ポート変換やDMZの使い方をチェックしよう

　家庭用のWi-Fiルーターは、標準では外部からの通信を遮断するように設定されています。

　「NAT」や「NAPT」とも呼ばれる仕組みにより、Wi-Fiルーターで通信時のアドレスやポートを変換してからやり取りしていることも貢献していますが、簡易ファイアウォールやフィルターなどの機能では、悪用されやすい通信を遮断することができます。

　家庭用Wi-Fiルーターが設置された環境でテレワークを行う際は、こうした機能が適切に設定されているかをチェックしておく必要もあります。

簡易ファイアウォール

　簡易ファイアウォールは、内部から外部、もしくは外部から内部へとやり取りされる通信のうち、第三者に悪用される可能性があるものをあらかじめ遮断しておく機能です。

　搭載される機能は機種によって異なる場合がありますが、例えばバッファローのWi-Fiルーターには、以下の機能が搭載されています。

• NBTとMicrosoft-DSのルーティングを禁止
  Windowsがファイル共有に使う通信を遮断。ルーター越えの共有を設定
• IDENTの要求を拒否
  メールで使われていたユーザー特定用の通信に応答するかどうか
• Internet側からのPINGに非応答
  接続先が通信可能な状態にあるかを確認する通信に応答するかどうか
• Internet側からの接続要求を転送しない（IPv6のみ）
  外部→内部への通信を通過させるかどうかを設定

　これらの設定は、基本的に出荷時状態で全てオン（通信を禁止）になっており、基本的にオフ（通信を許可）にすることはありません。

　逆に「オフ」になっている場合は、何らかの理由があると考えた方がいいでしょう。例えば、ルーターがオフィスに設置されている場合、NASへのリモートアクセスのためにIPv6通信の転送を許可している可能性があります。

　不要ならフィルターをオンに戻すべきですが、戻したことで何らかの影響を受けるシステムがあることも考慮すべきでしょう。

バッファローの簡易ファイアウォール。IPv4がグレーアウトしているのはインターネット接続に、IPv4の処理が事業社側で行われる「transix」を使用しているため

フィルター設定

　フィルターは、送信元やプロトコルの種類により、特定の通信を「通過」および「拒否」する機能です。

　フィルターも、機種によって標準の設定が異なります。バッファローのルーターの場合、標準では何も設定されていませんが、上の簡易ファイアウォールで紹介した機能がフィルターとして設定されている機種もあります。

　フィルターの設定では、それぞれが何のための設定なのかを知ることが大切です。例えば次の例では、インターネットから届いた8443番ポートの通信を通過させる設定です。内部に設置したNASのウェブ管理画面（8443番ポートに設定）を、インターネットを経由してリモートから表示することを想定して設定しました。

外部→内部の8443番ポートを通過させる設定

　ここでポイントとなるのは、動作が「許可」になっていることです。これにより、何らかの通信が通過することが分かります。

　このように、「許可」となっている設定がある場合は、なぜその設定があるのかを確認し、不要な場合はフィルターを削除しておきましょう。

　家庭などでは、古いタイプの対戦形式のゲームなどの利用のためにフィルターを設定している可能性がありますので、使わない場合は削除しておきましょう。

ポートフォワード設定

　ポートフォワードは、外部からの通信を内部に転送するための機能です。この機能も、家庭用のWi-Fiルーターでは、標準では何も設定されていない機種がほとんどです。

　ただし、過去に次のようなことをした経験があるなら、何らかの設定が残っている可能性があります。設定項目をチェックして、不要な場合は削除しておきましょう。

• 対戦型ゲームで通信を許可した
• NASへのリモートアクセスを設定した
• 自宅サーバーを公開した
• ウェブカメラの映像を外部から見られるようにした

　なお、オフィスでテレワークにNASを活用する場合は、通信に利用するポートをNASのアドレス宛に転送する設定が必要な場合があります。フィルターと同じく、設定が残っている場合は、それが何のためのものなのかをよく確認してから削除しましょう。

ポート転送の例。NASへのアクセスに使うポートを「8443」として転送している

パススルー設定

　パススルーは、特定の通信を無条件に通過させる設定です。ほとんどのWi-Fiルーターでは、PPPoE（プロバイダーとの接続の確立）とVPNをパススルーに設定することが可能です。

　基本的には通過させない設定で構いませんが、テレワーク環境ではオンにする必要がある場合があります。

　具体的には、オフィスのファイルサーバーや業務サーバーに接続するために、VPN（PPTP）を利用する場合です。この場合は、ルーターでパススルーを有効にしておかないと、会社ネットワークへのVPN接続に失敗します。

自宅→オフィスへとVPN（PPTP）接続する場合は、PPTPのパススルーを許可する

DMZは基本的に使わない

　DMZは、外部からの通信を特定の端末に無条件に全て転送するための機能です。

　この設定は、自宅でサーバーを公開する場合などに使われるもので、家庭ではほとんどの場合利用しません。

　ネットワークゲームの対戦がうまくできない場合の最終手段としてDMZの設定が使われることもありますが、DMZに設定した端末は、インターネット側から丸見えと同じ状態になります。

　ここに何か設定されている場合は、どうしても必要な場合を除いて、すぐに削除することをお勧めします。

UPnP設定

　UPnPは、これまでに解説したフィルターやポート変換などの設定を自動的に行うための機能です。

　最近では利用例が減りつつありますが、NASや、特に格安の海外製のものを中心としたネットワークカメラなどで利用されることがあります。外部からのリモートアクセスに利用するポートなどを、機器がUPnPを使って自動的にWi-Fiルーターに登録します。

　この機能は、とても便利ですが、知らず知らずのうちに特定のポートが解放され、外部からアクセス可能になっている場合もあります。

　UPnPをオフにしてしまうと、何らかの機器に対して外部からアクセスできなくなる可能性がありますが、安全性を考慮して、テレワーク環境ではUPnPをオフにして利用するのも1つの選択です。