MAC アドレスフィルタリング機能を停止した
運用していてメリットよりデメリットの方が大きかったので、MAC アドレスフィルタリング機能を停止しました。
オフィス移転のタイミングでネットワーク施工会社の方から MAC アドレスフィルタリング機能を提案されて導入しました。
当時は「MAC アドレスフィルタリング機能を設定すると、セキュリティ向上するし良さそう」と思っていましたが、安易に導入するべきではありませんでした。
今振り返ると、社内ネットワークに接続しても社員の PC 以外はプリンターとスキャナーぐらいしか無いので、MAC アドレスフィルタリング機能を設定すること自体、オーバースペックだったと今なら思えます。
メリットは、セキュリティ機能と思っていたけど、以下の引用によるとそうでもなさそうでした。
しかし、MACアドレスフィルタリングは、昨今の企業を対象にしたサイバー攻撃に対して、セキュリティ上、ほとんどなんの意味も持たないことがわかっている。「効果は限定的」「無いよりはまし」といったレベルではなく、場合によっては「MACアドレスフィルタリングを設定して安心している」ことが、セキュリティ管理の甘いネットワークであることを攻撃者に対して通知する機会を与えることにもつながっている。MACアドレスフィルタリングが”危ない”理由の1つは、なりすましが容易いことだ。MACアドレスはネットワーク上で暗号化されないため、無線LANのパケットをキャプチャすれば外部から丸見えだ。MACアドレスを変更できるツールはインターネットで配布されており簡単に入手できる。つまり、悪意を持った攻撃者は、それらツールを使ってMACアドレスを偽装するだけで、フィルタリングをあっさり、かいくぐることができるのだ。
本記事を書く過程で「MAC アドレスフィルタリング」について調べてみたら、自分の知識が乏しいことを痛感しました。セキュリティ向上のために設定していた機能がほぼ意味がなかったようです。
以上、MAC アドレスフィルタリングを停止して、社内ネットワークの運用負荷が下がってハッピーな現場からお送りしました。