NATとは?
NATは企業や家庭のルーターに備えられていることが多い機能です。まずは、NATの基本についてご紹介します。
IPアドレスを変換する仕組み
NATはNetwork Address Translationの略で、IPアドレスを変換する機能を持っています。端末がルータを介してインターネット接続する際、「IPアドレス」という住所のようなものが割り振られます。
IPアドレスは、プライベートIPアドレス・グローバルIPアドレスに大別されます。まずプライベートIPアドレスとは、企業などで一意に割り当てられ、自由に使用できるIPアドレスのことです。プライベートIPアドレスは各端末に割り当てられますが、そのままではインターネットに接続できません。
インターネット接続に必要なのは、グローバルIPアドレスです。NAT内蔵のルータを用いて、プライベートIPアドレスをグローバルIPアドレスに変換します。それによってインターネットへ接続が可能となるのです。
広義のNATでは1対複数のアクセスが可能
NATには広義のNATと狭義のNATがあります。広義の場合は、複数の端末が1つのルータを介し、ポート番号を変更してインターネットにアクセスすることを前提とします。
狭義の場合は、1つの端末が1つのルータを介してインターネットにアクセスすることが前提です。ポート番号が変換されないため、複数のデバイスが同時にインターネットにアクセスするのは困難になります。
この記事では広義の意味でのNATを説明していますので、混同しないよう注意しましょう。
プライベートIPアドレスを保護する機能を持つ
NATは複数台の端末をインターネットに接続するだけでなく、プライベートIPアドレスの保護にも用いることができます。NATによりプライベートIPアドレスがグローバルIPアドレスに変換されると、外から見えるIPアドレスそのものが書き換わります。
IPアドレスは前述の通りインターネット上の住所にあたるため、場合によってはそこから内部ネットワークへの侵入が可能になってしまいます。
しかし、NATによって書き換えられたIPアドレスであればその限りではありません。NATによってプライベートIPアドレスは隠されているため、たとえグローバルIPアドレスが知られてしまっても内部ネットワークへの接続は困難です。
NATの種類
NATにはどのような種類があるのか、解説していきます。
静的NAT
「静的NAT」は1つのIPアドレスを別のIPアドレスに1対1で変換する機能を持っています。本来のNATといえるでしょう。
静的NATを利用する場合、IPアドレスの変換は固定的に行われます。そのため、どのアドレスをどのアドレスに割り当てるか決めておく必要があります。静的NATでは、グローバルIPアドレスとプライベートIPアドレス間の両方向からの変換が可能です。
動的NAT
動的NATは、「NATプール」を利用して接続に来た通信の送信元IPアドレスをNATプールの未使用アドレスに変換します。NATプールにはいくつかのグローバルIPアドレスが格納されており、変換の際はそこからIPアドレスを取得します。
そのため、プールに格納されているアドレスを全て使い切った場合、使用中のアドレスが空くまでは追加の接続ができなくなります。そして、動的NATではアドレスの変換が動的に行われるため、IPアドレスを固定することはできません。
動的NATは、グローバルIPが余っている組織で外部接続に使われることがあります。また、プライベートIPアドレスからグローバルIPアドレスへの変換のみが可能です。
静的NAPT
IPアドレスに加えてインターネットにて標準的に利用されているプロトコルであるTCP/UDPのポート番号をルーターで変換するものを「NAPT」と呼びます。ポート番号を変換することで、複数の端末が同時にインターネットへ接続できるようになります。
NAPTのうち、IPアドレスとポート番号を1対1で変換するものが「静的NAPT」です。主な用途は、おおよそ静的NATと同じような形になります。静的NAPTは、グローバルIPアドレスからプライベートIPアドレスへの変換のみが可能です。
動的NAPT
動的NAPTは複数の送信元IPアドレスを1つのグローバルIPに変換します。その際にポート番号も未使用のものに変換するのが特徴です。
一般的な家庭や大企業で使われている仕組みで、通常NAPTというと動的NAPTを指すことが多いです。動的NAPTは、プライベートIPアドレスからグローバルIPアドレスへの変換のみが可能です。
ファイアウォールとNATの構成
ファイアウォールとNATの構成について見ていきましょう。両者は、一体どのような関係があるのでしょうか。
NATはファイアウォールの機能の一部
NATはファイアウォールの機能の一部であり、通常はファイアウォール内に搭載されています。外部に対してプライベートIPアドレスを隠すというセキュリティ的な意味合いを持っています。
ファイアウォールも外部からの侵入を遮断するという役割を持っているため、適切に併用することでセキュリティを高めることができるでしょう。NATを使うためには、ファイアウォール内で設定を行います。
テレビ会議でのNAT/FW越え問題が発生
テレビ会議(Web会議)を行う場合、NAT/FW越え問題が発生する可能性があります。NAT/FW越え問題とは、NATがプライベートアドレスIPを保護し、さらにファイアウォールのフィルタリングが機能しているために外部からの通信を受信できないという問題です。
最近では制御信号やメディア信号の扱いを定めたH.460.18/H.460.19という標準ができたことによりNAT/FW越え問題は解消されつつあります。NATまたはNAPT機能によってIPアドレスやポート番号が書き換えられても、通信が阻害されることはなくなってきました。
ファイアウォールとNATを理解し、セキュリティ対策を
NATはルーターやファイアウォールに搭載されており、グローバルIPアドレスとプライベートIPアドレスの変換を行います。それにより複数台の端末が1つのグローバルIPアドレスを得られます。
また、ファイアウォールとNATを適切に設定し、外部アクセスの許可・拒否を決定することもできます。両者の特性・関係性をふまえ、セキュリティ対策を見直しましょう。