家のスマホで「自分の IP アドレス」を検索して、出てきた数字をメモする。次に PC で同じことをする ── なぜか、まったく同じ値が返ってきます。機器が違うのに住所が同じ。この小さな謎の裏で働いているのが、今日の主役NATです。こんな場面に心当たりがあれば、この先を読んでみましょう。
- 家中のどの機器で調べても「自分の IP アドレス」が同じ値になる理由を知らない
- オンラインゲームで「NAT タイプ」を確認してくださいと言われて固まったことがある
- 自宅サーバーやゲームサーバーを建てようとして「ポート開放が必要」と言われた
- 「外から家の機器には届かない」と聞くが、なぜ届かないのかは説明できない
NAT(Network Address Translation:ネットワークアドレス変換)は、ひとことで言えば「1 つのグローバル IP アドレスを、家中・社内中の機器で共有させる変換係」です。ただ、この一文だけでは「なぜ外から届かなくなるのか」「ポート開放とは何を開けているのか」「ゲームの NAT タイプとは何の判定なのか」が見えてきません。
この記事では、ルーターの設定手順には一切立ち入らず、
- NAT が生まれた理由 ── 43 億個では足りなかった(§1)
- 変換係の台帳 ── NAT は何をどう書き換えているのか(§2)
- 外から届かない理由 ── 防御と不便は同じ構造の表裏(§3)
- ポート開放 ── 台帳に固定の 1 行を手書きする(§4)
- NAT の困りごと ── ゲームの NAT タイプ・キャリアの NAT・台帳の限界(§5)
の順で、仕組みの理屈だけを最短距離で押さえていきます。
| 疑問 | 本記事の該当章 |
|---|---|
| 全機器で IP が同じになるのはなぜ? | §1 |
| NAT は具体的に何をしている? | §2 |
| 外から家の機器に届かないのはなぜ? | §3 |
| ポート開放って結局何? | §4 |
| ゲームの「NAT タイプ」って何の判定? | §5 |
本記事は「PC のしくみシリーズ」(IPアドレス・DNS・ファイアウォール・会社のネットワークはなぜ遅い?・VPN)の用語深掘り回・第 2 弾です。NAT はこのシリーズに脇役として 4 回も登場してきました。本記事はその「いつもチラッと出てくるアイツ」を主役に据える回です。
1. NAT が生まれた理由 ── 43 億個では足りなかった
1-1. 住所が足りないなら、共有するしかない
IP アドレスの記事で見た通り、IPv4 のアドレスは全部で約 43 億個しかありません。人類 1 人に 1 個も行き渡らない数です。スマホ・PC・テレビ・ゲーム機と、1 人が何台も機器を持つ時代にはまったく足りません。
そこで広まった応急処置がこうです。インターネット全体で通用する住所(グローバル IP)は 1 家に 1 つだけ借り、家の中では家の中だけで通用する住所(プライベート IP)を使う。家の中の各機器には 192.168.1.10 のようなプライベート IP が配られます(この自動貸出をしているのがDHCPという仕組みです)。
1-2. 代表電話と内線番号
この 2 階建ての住所をつなぐのが、家庭のインターネットの出入口にいるルーター、正確にはルーターが裏で動かしているNATです。会社の代表電話を思い浮かべてください。外部の人が知っているのは代表番号 1 つだけで、社内の各席には内線番号がある。外への発信はすべて代表番号からかかっているように見える ── グローバル IP が代表番号、プライベート IP+ポートが内線にあたります。
1 つのグローバル IP を全員で共有する
家の中(プライベート IP) 外の世界に見せる住所
スマホ 192.168.1.10 ──┐
PC 192.168.1.11 ──┼─→ ルーター ──→ 203.0.113.5(1 つだけ)
ゲーム機 192.168.1.30 ──┘ (NAT=変換係)
= 各席の内線番号 = 会社の代表電話番号
1-3. だから「自分の IP」は全機器で同じになる
冒頭の謎はこれで解けます。外の Web サイトから見えるのは、あなたの家の機器が共有しているたった 1 つのグローバル IPだけ。スマホで調べても PC で調べても、返ってくるのは「家の代表番号」なので、同じ値になるのです。
NAT は本来「住所が足りない」への応急処置として広まった技術です。応急処置のはずが、結果的にインターネットの標準的な風景になり、おまけに防御の壁(§3)まで生み出した ── この「予定外の出世」が NAT という技術の面白さです。
2. 変換係の台帳 ── NAT は何をどう書き換えているのか
2-1. 行き ── 書き換えて、記帳する
家のスマホ(192.168.1.10)が Web サイトを見にいくとします。このままではダメです。プライベート IP は家の中専用の住所なので、差出人が 192.168.1.10 のままでは、外の世界から返事の出しようがないからです。
そこで NAT(変換係)は、出ていく通信の差出人を書き換えます。このとき IP アドレスだけでなくポート番号(1 つの IP アドレスの中をさらに分ける 0〜65535 番の “窓口番号”。内線番号にあたる)もセットで扱い、「どの内線からの通信を、外向きのどの窓口に割り当てたか」を台帳(NAT テーブル)に記帳します。
2-2. 帰り ── 台帳を逆引きして、書き戻す
Web サイトからの返事は「203.0.113.5 の 40001 番窓口」宛に届きます。変換係は台帳を逆引きし、「40001 番はスマホの 51000 番に割り当てた窓口だな」と確認して、宛先をプライベート IP に書き戻して届けます。
NAT テーブル ── 行きで記帳し、帰りで逆引きする
行き:
スマホ 192.168.1.10:51000 ──→ 変換係 ──→ 203.0.113.5:40001 ──→ Web サイト
│
└─ 台帳に記帳
192.168.1.10:51000 ⇔ 203.0.113.5:40001
帰り:
Web サイト ──→ 203.0.113.5:40001 ──→ 変換係「台帳によると…」──→ 192.168.1.10:51000
ポイントは、台帳の行が「中から通信を始めたとき」にだけ書かれること、そして通信が終わればやがて消されることです。家中の機器が同時に通信できるのは、変換係が窓口番号を割り当て分けて、この記帳と逆引きを延々と繰り返してくれているからです。
NAT を「家庭用ルーターという機械の機能」だと思ってしまうこと。NAT の正体はこの台帳の運用であって、置き場所を選びません。スマホのテザリングも、会社の出口の装置も、後で見るキャリアの設備(§5)も、同じ原理で動く変換係です。
3. 外から届かない理由 ── 防御と不便は同じ構造の表裏
3-1. 台帳に無い通信は、捨てるしかない
ここまでは「中から始めた通信」の話でした。では、外から始まる通信── 誰かがいきなり 203.0.113.5 に話しかけてきたら、どうなるでしょうか。
変換係は台帳を引きます。しかし、中の誰もこの通信を始めていないので、対応する行がどこにもありません。家の中にはスマホも PC もゲーム機もいるのに、どの内線に取り次げばいいのか決めようがない。代表電話にかかってきた「担当者名のない電話」と同じで、取り次ぎ先が分からない通信は破棄するしかないのです。
外から始まる通信は、台帳に行が無い 外の誰か ──→ 203.0.113.5 宛 ──→ 変換係「台帳に無い。中の誰宛か分からない」──→ ✕ 破棄 この 1 つの構造が、2 つの顔を持つ: ├─ 防御の顔: 外から勝手に中へ入れない(ファイアウォール記事の「第 1 の壁」) └─ 不便の顔: 自宅サーバーにも社内サーバーにも届かない(だから ポート開放 や VPN が要る)
3-2. 防御の顔 ──「意図せざる最強の盾」
この「届かない」は、防御として見れば極めて強力です。ファイアウォール記事で「第 1 の壁: NAT ルーター」と呼んだのがまさにこれで、外から始まる攻撃や無差別スキャンは、家の中の機器に到達する前に、行き先不明で構造的に捨てられます。防御のために設計されたわけではないのに、結果として盾になっている ── NAT が「意図せざる最強の盾」と呼ばれる理由です。
3-3. 不便の顔 ── 正規の通信まで届かない
ところが同じ構造が、そのまま不便にもなります。自宅にゲームサーバーを建てて友人を招きたい。会社のファイルサーバーに自宅から繋ぎたい。どちらも「外から始まる通信」なので、悪意の有無に関係なく等しく捨てられます。台帳は通信の善悪を判定していません。行が無いから捨てる、それだけです。
この壁を正規に越える方法が 2 つあります。1 つは VPN ── トンネルを「中から」張っておくことで、外にいながら中の住所をもらう方法。もう 1 つが、次章のポート開放── 台帳そのものに例外を書き込む方法です。
「防御」と「不便」のどちらも、NAT が意図した結果ではありません。台帳に無い通信は取り次げないという 1 つの構造が、見る角度によって盾にも壁にもなっている ── この表裏一体が NAT を理解する一番の急所です。
4. ポート開放 ── 台帳に固定の 1 行を手書きする
4-1. 「穴を開ける」のではなく「転送ルールを書き足す」
ポート開放(ポートフォワーディング、ポート転送とも呼ばれます)という言葉は「壁に穴を開ける」ような響きですが、実際にやっていることはもっと事務的です。「グローバル IP のこの窓口番号宛の通信は、常に家の中のこの機器のこの窓口へ転送する」という固定ルールを、台帳に手書きで 1 行足す── それだけです。
ポート開放 ── 台帳に固定の 1 行を手書きする
通常の行(自動で書かれ、通信が終われば消える)
192.168.1.10:51000 ⇔ 203.0.113.5:40001 ← 中から始めた通信の記録
ポート開放の行(手動で書き、消えない)
203.0.113.5:25565 宛 ──→ 常に 192.168.1.30:25565(ゲーム機)へ転送
│
└─ 外から始まる通信でも、この行に当てはまる限り中へ通す
§2 の台帳の行が「中から始めた通信の一時的な記録」だったのに対し、ポート開放の行は「外から始まる通信のための、消えない予約席」です。これで外の友人は、あなたのグローバル IP の 25565 番を訪ねれば、家の中のゲームサーバーまで届くようになります。
4-2. 開けた先は、壁の外と同じ
ただし、この 1 行の意味は正確に理解しておく必要があります。ポート開放した窓口宛の通信は、善悪の区別なく、すべて指定した機器へ転送されます。ファイアウォール記事で見た通り、公開された IP アドレスには無差別のスキャンが浴びせられ続けています。開けた瞬間から、その機器は壁の内側の安全圏ではなく、スキャンの当たり判定の中にいます。
「使い終わったポート開放の消し忘れ」。遊び終えたゲームサーバーの行が台帳に残り続け、後からその機器に脆弱性が見つかる ── という事故は定番です。ポート開放は「開ける先を最小に、不要になったら消す」が原則。これはファイアウォール記事の「壁が消える 5 つの瞬間」の 1 つでもあります。
家庭用ルーターにはUPnP(アプリが自分でルーターに頼んで、ポート開放の行を自動で書いてもらう仕組み)が載っていることがあります。ゲーム機やビデオ通話が「設定なしで繋がる」のはこれのおかげですが、裏を返せば「あなたが知らないうちに台帳へ行が書かれている」ということでもあります。便利さと引き換えの構造は知っておきましょう。
5. NAT の困りごと ── ゲームの NAT タイプ・キャリアの NAT・台帳の限界
5-1. オンラインゲームの「NAT タイプ」── 届きやすさの診断
オンラインゲームで見かける「NAT タイプ」は、互いに NAT の内側にいる者同士が、サーバーを介さず直接通信(P2P)できるかの診断結果です。対戦相手もあなたも、それぞれの家の変換係の内側にいます。つまり「外から始まる通信は届かない」(§3)が双方に効いてしまい、お互いがお互いに辿り着けないことがあるのです。
判定は概ね「届きやすさの段階」を表しています ── 制限が緩く P2P が成立しやすい状態から、ほぼ成立しない状態まで。呼び名(タイプ A/B/C、タイプ 1/2/3、オープン/モデレート/ストリクトなど)は機器やサービスごとの俗称で、技術的な標準用語ではありません。名前ではなく「自分の変換係が、外から始まる通信をどこまで例外的に通せる設定か」という構造で捉えるのが正解です。
5-2. キャリアの NAT(CGNAT)── 変換係が 2 人いる
最近増えているのがこのパターンです。グローバル IP の在庫不足は深刻なので、通信事業者が「1 家に 1 つ」すら配らず、キャリア網の中にもう 1 段 NAT を置いて、複数の契約者で 1 つのグローバル IP を共有させる構成があります。CGNAT(キャリアグレード NAT)と呼ばれます。
CGNAT ── 変換係が 2 人いる
自宅の機器 ──→ 家のルーター ──→ キャリア網の NAT ──→ インターネット
192.168.1.10 (変換係 1 人目) (変換係 2 人目) 203.0.113.5
(他の契約者とも共有)
家のルーターでポート開放しても…
外 ──→ 203.0.113.5:25565 ──→ 2 人目「台帳に無い」──→ ✕ ここで破棄
(あなたは 2 人目の台帳に行を書けない)
この構成では、家のルーターでポート開放しても外から届きません。外から来た通信は、まず 2 人目(キャリア側)の変換係で捨てられます。そして 2 人目の台帳は通信事業者の設備なので、あなたには書き換えられません。「設定は完璧なのに届かない」ときの代表的な犯人です。
5-3. 台帳の限界と、IPv6 の話
台帳は無限ではありません。行数には上限があり、機器とクラウド通信が増え続けて台帳が満杯になると、新しい通信が開けない・既存の通信が切られるという形で、故障ゼロのまま不調が起きます。この枯渇が「会社のネットワークの遅さ」として現れる因果は、会社のネットワークはなぜ遅い?の §5 で図解しています。
なお、住所が 1 人に何個でも配れるほど潤沢にあるIPv6の世界では、共有のための NAT は原理的に不要になります。ただし §3 の「外から届かない」が果たしていた防御の役は消えるわけではなく、ファイアウォールが明示的に担うことになります。IPv4 と IPv6 の住所事情は IP アドレス記事の §7 をどうぞ。
まとめ ── 4 行エッセンス
- NAT は「1 つのグローバル IP を全員で共有させる変換係」。だから家中のどの機器で調べても「自分の IP」は同じ代表番号になる
- 仕組みの核は台帳(NAT テーブル)── 中から始めた通信を「IP+ポート」で記帳し、返事は逆引きで書き戻す。台帳に無い通信は取り次ぎようがなく捨てられる
- その「届かない」は防御(第 1 の壁)と不便(自宅サーバー・社内サーバーに届かない)の表裏一体。正規に越える手段が VPN とポート開放
- ポート開放=台帳への固定の 1 行。開けた先はスキャンの当たり判定に入るので最小限に。届かないときは CGNAT(変換係 2 人目)と台帳の枯渇も疑う
住所の 2 階建て構造は IP アドレスとは?、壁としての顔の続きは ファイアウォールが無いとどうなる?、壁を中から越える方法は VPNとは何か?、台帳の枯渇が生む遅さは 会社のネットワークはなぜ遅い? で扱っています。シリーズの脇役だった NAT が、これで一枚に繋がったはずです。
FAQ
Q1. 家の機器全部で「自分の IP アドレス」が同じになるのはなぜですか?
A. 外の世界から見えているのが、家全体で共有している 1 つのグローバル IP(代表電話番号)だけだからです(§1)。スマホにも PC にも家の中ではそれぞれ別のプライベート IP が振られていますが、外に出るときは全員、変換係(NAT)によって同じ代表番号に書き換えられます。「自分の IP を調べるサイト」が答えているのは、機器の住所ではなく家の代表番号です。
Q2. ポート開放は危険ですか?
A. 「開けた窓口の先にいる機器が、無差別スキャンに直接さらされるようになる」という意味で、リスクは確実に増えます(§4-2)。ただし危険かどうかは開け方次第です ── 転送先の機器とソフトを最新に保つ、開ける窓口を必要最小限にする、不要になったら行を消す。この原則を守れる用途(ゲームサーバーを遊ぶ間だけ等)なら管理可能なリスクですし、守れないなら開けるべきではありません。
Q3. ゲームの「NAT タイプ」を改善するには何が効きますか?
A. 構造から言えば、効くのは「自分の変換係が、外から始まる通信を例外的に通せる余地を増やす」方向の変更です ── 該当ポートの開放や UPnP の有効化が代表です(§4)。ただし §5-2 の CGNAT 環境では家側の設定だけでは届かず、グローバル IP が個別に割り当てられる契約への変更が必要になる場合があります。具体的な手順は機器・契約により異なるため、本記事では構造の説明に留めます。
Q4. IPv6 になったら NAT は消えますか?
A. 「住所の共有」という本来の仕事は不要になります。IPv6 は住所が潤沢で、全機器がグローバルな住所を持てるからです(§5-3)。ただし NAT が副産物として提供していた「外から始まる通信を構造的に遮る」防御まで消えるわけにはいかないので、その役はファイアウォールが明示的に引き受けます。「NAT が消えても壁は残る(残すべき)」と覚えておくのが正確です。
Q5. 会社の社内サーバーに外から繋げないのも、NAT のせいですか?
A. 主因の 1 つです。社内サーバーはプライベート IP しか持たず、NAT の内側にいるため、外からは宛先として指定できません(§3)。さらに会社では NAT に加えてファイアウォールが明示的に外からの通信を遮っています。これを正規に越える標準手段が VPN ── トンネルを「中から」張って、外にいながら社内の住所をもらう方法です。仕組みは VPN とは何か? で図解しています。
コメントを残す