線LANカードの例 写真2:ノートPCの例




MACアドレスフィルタリングは無線LANのセキュリティ手段の1つ

 以上のように、一般的にはLANを利用するにあたって、意識する必要がないMACアドレスですが、無線LANを利用する場合には少しだけ関係してきます。

 無線LANでは、通信の状況を目視できるわけではなく、家庭内に設置した無線アクセスポイントに近所からアクセスがあったとしても、ただちに知ることはできません。ご近所レベルならばまだしも、まったく関係のない第3者から侵入されてしまう場合もあるかもしれません。

 こうした危険性を防ぐ手段の1つとして、通信できる相手を特定のMACアドレスに限定しようという仕組みが「MACアドレスフィルタリング」になります。例えば、図1のように「黄」「赤」「青」「緑」というアクセスポイントが4台ある環境を考えます。

 このうち、アクセスポイント黄に、通信して良い相手(登録MACアドレス)として、赤のMACアドレス「00-11-22-33-44-01」と、青のMACアドレス「00-11-22-33-44-02」を登録したとします。これによって、赤と青のアクセスポイントは、黄のアクセスポイントとの通信を試みた場合でも、問題なく行なえます。

 一方、リストに登録されていないMACアドレス「AA-BB-CC-DD-EE-FF」を持つ緑のアクセスポイントは、黄に通信を試みても拒絶されます。すなわち、所有する無線LAN機器のMACアドレスをアクセスポイントに登録することで、指定した機器だけがアクセスポイントを使えるようにすることで、第三者に利用できないようにするのがMACアドレスフィルタリングというわけです。


図1:MACアドレスフィルタリングの動作イメージ

 ただ、無線LAN機器の数が少ないうちは良いのですが、台数が増えてくると登録作業が面倒になるという短所があります。特にアクセスポイントが複数台ある場合、すべてのアクセスポイントに登録を行なわないと意味がないので、オフィスユースなどでは少し面倒かもしれません。

 また、MACアドレスを偽造することも不可能ではないため、MACアドレスフィルタリングをすれば万全というわけでもありません。とは言え、他の対策とも組み合わせることで外部からの侵入が面倒になる効果はあります。

 例えるならば、家の鍵と同じで、万能ではない鍵でも複数個組み合わせれば安全性が向上し、結果として泥棒が入りにくくなる効果が期待できます。従って、MACアドレスフィルタリングも無線LAN通信におけるセキュリティ手段の1つとして考えるのが良いでしょう。


関連情報

URL
  無線LANルータ編 索引ページ
  http://bb.watch.impress.co.jp/cda/koko_osa/17754.html

2007/05/14 11:02

槻ノ木 隆
 国内某メーカーのネットワーク関係「エンジニア」から「元エンジニア」に限りなく近いところに流れてきてしまった。ここ2年ほどは、企画とか教育、営業に近いことばかりやっており、まもなく肩書きは「退役エンジニア」になると思われる。
Broadband Watch ホームページ
Copyright (c) 2007 Impress Watch Corporation, an Impress Group company. All rights reserved.