sg sg-security-measures network_security firewall access_control
まず結論
NAPTとは、IPアドレスとポート番号を変換して、複数の端末が一つのグローバルIPアドレスを共有できるようにする仕組みです。
SG試験では、NATやパケットフィルタリングと混同しやすい用語です。
ポイントは、NAPTは通信を「通す・止める」仕組みではなく、アドレスとポート番号を変換する仕組みだという点です。
直感的な説明
NAPTは、会社や家庭のネットワークで使う代表電話番号のようなものです。
会社の中には、たくさんの社員がいます。
でも、外部から見ると会社の代表電話番号は一つです。
外部とのやり取りでは、代表番号を使いながら、内線番号で誰の通信かを区別します。
これをネットワークに置き換えると、次のようになります。
| たとえ | ネットワークでの意味 |
|---|---|
| 代表電話番号 | グローバルIPアドレス |
| 社員ごとの内線番号 | ポート番号 |
| 社内の社員 | プライベートIPアドレスをもつ端末 |
つまり、NAPTは、一つのグローバルIPアドレスを複数端末で共有するために、ポート番号も使って通信を区別する仕組みです。
定義・仕組み
NAPTは、Network Address Port Translation の略です。
日本語では、ネットワークアドレスポート変換と呼ばれます。
内部ネットワークの端末がインターネットへ通信するとき、NAPTでは次のような変換を行います。
| 変換前 | 変換後 |
|---|---|
| プライベートIPアドレス | グローバルIPアドレス |
| 内部端末のポート番号 | 変換後のポート番号 |
たとえば、社内の複数PCが同じWebサイトへアクセスする場合でも、外部から見ると同じグローバルIPアドレスから来た通信に見えます。
NAPTは、ポート番号を使って、戻ってきた通信をどの内部端末へ返せばよいか判断します。
NATとの違い
NAPTを理解するには、NATとの違いを押さえると分かりやすいです。
| 用語 | 変換するもの | ポイント |
|---|---|---|
| NAT | IPアドレス | IPアドレスを変換する |
| NAPT | IPアドレス+ポート番号 | 複数端末で一つのグローバルIPを共有しやすい |
NATは、基本的にはIPアドレスの変換です。
一方、NAPTはIPアドレスに加えてポート番号も変換します。
そのため、NAPTでは複数の内部端末が一つのグローバルIPアドレスを使って、同時にインターネットへ通信できます。
SG試験では、ポート番号も変換するという説明が出たら、NAPTを疑います。
どんな場面で使う?
NAPTは、家庭用ルータや企業のネットワーク機器などで広く使われます。
複数端末でインターネットを利用する
家庭や会社では、PC、スマートフォン、タブレットなど多くの端末がインターネットへ接続します。
しかし、それぞれの端末にグローバルIPアドレスを割り当てるのは現実的ではありません。
NAPTを使うと、内部ではプライベートIPアドレスを使い、外部との通信では一つのグローバルIPアドレスを共有できます。
グローバルIPアドレスを節約する
IPv4のグローバルIPアドレスは数に限りがあります。
NAPTを使うことで、複数端末が一つのグローバルIPアドレスを共有できるため、グローバルIPアドレスの節約につながります。
内部アドレスを外部から見えにくくする
NAPTを使うと、外部からは内部端末のプライベートIPアドレスが直接見えにくくなります。
ただし、これは結果としてそう見えるだけで、NAPT自体を本格的なセキュリティ対策と考えすぎないように注意が必要です。
通信を許可・拒否する制御は、ファイアウォールなどの役割として整理します。
パケットフィルタリングとの違い
NAPTとパケットフィルタリングは、どちらもIPアドレスやポート番号が関係するため混同しやすいです。
ただし、役割は違います。
| 用語 | 役割 |
|---|---|
| パケットフィルタリング | IPアドレスやポート番号を見て、通信を通すか止める |
| NAPT | IPアドレスやポート番号を変換する |
ここが試験で重要です。
- ポート番号を見る → パケットフィルタリング
- ポート番号を変換する → NAPT
同じ「ポート番号」という言葉が出ても、見るのか、変換するのかで判断します。
ファイアウォールとの違い
NAPTは、ファイアウォールと同じ機器で使われることがあります。
たとえば、家庭用ルータや企業のネットワーク機器では、NAPT機能とファイアウォール機能が一緒に入っていることがあります。
そのため、混同しやすいですが、役割は分けて考えます。
| 用語 | 役割 |
|---|---|
| NAPT | IPアドレスとポート番号を変換する |
| ファイアウォール | 通信を許可・拒否する |
SG試験では、変換ならNAPT、許可・拒否ならファイアウォールと切り分けると分かりやすいです。
よくある誤解・混同
誤解1:NAPTは通信を暗号化する仕組みである
これは誤りです。
NAPTは、IPアドレスとポート番号を変換する仕組みです。
通信内容を暗号化する仕組みではありません。
暗号化の代表例は、TLSやVPNなどです。
誤解2:NAPTは不正通信を検知する仕組みである
これも誤りです。
NAPTは、不正な通信を検知する仕組みではありません。
不正通信を検知する代表例はIDS、検知して遮断する代表例はIPSです。
誤解3:NAPTはパケットフィルタリングと同じである
同じではありません。
パケットフィルタリングは、IPアドレスやポート番号を見て通信を通すか止める仕組みです。
NAPTは、IPアドレスやポート番号を変換する仕組みです。
試験では、見ると変換するを分けることが大切です。
誤解4:NAPTを使えばセキュリティ対策は十分である
NAPTによって内部端末のIPアドレスは外部から直接見えにくくなります。
しかし、NAPTだけで不正アクセスやマルウェア通信を防げるわけではありません。
実際のセキュリティ対策では、ファイアウォール、IDS/IPS、ログ監視、認証、脆弱性対策などと組み合わせて考えます。
試験での判断ポイント
SG試験では、次のような表現が出たらNAPTを疑います。
- IPアドレスとポート番号を変換する
- 複数端末で一つのグローバルIPアドレスを共有する
- プライベートIPアドレスをグローバルIPアドレスに変換する
- ポート番号を使って内部端末を識別する
- 戻り通信を正しい内部端末へ振り分ける
反対に、次の表現は別の用語と切り分けます。
| 説明 | 該当しやすい用語 |
|---|---|
| IPアドレスやポート番号で通過可否を判断 | パケットフィルタリング |
| 通信状態を管理して判断 | ステートフルインスペクション |
| アプリケーション層の内容を確認 | アプリケーションゲートウェイ |
| 通信を暗号化する | TLS、VPN |
| 不正な通信を検知する | IDS |
| 不正な通信を検知して遮断する | IPS |
まとめ(試験直前用)
NAPTは、IPアドレスとポート番号を変換して、複数端末が一つのグローバルIPアドレスを共有できるようにする仕組みです。
試験直前は、次の3点を押さえておきましょう。
-
NAPTは変換する仕組み
IPアドレスだけでなく、ポート番号も変換する。 -
複数端末で一つのグローバルIPを共有できる
内部端末をポート番号で区別し、戻り通信を振り分ける。 -
通過可否の判断とは別
パケットフィルタリングやファイアウォールは通信を通すか止める。NAPTは変換する。
SG試験では、「ポート番号を見る」ならパケットフィルタリング、「ポート番号を変換する」ならNAPTと整理すると、ひっかけ問題を切り分けやすくなります。
🔗 関連記事
- アクセス制御モデルとは?RBAC・ABAC・DAC・MACの違いを整理【情報セキュリティマネジメント】
- 入退室管理とは?物理アクセス制御の基本【情報セキュリティマネジメント】
- アクセス管理とは?特権IDとneed-to-knowで権限を適切に制御【情報セキュリティマネジメント】
- アクセス権限管理とは?付与・変更・削除の流れを整理【SG試験】
- 管理者権限とは?特権的アクセス権との違いを整理【SG試験】
🔗 関連記事
- アクセス制御モデルとは?RBAC・ABAC・DAC・MACの違いを整理【情報セキュリティマネジメント】
- 入退室管理とは?物理アクセス制御の基本【情報セキュリティマネジメント】
- アクセス管理とは?特権IDとneed-to-knowで権限を適切に制御【情報セキュリティマネジメント】
- アクセス権限管理とは?付与・変更・削除の流れを整理【SG試験】
- 管理者権限とは?特権的アクセス権との違いを整理【SG試験】