APPLE TVのWiFi設定について

時代とともに、最適なセキュリティは変化します。

>SSIDを非公開にして

SSIDが公開の場合、端末側は公開されたリストからSSIDを選び、接続を行います。

非公開の場合、端末側からSSIDをコールしてルーターに応答を求めます(「**」さん、いませんか！と周囲に大声で呼びかけるようなもの)。

当然ながら、呼びかけはどのルータにも届く必要があるので暗号化できません。

端末が常にそのSSIDにアクセスできるなら良いのですが、iPhoneやMacBookのような移動端末が増えた今、出先でも自分が使っているSSIDを周辺に聞いて回っている状態となるわけで、その端末が普段接続しているSSIDが移動先の全員に知れ渡ることになります。

これを聞いた悪い人は(その人が常にその場に来るとわかっていれば)、同じSSIDのニセルータを立ち上げ、そちらに誘導することで通信を傍受(場合によっては改変)することが可能となります。

また、非公開SSID設定していても、然るべき解析ソフトを使えば、SSIDを知ることは可能です(つまり、悪意を持った攻撃者からすれば、非公開SSIDは何の対策にもなってない...そもそも、非公開SSIDは知らない人が間違って繋がないようにするためだけの機能であって、攻撃を防ぐ機能ではない)。

>MACアドレス制御した方が良いのか

確かに、特定端末しか繋がらないようにすることは、そのルータに非登録端末が接続できないという意味で悪いことではありません。

しかし、最近はMACアドレスの情報を広範に収集することで、そのMACアドレスを有する端末がどのような場所で使われるのかが解析できるようになってきました。つまり、iPhoneを持って歩けば、あなたの移動履歴が追跡可能となるのです。また、MACアドレス情報から、その端末(の所有者)がどのようなwebサイトにアクセスし、何に興味を持ってるのかといったことも調査可能です(いわゆるビッグデータ解析に使われるということ)。

このため、最近のOSではMACアドレスは固定せず、WiFiルータ毎に異なるMACアドレス(プライベートアドレスと呼ばれる)を使い分けることで、MACアドレスによる追跡を逃れるというのが標準設定となっています。したがって、MACアドレスフィルタを掛けてしまうと、最初はつながったのに次は繋がらないといった事が起こる可能性があります(実際は、設定をリセットしない限り、特定のSSIDには特定のMACアドレスを用いるので、そのMACアドレスでフィルタリングしていれば繋がらなくなることはないです)。

いずれもiPhoneなどの移動体を前提としたセキュリティ対策なので、Apple TVのように移動しない端末の場合にはあまり重要ではないかもしれませんが、移動体も接続するルータであるならば、そちらに合わせて設定しておいたほうが良いと思います(後者に関しては、プライベートアドレスの挙動を理解した上で、各端末毎に適切に設定すれば問題なく運用可能です)。

xyさんも書かれてますが、最近のルータや端末とOSならWPA3が使用可能ですので、こちらは最優先で設定したほうが良いです。また、WiFiアクセスパスワードも十分に複雑なものを設定しておきましょう(Buffaloデフォルトだと英小文字と数字しか使ってないと思いますが、記号や大文字も交えたほうが良いです)。

>バッファローのWIFIのできる範囲では

メーカーを書いても型番を書かなければルータの持つ機能はわかりませんよ(とはいえ、最新機種ならWPA3も含めて全て対応できるはずですが)。

アップル製品に対するWIFI推奨設定は以下の通り。

Wi-Fi ルーターと Wi-Fi アクセスポイントの推奨設定 - Apple サポート (日本)

ANY接続拒否はSSIDの非公開化のようですが、推奨されていません。

また、MACアドレスによる接続制御も推奨されていません。

いずれも、セキュリティが下がるからです。

パッチ（ファームウエアのアップデート）を全適用し、

WPA3、せめてWPA2。