従業員ID管理
エンドポイント管理
エンドポイント検知・対応
脆弱性管理
コンプライアンス自動化
トラストセンター
MACアドレスとは?
メディアアクセス制御(MAC)アドレスは、1979年にIEEE 802仕様の中で開発された基本的なネットワーク技術です。MACアドレスがなければ、送信または要求したデータは宛先に届きません。
MACアドレスは、デバイスのネットワーク・インターフェース・カード(NIC)にハードワイヤードされた12文字のユニークな文字列で構成され、Wi-Fi、Bluetooth、有線ネットワーキングをサポートします。これらの番号は、ネットワーク上のデバイスを識別するために使用され、送信または要求されたデータが正しい場所に送られることを保証します。
12桁の数字は、デバイスのタイプやNICの製造元など、その他の貴重な情報もコード化します。もし目に見えるなら、これらのユニークなアドレスはデバイスに関する多くの情報を提供します。アプリケーションは、このデータをユーザーのプロファイリングに使用し、ネットワーク上でのユーザーの動きや行動を追跡することができます。ネットワーク・オペレーターや他のネットワーク・オブザーバーは、デバイスのネットワーク・アクティビティとロケーションをモニターするために、このデータを使用することができます。
MACアドレスのランダム化とは?
アップルはiOS 8でMACアドレスのランダム化を導入し、ユーザーのプライバシーの保護に役立てています。現在、アップルの最新バージョンのmacOS、iOS、iPadOS、watchOSで利用可能です。デバイスが参加するWi-Fiネットワーク(SSID)ごとに異なるランダム化されたアドレスを作成することで、デバイスの身元を隠します。このアドレスは、その特定のネットワークにアクセスするときにのみ使用されるため、他のネットワークのアクティビティを追跡するために使用することはできません。
ハードウェアコード化されたMACアドレスを使用するのではなく、ランダム化されたアドレスを使用することでシステムが認識されます。その結果、Wi-Fiネットワーク間でユーザーを追跡することはできません。MACアドレスのランダム化は、マップなどの位置情報サービスの使用時、AirDropやAirPlayなどのピアツーピアWi-Fi接続時、またはパーソナルホットスポットやインターネット共有の使用時に、デバイスの身元を隠すためにも使用されます。
保護は完全ではない。アップルは、「優先Wi-Fiネットワークに接続しようとして発生するWi-Fiスキャンはランダム化されない」と述べている。
なぜMACアドレスのランダム化が企業にとって重要なのか?
管理者は、ネットワークの問題を診断するために、同じネットワーク上のすべてのデバイスが独自のMACアドレスを持っているという事実を頻繁に利用する。これにより、ネットワーク問題の原因となっているデータの送信者または受信者を特定することが可能になり、ネットワークのボトルネックの特定に役立ちます。
もちろん、企業はネットワーク侵入からも保護しなければならない。そのために、ルーターが特定のMACアドレスからのトラフィックだけを受け取るように指示するアドレスフィルタリングを使用することができる。
また、トラフィックの多い小売店などでは、顧客特典としてWi-Fiを提供している企業もあります。そのような企業は、顧客の行動データを収集するためにMACアドレスを監視したいと考えるかもしれません。どちらの場合も、Wi-Fiルーターがランダム化されたアドレスを尊重するのではなく、ハードウェア・アドレスを主張するように設定することができる。このようなネットワークは、ランダム化されたアドレスのサポートを拒否することでMACアドレスを収集する可能性があるため、管理者は全従業員に公衆Wi-Fiの使用にはリスクがあることを認識させる必要がある。このような場合、IT部門はこの機能のサポートを無効にするか、拒否することをお勧めします。
MACランダム化はセキュアWi-Fiにどのように影響するか?
ネットワーク管理者の中には、新しいデバイスがネットワークに参加すると通知するように設定されたWi-Fiルーターを管理している人もいます。このような管理された Wi-Fi ネットワークを提供している組織は、これらのランダム化された MAC アドレスで動作するようにセキュリティを更新する必要があるかもしれません。
安全なWi-Fi管理者は、例えば、SSIDルーターで複数のネットワーク(2.4GHzと5GHz)を実行すると、ネットワーク上の各デバイスに複数のアドレス(2.4GHz用と5GHz用)が表示されることに気づくかもしれない。このことは、管理者がネットワーク上で時間ルールやデバイスのブロック、その他のアクションを適用しようとする場合、複数回適用する必要があることを意味する。
KandjiのようなMDMソリューションを使えば、企業はネットワーク上の管理対象デバイスに対し、社内ネットワークにアクセスする際はプライベートWi-Fiをオフにするよう求めることができる。この場合、デバイスはまずランダム化されたアドレスを使用してネットワークに参加しようとし、次にハードウェアMACアドレスを使用することになる。その後、ネットワークに再参加しようとするたびに、デバイスはランダムなMACアドレスを使用しようとすることは注目に値する。
ユーザーはMACアドレスのランダム化を無効にできますか?
通常、ユーザーはデバイスがランダム化を使用していることに気づきません(デフォルトでオンになっています)。
MACアドレスのランダム化を無効にすることは可能です。例えばiPhoneの場合、(a)「設定」>「Wi-Fi」を開き、「I」情報アイコンをクリックして「プライベートWi-Fiアドレス」をオフに切り替えるか、(b)Wi-Fi設定で「このネットワークを忘れる」ようにデバイスに依頼する。デバイスのネットワーク設定をリセットするか、デバイスを消去して新規にセットアップすると、ユーザーは再度ネットワークに参加する必要がある。ただし、セットアップ・アシスタント中にデバイスがWi-Fiネットワークに接続する場合は、ハードウェアMACアドレスが使用されます。 MDMソリューションを使用して、この機能を有効または無効にすることもできます。
MDMを使用してMACアドレスのランダム化を有効または無効にする方法
MACアドレスのランダム化は、MDMによって割り当てられたネットワークプロファイルを使用してリモートで実装できます。IT管理者は、社内のWi-FiネットワークでMACアドレスのランダム化を無効にして、そのネットワークの管理に役立てたい場合があります。(例えばKandjiでは、Wi-Fi Library ItemのGeneral設定にDisable Mac Address Randomizationという命令を追加することで実現できる)。これはSSID(ルーター)に適用され、SSID(ルーター)は接続要求を受け入れるために本物のMACアドレスを要求する。