Kに突っ込まれるまで、今までずっと完全に勘違いしてました。
私はNTTのホームゲートウェイ機器「PR-500KI」に、無線LANカード(SC-40NE「2」)を挿し込んで使っており、スマホをSSID-1(2.4GHz)に、MacBook AirをSSID-3(5GHz)に接続しています。
現在の環境と、SSID-2に対する意識
スマホはSH-01Gなので「IEEE802.11ac」対応。
電子レンジとの干渉を回避できたら…と、本来はSSID-3(5GHz)を利用するつもりだったのですが、部屋によっては電波が届きにくいため断念し、専らSSID-1(2.4GHz)を利用。
MacBook Airはルーター(PR-500KI)を設置をしている部屋で使用しているため電波が良好、5GHzで安定して接続できています。
と、ここまではよかったのですが、問題(?)はSSID-2。
ずっとずっと単純に「SSID-1の方がセキュリティが高く、SSID-2は低い」と思っていたのです。
「SSID-2は、古めのパソコンやゲーム機などで、SSID-1(のセキュリティーレベル)に接続できない場合のみ使うものだ」と。
勝手なイメージとしては『SSID-2は「WEP」と「WPA-PSK(TKIP)」まで対応』くらいかと思っていました。でも「WPA-PSK(TKIP)」はSSID-1で対応しているので「それならSSID-2は「WEP」だけでもいいのにな」という勝手な妄想での仕様です笑
が、実際には、よーくマニュアル(機能詳細ガイド)を確認すると…初期設定ではSSID-2の方がセキュリティが高かった!!
ショックです…。こんなことがショックなのです、私は笑
SSID-1とSSID-2の違いって?
初期値では、SSID-1もSSID-2も暗号化方式は「WPA2-PSK(AES)」。
つまり、これだけだとセキュリティレベルは同等です。
違うのは、SSID-2はデフォルトで「MACアドレスフィルタリング」が「使用する」に設定されいているとのこと。(SSID-1は「使用しない」)
ということは完全に逆ですね、SSID-2の方がセキュリティが高い。
「古めのパソコンやゲーム機などで…」との思い込みは、接続からさらに遠のき、永遠に繋がらないじゃない!という話しです……ショック苦笑
MACアドレスフィルタリングとは?
インターネットに接続できる機器には、パソコンもスマートフォンもタブレットもゲーム機もTVも…すべての機器の有線/無線LANコネクタ自体に、それぞれ名前のようなアドレスが割り振られています。ルーター側はそのアドレスで、どの機器が接続されているか判断できるようになっているのですが、MACアドレスフィルタリングとは、そのアドレスをルーターに事前に登録した機器のみ接続可能にする機能です。
MACアドレスの確認方法は機器によって異なりますが、例えばWindows10のパソコンのMACアドレスは、以下の手順で確認ができます。
- スタートボタンを右クリックし、表示されたメニューの「ネットワーク接続」をクリックします。
- 「状態」という画面が表示されたら「アダプターのオプションを変更する」とクリックします。(この画面はWindows10のバージョンによって表示有無が異なりますので、表示されない場合は、そのまま次に進んでください)
- 表示された「ネットワーク接続」の画面で確認したいLANのアイコンをダブルクリックします。(有線LANの場合は「イーサネット」アイコン、無線LANの場合は「Wi-Fi」アイコン)
「イーサーネットの状態」または「Wi-Fiの状態」という画面で、中ほどにある「詳細」ボタンをクリックします。
- 「ネットワーク接続の詳細」と出ましたら、一覧の「物理アドレス」の欄の右側に記載されているアルファベットと数字を組み合わせたものが、このパソコンのLANのMACアドレスとなります。
今回の場合、SSID-2へ接続したい場合は、事前にルーターの管理画面に入り、ここで確認したMACアドレスを「このMACアドレスを持つ機器は接続可能」と、ルーターに登録する必要があります。
つまりSSIDとセキュリティーキーを知っていても、ルーターにこのMACアドレスを登録していない限り接続ができないので、よりセキュリティーが高まるということになります。
このようにMACアドレスで接続可否を決めるのが、MACアドレスフィルタリングです。
「セキュリティーキーが合っているのに接続できない」という場合は、このMACアドレスフィルタリングを疑う余地があります。
SSID-2は、なんのためにあるの?
SSID-1とSSID-2のセキュリティレベル(暗号化方式)は同等、「MACアドレスフィルタリング」についても初期で「使用する/しない」となっていても、それは設定画面で「使用する」欄にチェックをつけるかつけないかで簡単に切り替えが可能な機能。
わざわざ別々のネットワーク名に分けるほどのことでもないような気がします。
ですが実は…私に「セキュリティが低い」と勘違いされていたSSID-2、そんなことはありませんでした。
「セキュリティレベルを一番高くしたい」と考えた場合、SSID-1とSSID-2はまったく同じレベルに設定することができます。
(そうする意味も機会もないですが「やろうと思えば、どちらも同じレベルまで上げることは可能」ということですね)
SSID-2は、確かに「WEP」にすることができるのですが、これは決してSSID-2自体のセキュリティが低いわけではなく、あくまでも「WEPにすることもできる」というだけのこと。
SSID-1は、この「WEP」の選択がなく、選ぶことができるのは誰でもつなぎ放題となる「なし」です。
他SSIDへの接続機器やルータの管理画面にログインできないようにする「ネットワーク分離機能」である「ポートセパレート」は、SSID-1では「なし」、SSID-2では「WEP」に設定すると、どちらの場合も利用できるようになります。
(この機能も同じく「使用する」にチェックを入れるか入れないか、です。デフォルトはチェックなし)
このようにSSID-1とSSID-2は、どちらが高い低いという問題ではなく(「なし」と「WEP」の差を考えると総合的にはSSID-2が高い、と判断できますが)、目的に応じてセキュリティレベルを使い分けるためにあるのですね。
まとめ
初期値ではSSID-2の方がセキュリティが高い。
(MACアドレスフィルタリングがかかっているため)
SSID-1で接続できないからと言って「ならばSSID-2で接続してみよう」とするのは間違い。
(事前に管理画面にログインし、接続したい機器のMACアドレスを登録しておかないと接続ができない)
どんなときにSSID-2を使うのか。
①WEPにしか対応していない機器を接続したいとき。SSID-2の「無線の暗号化」を「WEP」に設定して利用。
②来客用などのために、セキュリティーキーなしで、自由にWi-Fiを使ってもらいたいとき。(SSID-1を暗号化方式「なし」に設定し、お客様にはSSID-1に接続してもらう)
ただ、それでは自分の機器のセキュリティーが心配なので、SSID-2をWPA2-PSK(AES)・WPA2-PSK(TKIP)・WPA-PSK(AES)・WPA-PSK(TKIP)などのセキュリティーが必要な設定にし、自分の機器のみSSID-2に接続する。
または「MACアドレスフィルタリング」を「使用する」にし、登録した機器しか接続できないようにする。
どんなときにSSID-3を使うのか。
セキュリティレベルはSSID-1と2と同じ。
接続したい機器の無線LANが「11ac」かつ「5Ghz」対応で、ルータからの電波が安定して受信できる場所で使用する場合。
同じNTTのひかり電話対応機器(ホームゲートウェイ)でも、SSID-1とSSID-2の意味合いが異なる製品もあるかもしれませんが、管理画面で設定内容を見比べてみると、色々なパターンで活用できると思います。
※「PR-500MI」でも、同じく初期でSSID-2が「MACアドレスフィルタリング」が「使用する」になっていることを確認できました
