【Windows】ファイアウォールの「ICMP(Ping)」を許可してネットワーク診断を可能にする設定

業務中にネットワークトラブルが発生し、Pingコマンドが通らず困った経験はありませんか。

これはWindowsファイアウォールがICMPプロトコルをブロックしていることが原因です。

この記事では、Windows 11のファイアウォールでICMPを許可し、ネットワーク診断を円滑に進めるための設定手順を解説します。

ファイアウォールでICMPを許可する理由とPingの役割

ICMPはInternet Control Message Protocolの略称で、IPネットワークにおけるエラー通知や制御メッセージの送受信に利用されるプロトコルです。

PingコマンドはこのICMPプロトコルを利用し、指定したホストとの通信可否や応答時間を測定します。

Windowsファイアウォールは、セキュリティ保護のためデフォルトで外部からのICMP通信をブロックしています。

しかし、このブロックによりネットワークトラブル診断時にPingが通らず、問題箇所の特定が難しくなることがあります。

ICMPを許可することで、ネットワーク機器やサーバーへの疎通確認が容易になり、迅速なトラブル解決に繋がります。

WindowsファイアウォールでICMPを許可する手順

WindowsファイアウォールでICMPを許可する具体的な手順を説明します。

この設定は「セキュリティが強化されたWindows Defenderファイアウォール」から行います。

1. 「セキュリティが強化されたWindows Defenderファイアウォール」を開く
   Windowsのスタートボタンを右クリックし、「ファイル名を指定して実行」を選択します。
   表示されたダイアログに「wf.msc」と入力し、「OK」をクリックします。
   または、スタートメニューから「Windowsツール」を開き、「セキュリティが強化されたWindows Defenderファイアウォール」を選択します。
2. 「受信の規則」を選択する
   左ペインに表示されるツリービューから「受信の規則」をクリックして選択します。
3. 新しい規則を作成する
   右ペインの「操作」パネル内にある「新しい規則」をクリックします。
   「新規の受信の規則ウィザード」が起動します。
4. 規則の種類を選択する
   「規則の種類」の画面で「カスタム」を選択し、「次へ」をクリックします。
   カスタム規則により、プロトコルを細かく指定できます。
5. プログラムとポートの設定を行う
   「プログラム」の画面では「すべてのプログラム」を選択し、「次へ」をクリックします。
   「プロトコルおよびポート」の画面で、次の設定を行います。
   「プロトコルの種類」ドロップダウンリストから「ICMPv4」または「ICMPv6」を選択します。
   通常はIPv4環境が多いためICMPv4を選択しますが、IPv6環境の場合はICMPv6を選択します。
   「ICMPの設定」ボタンをクリックし、「特定のICMPの種類」を選択します。
   「エコー要求」にチェックを入れ、「OK」をクリックします。
   設定後、「次へ」をクリックします。
6. スコープを指定する
   「スコープ」の画面で、この規則を適用するIPアドレスの範囲を指定します。
   「この規則を適用するリモートIPアドレス」で「任意のIPアドレス」を選択すると、すべてのIPアドレスからのICMP通信を許可します。
   特定のIPアドレスからの通信のみ許可する場合は、「次のIPアドレス」を選択し、「追加」ボタンでIPアドレスまたはIPアドレス範囲を入力します。
   セキュリティの観点から、可能な限り特定のIPアドレスを指定することが推奨されます。
   設定後、「次へ」をクリックします。
7. 操作を選択する
   「操作」の画面で「接続を許可する」を選択し、「次へ」をクリックします。
   この設定により、指定したICMP通信がファイアウォールを通過できるようになります。
8. プロファイルを指定する
   「プロファイル」の画面で、この規則を適用するネットワークプロファイルを選択します。
   「ドメイン」「プライベート」「パブリック」の3種類があります。
   社内ネットワークであれば「ドメイン」や「プライベート」を選択し、公共のWi-Fiなどでは「パブリック」のチェックを外すなど、環境に応じて選択します。
   設定後、「次へ」をクリックします。
9. 規則に名前を付ける
   「名前」の画面で、作成する規則に分かりやすい名前と説明を入力します。
   例:「ICMPv4エコー要求許可」
   入力後、「完了」をクリックして規則の作成を完了します。

Windows 10での設定補足

Windows 10でも、上記とほぼ同様の手順で設定できます。

「セキュリティが強化されたWindows Defenderファイアウォール」の起動方法やメニュー構成に大きな違いはありません。

安心して上記の手順を参考に設定を進めてください。

ICMP許可設定時の注意点と確認事項

ICMPを許可する際には、いくつかの注意点があります。

セキュリティと機能性のバランスを考慮した設定が重要です。

許可範囲を広げすぎた場合のセキュリティリスク

ICMPの許可範囲を「任意のIPアドレス」に設定すると、インターネット上のあらゆる場所からPingを受信するようになります。

これは意図しないPingフラッド攻撃や、ポートスキャンなどの偵察行為に悪用される可能性があります。

可能な限り、Pingを送信する特定のIPアドレスやIPアドレス範囲のみをスコープに指定してください。

これにより、セキュリティリスクを最小限に抑えられます。

ICMPv4とICMPv6のどちらを許可すべきか

ネットワーク環境がIPv4のみの場合はICMPv4を、IPv6のみの場合はICMPv6を許可します。

両方のプロトコルが混在するデュアルスタック環境では、両方のICMPプロトコルを許可する必要があります。

Pingコマンド実行時に「ping -4 ホスト名」や「ping -6 ホスト名」のように指定することで、どちらのプロトコルで通信しているか確認できます。

現在のネットワーク環境を確認し、適切なプロトコルを選択してください。

複数のファイアウォール製品が競合する場合

サードパーティ製のセキュリティソフトや、別のファイアウォール製品を導入している場合、Windowsファイアウォールの設定と競合することがあります。

その場合、WindowsファイアウォールでICMPを許可してもPingが通らない可能性があります。

導入しているセキュリティソフトの設定も確認し、ICMP通信がブロックされていないか確認が必要です。

必要に応じて、サードパーティ製ファイアウォールでも同様のICMP許可設定を行ってください。

規則が正しく適用されない場合の確認点

規則を作成してもPingが通らない場合は、以下の点を確認してください。

1. 規則の有効化: 作成した規則が「有効」になっているか確認します。
2. プロファイルの確認: 現在のネットワークがどのプロファイル(ドメイン、プライベート、パブリック)に属しているか確認し、規則がそのプロファイルに適用されているか確認します。
3. 優先順位: 他の既存の規則がICMPを明示的にブロックしていないか確認します。
4. エラーメッセージ: イベントビューアーでファイアウォール関連のエラーメッセージがないか確認します。

ICMPv4とICMPv6の許可設定の違い

ICMPにはIPv4環境で使われるICMPv4と、IPv6環境で使われるICMPv6があります。

それぞれ異なるプロトコルであるため、ファイアウォールで許可する際も個別に設定が必要です。

項目	ICMPv4許可設定	ICMPv6許可設定
対象プロトコル	IPv4ネットワークでの通信	IPv6ネットワークでの通信
ファイアウォール設定	「プロトコルの種類」で「ICMPv4」を選択	「プロトコルの種類」で「ICMPv6」を選択
主な用途	IPv4アドレスを持つホストとの疎通確認、ネットワーク診断	IPv6アドレスを持つホストとの疎通確認、IPv6ネットワークの診断
エコー要求	「エコー要求」の種類を選択	「エコー要求」の種類を選択

まとめ

この記事で解説した手順により、WindowsファイアウォールでICMP通信を許可する設定が完了します。

これにより、Pingコマンドによるネットワーク診断が可能になり、トラブルシューティングを円滑に進められます。

設定後は、許可範囲が適切か、セキュリティリスクが高まっていないか定期的に確認し、安全な運用を心がけてください。

ネットワーク状況に応じたICMPv4またはICMPv6の適切な設定で、業務効率の向上に役立てましょう。