NAT (ネットワークアドレス変換)

NAT とは

NAT (Network Address Translation) とは、プライベート IP アドレスとグローバル IP アドレスを相互に変換する技術です。家庭のルーターに接続された複数のデバイス (スマートフォン、PC、ゲーム機など) は、それぞれプライベート IP アドレス (192.168.1.x など) を持っていますが、インターネットに出る際にはルーターの NAT 機能によって 1 つのグローバル IP アドレスに変換されます。

NAT は IPv4 アドレスの枯渇問題を緩和する重要な技術です。1 つのグローバル IP アドレスを数十台のデバイスで共有できるため、限られた IPv4 アドレスを効率的に利用できます。

NAT の種類と NAPT

一般に「NAT」と呼ばれるものの大半は、実際には NAPT (Network Address Port Translation) です。ポート番号を活用することで、1 つのグローバル IP アドレスで理論上 65,535 の同時接続を処理できます。

CGNAT の問題点

CGNAT (Carrier-Grade NAT) とは、ISP レベルで実施される大規模な NAT です。IPv4 アドレスの枯渇が深刻化する中、ISP が契約者に対してプライベート IP アドレス (100.64.0.0/10) を割り当て、ISP 側で NAT を行う方式が増えています。

CGNAT 環境では以下の問題が発生します。

• ポート開放が不可能: 自宅サーバーの公開やオンラインゲームのホスティングができない。
• IP アドレスの共有: 数百〜数千人のユーザーが同一の IP アドレスを共有するため、GeoIP の精度が低下し、IP ベースのアクセス制限で巻き添えを受けるリスクがある。
• P2P 通信の制限: ビデオ通話やファイル共有など、P2P 通信の確立が困難になる場合がある。

CGNAT を回避するには、ISP に固定 IP オプションを申し込むか、IPv6 IPoE 接続に切り替える方法があります。

IPv6 時代の NAT

IPv6 では各デバイスにグローバルアドレスが割り当てられるため、アドレス変換としての NAT は原則不要になります。これにより、NAT が引き起こしていた問題 (ポート開放の手間、P2P 通信の障害、アプリケーション互換性の問題) が解消されます。

ただし、IPv6 環境でもセキュリティ目的で NAT66 (IPv6-to-IPv6 NAT) を導入する組織があります。内部ネットワークのアドレス構造を外部から隠蔽する効果がありますが、IPv6 の設計思想であるエンドツーエンド通信を損なうため、ファイアウォールによる制御で代替することが推奨されています。

現在は IPv4 と IPv6 が共存する過渡期にあり、NAT の知識は依然として重要です。特にネットワークのトラブルシューティングでは、NAT テーブルの確認やポートマッピングの理解が不可欠です。

よくある誤解

NAT はセキュリティ機能である

NAT は外部からの直接アクセスを遮断する副次的効果がありますが、セキュリティを目的とした技術ではありません。NAT はアドレス変換のための仕組みであり、適切なファイアウォールルールの代替にはなりません。

NAT があれば外部から攻撃されない

NAT の内側にいても、マルウェアのダウンロード、フィッシング、DNS 経由の攻撃など、内部から外部への通信を起点とする攻撃には無防備です。また、UPnP が有効な場合、マルウェアが自動的にポートを開放する可能性もあります。

NAT と ファイアウォールの違い

関連用語

関連記事