社内のIT機器特定に役立つMACアドレス、
ランダム化の功罪と効率的な端末管理方法とは?
社内ネットワークに接続するPCやスマートデバイス等の機器特定、端末管理に利用されているMACアドレス。IT管理者は社内で申請された機器情報や、ルータ、スイッチのログ等からMACアドレスを収集・リスト化することも多いでしょう。
しかし、最近ではスマートデバイスでランダム化されたMACアドレスが実装され、機器特定ができなくなるといった問題も発生しています。こうした中で、企業・組織のネットワークで、MACアドレスでスムーズに機器特定、端末管理を行う方法についてご紹介します。
目次
機器特定にも役立つMACアドレスとは?
PCなどのネットワークに繋がる機器が通信するためには、ネットワークで割り当てられる識別番号である「IPアドレス」の他にデバイスのネットワークインターフェースを識別する「MACアドレス(Media Access Control)」が必要になります。MACアドレスは、PCやプリンタ、スマートフォン、IoT機器などネットワークに接続する機器のネットワークインターフェース単位で一意に割り当てられます。
このような性質からMACアドレスは、IT管理者にとって機器を特定しアクセスを管理するのに重宝します。ルーターやWi-Fiアクセスポイントのログを調べると、社内ネットワークに接続している機器のMACアドレスが分かります。
MACアドレスは16進数で「00:80:17:■:■:■」のように表されます。先頭6文字はベンダー固有のID(OUI:Organizationally Unique Identifier)で、標準化団体であるIEEEが番号を管理しています。そのため、IEEEのサイトなどでOUIを検索すると、製造元がわかります。例えば「00:80:17」の製造元は「PFU LIMITED」ですが、社内にPFUの機器がないはずなのに、ログにPFUのOUIがあるなら、不正接続が疑われるということになります。
無線LAN接続の際に、MACアドレスでフィルタリング
このような仕組みから、企業や組織では、無線LANに接続を許可する端末のMACアドレスを登録し、フィルタリングを行っている場合があります。無線LANの接続認証には、SSIDとパスワードを利用することもありますが、接続する端末を限定するためにフィルタリングを行っておけば、不正な接続を防止することができます。
最近のスマートフォン・タブレットにおいては、ランダム化されたMACアドレスがデフォルトで設定されるケースもあり、MACアドレスによるフィルタリングが難しくなってきています。
ランダム化されたMACアドレスで、機器特定しづらい状況に?
ランダム化されたMACアドレスは、Probe RequestとWi-Fiアクセスポイントへの接続要求の2つの場面で適用されます。スマートフォンやタブレットは、接続可能な無線LANのアクセスポイントを探索するために、自身のMACアドレスを発信し続けており、これをProbe Requestといいます。iOS 8~iOS 13、Android 8~9、windows 10については、Probe Requestの場合のみランダム化されたMACアドレスを使用していました。
さらに2020年にリリースされたiOS 14やAndroid 10では、無線LANに接続する際にもランダム化されたMACアドレスが使用されるようになりました。Probe RequestでMACアドレスをランダム化されていても機器特定に影響がありませんが、無線LANへの接続要求でランダム化されていると、接続されている機器が特定できなくなります。
ランダム化されたMACアドレスが登場した理由と無効化する方法
ランダム化されたMACアドレスは、プライバシー保護の観点からデバイスの匿名化のために導入されました。MACアドレスのプライバシー性については、次のように考えられます。
端末のMACアドレスは、Probe RequestやWi-Fiアクセスポイントへの接続要求でやり取りされます。そのためWi-Fiアクセスポイント設置者がログを取得する、あるいは第三者が電波を傍受することで、MACアドレスの位置を数メートル単位で把握できます。端末所有者の特定はできずとも、その人の移動の追跡ができてしまうことになります。特にProbe Request において「Wi-Fiに接続していなくても、Wi-FiがONになっていれば位置情報を提供している」ということは、知らない人も多いかもしれません。
ネットワークの領域においても、プライバシーの配慮からさまざまな機能実装や標準化が進められています。その一環としてApple, Google, Microsoftが先行してランダム化されたMACアドレスをOS実装しました。
ランダム化されたMACアドレスは、ネットワーク管理にさまざまな影響を及ぼしています。前述のように、無線LANに接続を許可する端末のMACアドレスを登録し、フィルタリングを行っている企業・組織では「今まで問題なく接続できていたのに、OSをアップデートしたらランダム化されたMACアドレスが有効になり、急に接続ができなくなった」といった問題がすでに発生しています。
企業や組織のネットワークに接続する端末は、セキュリティリスクを抑えるためにしっかりと管理するべきものです。そのためには各端末のランダム化を無効にして、デバイスのMACアドレスを使用する必要があります。ランダム化はSSID単位で無効化できるため、煩雑な手順にはなりますが、企業・組織のネットワークに接続する場合のみ無効とすることもできます。
社内接続機器の特定と、ランダム化されたMACアドレスの端末のスムーズな管理に役立つiNetSec SF
iNetSec SFは社内ネットワークに接続するさまざまな機器を自動的に検出し、管理外の機器が接続されたときに遮断することもできるアプライアンス製品です。
ランダム化されたMACアドレスで接続した場合は、機器を検知・遮断し、利用者にランダム化されたMACアドレスの設定を無効化するようメッセージを表示することも可能です。それによって、社内ネットワークにおいてランダム化されたMACアドレスの無効化を徹底することができ、IT管理者の運用工数を削減できます。また、利用者側にも遮断された理由がメッセージで表示されるため、混乱なくスムーズに対処することができます。
また、MACアドレスからベンダー名を変換するだけでなく、機器種別やOS名、OSバージョン、ホスト名を取得することもできます。さらに、初めて接続した端末については自動的に利用申請画面を表示し、利用者の情報を入力するよう促します。このような仕組みにより、機器だけでなく利用者も特定することができるようになります。
iNetSec SFは、ネットワークに接続した機器や利用者の特定を実現し、安全な利用環境の維持に貢献しています。
商標について
Apple、iOSは、Apple Inc.の商標です。
Google、Androidは、Google LLC.の商標または登録商標です。
Microsoft、Windowsは、米国Microsoft Corporationの米国およびその他の国における商標または登録商標です。