IT用語集

MACアドレスとは? 役割やMACアドレス制限(認証)について解説

水色の背景に六角形が2つあるイラスト 水色の背景に六角形が2つあるイラスト
アイキャッチ
目次

MACアドレスは、IPアドレスと同じくネットワーク通信に欠かせない要素です。ただし「MACアドレスが何のために使われ、どこまでセキュリティに役立つのか」は、言葉だけが先行して誤解されやすい領域でもあります。

本記事では、MACアドレスの概要と役割、確認方法を整理したうえで、MACアドレス制限(一般に「MACアドレスフィルタリング」と呼ばれる方式。慣習的に「MACアドレス認証」と呼ばれることもありますが、厳密には本人確認の認証そのものではありません)がセキュリティとしてどこまで有効なのかを、限界・運用上の注意点・代替策まで含めて解説します。

MACアドレスとは

MACアドレス(Media Access Control address)とは、パソコンやスマートフォン、ネットワーク機器などの通信インターフェース(NIC / 無線LANアダプター等)に割り当てられる識別子です。ネットワーク接続における「機器の識別番号」と捉えると分かりやすいでしょう。

MACアドレスの形式

一般的なMACアドレスは、16進数(0〜9、A〜F)で表現される2桁×6組(例:00:1A:2B:3C:4D:5E)です。先頭3組(24ビット)が製造メーカーを表すOUI(Organizationally Unique Identifier)、後続3組が機器を識別する番号という構成がよく知られています。

一般に、IEEEの登録制度に基づいてベンダーへ割り当てられるブロック(EUI-48/いわゆる48bitのMACアドレス)は、重複が起きにくいよう管理されています。ただし、ローカル管理アドレス(LAA)の利用、仮想環境での複製、設定ミス、ソフトウェアによる偽装などにより、実運用で同一の値が使われる可能性はあります。

MACアドレスは書き換え可能?

はい。多くのOSやドライバー設定では、ソフトウェア的にMACアドレスを変更(偽装)できます。つまり、MACアドレスは「秘密の情報」ではなく、かつ「絶対に偽装できない本人確認情報」でもありません。

MACアドレスが表すのは「端末そのもの」ではなく「通信インターフェース」

MACアドレスはPCやスマホといった“端末全体”に1つ付くというより、通信インターフェース単位(有線NIC、Wi-Fi、仮想NICなど)に割り当てられるのが基本です。1台の端末でも、Wi-Fiと有線でMACアドレスが異なることがあります。

さらに、仮想化(仮想マシン、コンテナ、VPNクライアント、仮想スイッチなど)を使う環境では、ソフトウェアが生成した仮想MACアドレスが登場することも珍しくありません。運用上は「どのMACを見ているのか(物理/仮想/Wi-Fi)」を取り違えると、トラブルシュートやアクセス制御で混乱しやすくなります。

MACアドレスとIPアドレスの違い

MACアドレスとIPアドレスは、ともにネットワーク上で通信相手を識別するための情報です。しかし役割は異なります。

大まかに言うと「宛先の階層」が違う

  • IPアドレス:ネットワークをまたいで目的地(最終到達点)を示すためのアドレス
  • MACアドレス:同一ネットワーク内で「次に届ける相手」を示すためのアドレス

IPアドレスは論理的に割り当てられ、ルーティング(経路制御)で異なるネットワーク間も到達できます。一方、MACアドレスは主に同一リンク(L2)の転送で使われます。通常のIPルーティングでは、MACアドレスだけで異なるネットワーク(L3)越しの到達先を決めることはできません(例外として、L2を延伸して“同一リンクのように見せる”設計を取る場合は別です)。

「L2(リンク層)」「L3(ネットワーク層)」の役割分担として理解すると混乱しにくい

実務では、MACアドレスはスイッチング(L2)の世界、IPアドレスはルーティング(L3)の世界、と整理すると判断がしやすくなります。通信は多くの場合、L2フレームの中にL3のIPパケットが入る形で運ばれます。IPで最終宛先を示しつつ、フレームとしては「次に届ける相手」をMACで指定して運ぶ、という二重構造が要点です。

MACアドレスの役割

IPアドレスだけで通信できそうに見えても、実際の通信ではMACアドレスが重要な役割を果たします。ポイントは、IPは「最終目的地」MACは「次の中継先」として使われる点です。

「次に届ける先」を決めるために必要

異なるネットワーク間で通信する場合、データはルーターなどの機器を経由して中継されます。送信元の端末は、IPアドレスで最終目的地を指定しつつ、実際のフレーム転送では「次に渡す相手(多くの場合はデフォルトゲートウェイ)」のMACアドレスを宛先として送ります。

同一ネットワーク内での通信と、別ネットワーク宛ての通信で「宛先MAC」が変わる

同一ネットワーク内(同一セグメント/同一VLANなど)であれば、宛先MACは“相手端末のMAC”になります。一方、別ネットワーク宛てであれば、宛先MACは“ルーター(デフォルトゲートウェイ)のMAC”になります。IPの宛先は最終目的地のままですが、MACは「次の一歩」の相手に切り替わる、という動きです。

ARP(アープ)との関係

IPアドレスは分かっているが、相手のMACアドレスが分からない――このときに使われる代表的な仕組みがARPです。端末はARPにより「このIPアドレスの相手のMACアドレスは何か」を問い合わせ、得られた結果をもとにフレームを送ります。

ARPは便利だが、誤動作や攻撃の足場にもなり得る

ARPの結果は端末内のキャッシュ(ARPテーブル)に一定時間保持されるのが一般的です。ここが壊れると「同じネットワークなのに通信できない」「特定の宛先だけおかしい」といった切り分けに直結します。

また、同一セグメント内でARPを悪用し、偽の対応付けを流し込む(いわゆるARPスプーフィング/ARPポイズニング)ことで、通信を盗聴・改ざん・中継(MITM)する攻撃も成立し得ます。スイッチング環境でも“同一L2に入れた時点で成立する攻撃がある”という意味で、MACやARPはセキュリティ設計の前提条件になります。

IPv6ではARPではなく別の仕組みで「相手のMAC」を解決する

IPv6環境では、IPv4のARPに相当する「同一リンク上での相手のリンク層アドレス(MACなど)を知る」役割を、Neighbor Discovery(近隣探索)が担います。Neighbor Discoveryはこれに加えて、ルーター探索や到達性確認なども含む仕組みです。呼び名や手順は異なりますが、結局のところ「同一リンク上で、次に渡す相手を特定してフレーム転送する」という必要性は変わりません。MACアドレスが“同一リンク上の配送先”として重要な点も同様です。

MACアドレスの確認方法

MACアドレスは、OSの設定画面から確認できます。ここでは代表的な手順を紹介します(端末やOSバージョンにより表示名が異なる場合があります)。

Windows 10

  1. スタートメニューから「設定」を選択
  2. 「ネットワークとインターネット」を選択
  3. 「状態」の画面で「ハードウェアと接続のプロパティを表示する」を選択
  4. 「物理アドレス(MAC)」の項目を確認する

※Windows 11は「設定」→「ネットワークとインターネット」→「ネットワークの詳細設定」→「ハードウェアと接続のプロパティ」から確認できるのが代表例です(表示名は環境により多少異なる場合があります)。

Android

※Androidは機種やOSバージョンにより表示名や階層が異なります。近年はネットワークごとにMACをランダム化する挙動が一般的です。

  1. 「設定」を開く
  2. 「ネットワークとインターネット」や「接続」など、Wi-Fi設定に近い項目を開く
  3. 接続済み(または保存済み)のWi-Fiネットワークの詳細を表示する
  4. 「MACアドレス」が「デバイス(端末)」と「ランダム(プライベート)」のように表示される場合は、どちらを見ているかに注意して確認する

iOS

  1. 「設定」を開く
  2. 設定画面から「一般」を選択
  3. 「情報」を選択
  4. 「Wi-Fiアドレス」の項目を確認する

確認するときの注意:Wi-Fiでは「ランダムMAC」が表示される場合がある

近年のOSでは、プライバシー保護のためにWi-Fi接続時のMACアドレスをランダム化(プライベートアドレス化)する機能が一般的です。この場合、同じ端末でも接続先SSIDごとにMACが変わったり、一定の条件で変更されたりします。運用でMACを固定の識別子として使う場合は、この挙動が障害や管理負担の原因になり得ます。

MACアドレス制限(認証)はセキュリティとして有効?

MACアドレスは「端末ごとに割り当てられる識別子」であることから、ネットワーク接続を制限する目的で使われることがあります。たとえば、管理者が許可したMACアドレスの端末だけをWi-Fiに接続させる、といった運用です。

ただし、結論から言うとMACアドレス制限だけで十分なセキュリティ対策とは言えません。理由は大きく2つあります。

理由1:MACアドレスは「見えてしまう」

MACアドレスは、同一ネットワーク内の通信(フレーム)に含まれます。つまり、ネットワーク上のパケットを観測できる状況では、MACアドレスを把握されやすいという性質があります。

理由2:MACアドレスは「偽装できる」

多くのOSでは、ソフトウェア的にMACアドレスを変更できます。そのため、攻撃者が許可済みのMACアドレスを入手できれば、偽装してMACアドレス制限をすり抜けることが可能です。

現代の端末では「ランダムMAC」も増えている

さらに近年は、プライバシー保護の観点からWi-Fi接続時にMACアドレスをランダム化する機能(ランダムMAC / プライベートアドレス)が一般的になっています。この場合、MACアドレス制限運用は管理・保守が難しくなり、現場で例外設定が増えて形骸化しやすい点にも注意が必要です。

MACアドレス制限が「通る場面」と「通らない場面」

MACアドレス制限は「まったく無意味」ではありませんが、過信が危険です。現実的には、目的と脅威モデルを整理し、「何を防ぎたいのか」に応じて位置づけを決める必要があります。

通りやすい目的:運用上の“雑な接続”を減らす

たとえば、来訪者が勝手にWi-Fiへ接続する、社内の人が私物端末を安易に接続する、といった“意図しない接続”を減らす用途では、MACアドレス制限は一定の抑止力になります。設定の簡便さ、機器側の標準機能として実装されていることも多く、導入の敷居が低い点はメリットです。

通りにくい目的:攻撃者を前提とした侵入防止

一方で、ネットワーク内の通信を観測できる、もしくは許可済みMACの推測・収集ができる攻撃者を想定すると、MACアドレス制限は突破されやすくなります。特に無線LANでは、同一電波空間にいるだけでフレームの一部情報を観測できる状況が生まれやすく、MACを“認証要素”のように扱うのは危険です。

「MACアドレス認証」という呼び方が誤解を生みやすい

MACアドレス制限は、本質的には「接続を許可する端末リスト」を照合するアクセス制御です。ユーザー本人確認(認証)というより“端末っぽさ”の確認に近く、しかも偽装可能です。セキュリティ設計では「MACは識別子であり、強い本人確認情報ではない」という前提を外さないことが重要です。

運用上の注意点:MACで管理しようとすると破綻しやすいポイント

MACアドレス制限は、技術的な限界に加え、運用面で問題が生じやすい点があります。導入する場合は、あらかじめ起きやすい事象を把握しておくと事故が減ります。

端末の入れ替え・修理・増設で登録が増殖する

端末交換や無線LANアダプター交換でMACが変わると、ホワイトリストの更新が必要になります。人手の運用に依存すると、申請漏れや反映遅延が発生しやすく、現場側は「つながらない」→「例外で通してほしい」→「ルールが形骸化」という流れに陥りがちです。

Wi-FiのランダムMACが“正しい機能”として邪魔になる

ランダムMACはプライバシー保護としては望ましい一方、MACを固定の識別子として扱う運用とは相性が悪いです。端末側でランダムMACをオフにする例外運用を増やすほど、今度はプライバシー/セキュリティの別リスク(追跡可能性や設定のばらつき)が増えます。

同一MACの衝突・重複が起きると切り分けが難しい

一般に、IEEEの登録制度に基づいて割り当てられるブロックは重複が起きにくいよう管理されていますが、LAAの利用、仮想環境での複製、設定ミス、偽装などにより、実運用で同じ値が使われる可能性はあります。LAN内にMAC重複が入ると、スイッチの学習(MACアドレステーブル)が不安定になり、通信が届いたり届かなかったりするなど、現象が再現しにくい障害につながる場合があります。

では、どう考えるべきか

MACアドレス制限は位置づけとして“補助的な制限”です。セキュリティとしては、以下のような対策と組み合わせることが重要です。

  • 802.1X認証(ユーザー/端末認証):ID・証明書などを用いて正規利用者かを確認する
  • MFA:認証情報が漏れても突破されにくくする
  • 端末の健全性確認(NAC / 条件付きアクセス等):未更新端末や不適切端末の接続を制限する
  • ネットワーク分離:万一侵入されても被害を広げにくくする
  • 監視・ログ:不審端末や異常挙動を検知して追跡する

802.1X(WPA2-Enterprise等)を中心に据えると「偽装耐性」と「運用耐性」が上がる

802.1Xでは、ユーザーID/パスワード、端末証明書、デバイス証明書などを使って接続時に認証を行い、接続ポリシー(VLAN割当、ACL適用、隔離ネットワーク誘導など)を実装しやすくなります。MACに寄せた管理よりも、本人確認・端末管理・例外運用を統合しやすいのが現代的な考え方です。

「誰が・どの端末で・どのネットワークに接続できるか」を運用で支える

重要なのは、MACアドレスという“弱い識別子”に依存しすぎないことです。台帳(端末管理)、認証(ユーザー/端末)、健全性(パッチや暗号化)、ネットワーク分離(権限境界)、ログ監視(気づける仕組み)を組み合わせて、判断と対応ができる状態を作ることが、実務に耐えるセキュリティになります。

この記事のまとめ

MACアドレスは、ネットワーク機器の通信インターフェースを識別するための情報であり、IPアドレスと役割分担しながらネットワーク通信を成立させています。特に同一ネットワーク内では、MACアドレスが「次に届ける先」を指定する要素として重要です。

一方、MACアドレスは秘匿情報ではなく、観測されやすく偽装も可能です。そのため、MACアドレス制限(一般にMACアドレスフィルタリングと呼ばれる方式)をセキュリティ対策として使う場合は、補助的な位置づけに留め、802.1X認証やMFA、端末制御、ネットワーク分離、監視・ログなどと組み合わせて運用することが重要です。

MACアドレスとは何ですか?

MACアドレスは通信インターフェースに割り当てられる識別子で、同一ネットワーク内の通信で次に届ける相手を指定するために使われます。

MACアドレスとIPアドレスの違いは何ですか?

IPアドレスは最終目的地を示すためのアドレスで、MACアドレスは同一ネットワーク内で次に渡す相手を示すためのアドレスです。

MACアドレスは世界で重複しないのですか?

一般に、IEEEの登録制度に基づいて割り当てられるブロックは重複が起きにくいよう管理されていますが、LAAの利用、仮想環境での複製、設定ミス、偽装などにより、実運用で同じ値が使われる可能性はあります。

MACアドレスは変更できますか?

多くのOSやドライバー設定でソフトウェア的に変更できるため、MACアドレスは偽装できない本人確認情報ではありません。

ARPとは何ですか?

ARPはIPv4環境でIPアドレスに対応するMACアドレスを問い合わせて把握する仕組みで、端末は結果を使ってフレーム送信を行います。

MACアドレス制限はセキュリティとして有効ですか?

補助的な制限としては機能しますが、MACアドレスは観測されやすく偽装も可能なため、単独で十分なセキュリティ対策とは言えません。

なぜMACアドレス制限は突破されやすいのですか?

同一ネットワーク内の通信を観測できるとMACアドレスが把握されやすく、さらに多くのOSでMACアドレスを偽装できるためです。

ランダムMACとは何ですか?

プライバシー保護のためにWi-Fi接続時のMACアドレスをランダム化する機能で、MACアドレス制限運用の管理を難しくする場合があります。

MACアドレス制限を使う場合の運用上の注意点は何ですか?

端末交換や増設で登録が増えやすく、ランダムMACの影響で例外設定が増えやすいため、運用負担と形骸化リスクを見込む必要があります。

MACアドレス制限の代わりに重視すべき対策は何ですか?

802.1X認証、MFA、端末管理と健全性確認、ネットワーク分離、監視とログを組み合わせて接続の正当性を担保することが重要です。

記事を書いた人

ソリトンシステムズ・マーケティングチーム

申込受付中 イベント&セミナー 医療情報セキュリティ GIGAスクールも校務DXもソリトンでまとめて解決 2025年度 セキュリティ実態調査

ピックアップ Pick up

Pick up一覧

タグ Tag

金融 流通・小売 医療 エネルギー 運輸 サービス 情報通信 中央省庁・独法 自治体・地方公共団体 教育・文教 認証 エンドポイント ネットワーク ゼロトラスト 販売店インタビュー メーカーインタビュー セミナーレポート 展示会・フェアレポート サイバーセキュリティ リモートアクセス テレワーク 社内LAN 無線LAN プロダクト検証 サプリカント設定 技術解説記事 調査報告 Windows iOS macOS Android ChromeOS DHCP/DNS Soliton OneGate NetAttest EPS NetAttest D3 SmartOn ID InfoTrace 360 Soliton SecureBrowser Soliton SecureDesktop WrappingBox FileZen S VVAULT コラム 調査レポート目次 Soliton SecureWorkspace HiQZen 外部リンク VVAULT AUDIT サイバー攻撃 SASE
強固な認証で企業ネットワークを安全に 止まらないネットワークを実現する SSW 1/10程度のコストで実現 ゼロトラストを実現するIDaaS

関連記事

Related Article