Ⅰ.MACアドレスを利用したセキュリティ対策
1.MACアドレスとは
MACアドレス(Media Access Control address)とは、機器のネットワークインターフェースカードに付与される番号で、12桁16進数で表記され、物理アドレスとも呼ばれる。全世界のメーカーが製造時に一意に組み込まれるという点が大きな特徴である。
2.ARPテーブル
ARP(Address Resolution Protocol)テーブルは、MACアドレスとIPアドレスの関連付けを行っている対照表である。企業内ネットワークは、IPv4アドレス(以降、IPアドレスと言う)で設計、構築されており、レイヤ2スイッチングハブではARPテーブルを用いて、通信制御を行っている。物理アドレスであるMACアドレスと論理アドレスと呼ばれるIPアドレスの仕組みを上手く活用することで、企業内のネットワーク通信は勿論のこと、外部組織やInternet経由の通信等が実現出来ている。
3.MACアドレスのセキュリティ対策への応用
MACアドレスをセキュリティ対策への応用がなされている。MACアドレスは全ての機器のネットワークインターフェースカードに一意に付与されているという特徴を活かし、企業内のネットワークに接続許可するPC等の機器をMACアドレスで管理しようという考え方である。情報セキュリティ管理の観点から、企業内ネットワークにPC等を接続するためには、しかるべき手続きのもと、組織の事前審査が必要であるということである。したがって、MACアドレスの接続許可リストに無い機器は、全て不正とみなし、企業内ネットワークに接続できないようにするという考え方に立つ対策である。
Ⅱ.MACアドレスフィルタによるセキュリティ対策と問題点
1.MACアドレスを利用したセキュリティ対策
1-1.MACアドレスを利用した無線LAN接続管理
事前に接続許可されたMACアドレスを無線LANアクセスポイント(基地局)に登録しておくことで、無許可PC等からの無線LAN接続をブロックしようという対策である。無線LANシステムのメーカーのほとんどは標準でこのMACアドレスフィルタ機能を備えており、管理画面から設定できるようになっている。
1-2.ARPテーブルを利用したセキュリティ対策
企業内ネットワークに接続が許可されているPC、ネットワーク機器、サーバー等、全てのMACアドレスを事前に専用機器に登録しておくという対策である。専用機器は専門メーカーから販売されており、ネットワーク上のARPテーブルをその専用機器に保持し、登録外のMACアドレスがないかを常時監視するというものである。登録外のMACアドレスを検知した場合、アラートを管理者へ知らせ、必要に応じて、不正PCを接続させないような処理も自動で行うことができる。
1-3.MACアドレスを利用したDHCPサーバー管理
MACアドレスを事前にDHCPサーバーに登録しておくことで、許可された機器にIPアドレスを付与することができる、という機能がある。固定IPアドレスを付与することができるという運用管理負荷軽減以外に、許可された機器にのみIPアドレスを付与し、企業内ネットワークへの接続を許可するというセキュリティ対策の施策としても捉えることができる。
2.変更可能なMACアドレス
MACアドレスは、容易に変更出来てしまう。全世界のメーカーが製造時に一意に組み込まれる物理アドレスというイメージとは全く逆である。例えば、WindowsOSの場合、必要な管理者権限があればネットワーク設定箇所で、簡単に変更することが出来る。したがって、何らかの手段で企業内に接続されているMACアドレス情報を取得することが出来れば、MACアドレスを偽装し、正規PCとして企業内に接続することが可能ということになる。企業内ネットワークに不正PCを接続させることは、セキュリティ管理上、避けなければいけない事案である。