連載
» 2017年12月21日 05時00分 公開

Tech TIPS:Windowsのファイアウォールで「ping」コマンドへの応答を許可する

pingを使うと、相手のコンピュータが稼働しているかどうかを確認できる。Windows OSではデフォルトではpingへ応答しないようになっているが、これを許可する方法を解説。

[打越浩幸,デジタルアドバンテージ]
「Tech TIPS」のインデックス

連載目次

対象:Windows 7/Windows 8/Windows 8.1/Windows 10/Windows Server 2008 R2/Windows Server 2012/Windows Server 2012 R2/Windows Server 2016


pingで相手が稼働しているかどうかを確認する

 TIPS「Windowsのpingコマンドでネットワークトラブルの原因を調査する」では、Windows OSに付属する「ping」コマンドの基本的な使い方について説明している。その中では、pingを実行すると対象PCからpingの応答が返ってくるので、それを使って相手のPCが稼働しているかどうかを確認できる、と紹介した。システムの死活監視においては、pingは一番基本的なコマンドである。

 pingは、ネットワークプロトコルでいうと、TCP/IPの補助プロトコルである「ICMP(Internet Control Message Protocol)」の「エコー要求/エコー応答」メッセージを使って相手と通信している。だが現在のWindows OSでは、セキュリティなどの理由のため、デフォルトではこのパケットの受信を許可していない。pingでPCの存在が判明すると、次は脆弱(ぜいじゃく)性を狙う攻撃につながるなど、好ましくない使われ方をされる可能性があるためだ。

 そのため、インストールしたばかりのWindows PCに向けて「ping pc01」のようなコマンドを実行しても応答がないことも多い(Active Directoryドメイン環境などでは、管理者があらかじめ許可していることもあり、その場合は応答がある)。だが社内や家庭内など、限定された環境ならば管理のためにpingを許可しても問題ないだろう。

 本TIPSでは、pingに応答するようにWindowsファイアウォールの設定を変更する方法を紹介する。

pingの受信を許可する

 pingコマンドに応答させるためには、Windowsファイアウォールの設定を変更して、「ICMPのエコー」プロトコルの受信を許可すればよい。以下、Windows 10での画面を例に、その手順を紹介する。

 まずタスクバーの右端にある通知アイコンをクリックして、[ネットワーク]パネルをクリックする。

ネットワーク設定画面の起動(1) ネットワーク設定画面の起動(1)
まず通知アイコンをクリックして、ネットワークパネルを開く。

 ネットワーク画面が開いたら、一番下にある[ネットワークとインターネットの設定]をクリックする。

ネットワーク設定画面の起動(2) ネットワーク設定画面の起動(2)
[ネットワークとインターネットの設定]をクリックして開く。

 すると[設定]アプリの[ネットワークとインターネット]の画面が開くので(最初から[設定]アプリ経由で開いてもよい)、「状態」画面の一番下の方にある[Windowsファイアウォール]をクリックして開く。

Windowsファイアウォール画面の起動 Windowsファイアウォール画面の起動
画面下にあるメニューからWindowsファイアウォールを開く。

 すると「ファイアウォールとネットワーク保護」という画面が開くので、ここに「ドメイン ネットワーク」「プライベート ネットワーク」「パブリック ネットワーク」という3つのプロファイルがあり、さらにそのうちのいずれかに「アクティブ」と表示されていることを確認する。

プロファイルの確認 プロファイルの確認
ネットワークの接続状況(プロファイル)に応じて利用するファイアウォールの規則が異なる。パブリックは最も制限が厳しい状態に設定されている。ドメインはActive Directoryドメインに参加している場合に適用されるプロファイルである。

 もしプロファイルが2つしか表示されていなかったり、「アクティブ」が見当たらなかったりする場合は(なぜか現在のWindows 10ではこのようなことがよくある)、いずれかのプロファイルをクリックして開き、すぐに左上にある[←]をクリックして、この画面に戻ってくればよい。これで3つのプロファイルが表示されるはずである。どうしても表示されない場合は、無視して次のステップへ進んで構わない。

 アクティブなプロファイルを確認できたら、この画面の下にある[詳細設定]をクリックして、「セキュリティが強化されたWindows Defenderファイアウォール」の設定画面を開く。

セキュリティが強化されたWindows Defenderファイアウォール セキュリティが強化されたWindows Defenderファイアウォール
ここから先は、Windows Vista/7などの頃から使われていたファイアウォールの設定画面と同じである。

 ここにも3つのプロファイルと、そのうちでアクティブなプロファイルが表示されているはずである。ネットワークインタフェースが複数あるシステムでは、2つ以上のプロファイルがアクティブになっていることがあるので、よく確認しておく。

 アクティブプロファイルの確認後、画面左側にある[受信の規則]をクリックして受信に対するファイアウォール規則の一覧画面を表示させる。

pingに応答するための規則の確認 pingに応答するための規則の確認
pingに応答するためには、「ファイルとプリンターの共有」グループにある「エコー要求」の規則を許可する(デフォルトでは許可されていない)。プロファイルごとに規則が分かれており、さらにIPv4向けとIPv6向けの2種類がある。

 受信規則はデフォルトでは名前順に並んでいるので、ずっと下の方へスクロールさせて、「ファイルとプリンターの共有(エコー要求 - ICMPv4 受信)」「ファイルとプリンターの共有(エコー要求 - ICMPv6 受信)」という規則を探す。デフォルトでは上の画面のように、IPv4向けの規則が2つ、IPv6向けの規則が2つで、計4つ見つかるはずだ。

 対象の規則が見つかったら、規則名の右にある「プロファイル」欄に注目する。ここには「プライベート」「パブリック」「ドメイン」の3つが並んでいるはずだ(ドメインはActive Directoryドメインに参加している場合にアクティブになる)。

 先に確認したアクティブなプロファイル名に基づいて、どの規則が該当するかを判断する。対象となる規則が判明したら、それを右クリックして[規則の有効化]を実行する。

pingに応答するための規則の有効化 pingに応答するための規則の有効化
規則名を右クリックして([Ctrl]や[Shift]キーで複数選択可)、有効化する。

 これを実行すると、ICMPのエコー要求の受信が許可され、直ちにpingに応答するようになるはずだ。

 pingコマンドに「-t」オプションを付けるとpingをずっと実行し続けるが(TIPS「pingを繰り返し実行させる」参照)、ICMPを許可すると、途中からすぐに応答が返ってくるようになるはずだ。

pingへの応答例 pingへの応答例
ファイアウォールで受信規則を有効化すると、このように直ちにpingに応答するようになるはずだ。応答しない場合は、使用しているプロファイル名などを確認すること。

パブリックプロファイルを除外するには?

 上の例では、「プライベート」と「パブリック(公共/公衆ネットワーク環境)」プロファイルに対するpingの応答を許可した。そのため、例えばノートPCを屋外の無線LANなどにつないで利用している場合でもpingに応答することになる(実際には、同じネットワークアドレスを持つリモートコンピュータからのpingしか受け付けないが)。

 このような状況を回避し、本当にプライベート(家庭内や社内のローカルLAN)からのpingだけを許可したければ、受信規則に含まれるプロファイルから「パブリック」を除外するか、受信規則を複製して、プライベートプロファイルのみを対象とする規則を作ればよい。

 プロファイルを限定するには、対象となる受信規則をダブルクリックして開き、[詳細設定]タブにある「プロファイル」で「プライベート」だけをオンにする。

プロファイルの限定 プロファイルの限定
パブリック(公共/公衆)ネットワーク環境でpingへの応答を許可したくない場合は、受信規則のプロファイルから「パブリック」をオフにすること。

Windows 7/Windows Server 2008 R2の場合

 Windows 7/Windows Server 2008 R2の場合は、コントロールパネルで[ネットワークとインターネット]−[ネットワークと共有センター]を開き、さらに左側のメニューから[Windowsファイアウォール]−[詳細設定]を開く。

 すると「セキュリティが強化されたWindowsファイアウォール」の画面が開くので、後は上記の手順で設定すればよい。

「Tech TIPS」のインデックス

Tech TIPS

Copyright© Digital Advantage Corp. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。