ポートの基礎から実務まで徹底解説|TCP/UDP・NAT・ポートフォワーディング・セキュリティの要点
エバープレイ編集部ポートとは — ネットワークにおける“窓口”の基本から応用まで
インターネットやLANでよく使われる「ポート(port)」という用語は、単に数字の並び以上の意味を持ちます。ここではポートの定義、TCP/UDPにおける役割、番号体系、代表的なポート番号、OSやNATの挙動、セキュリティ上の留意点、運用での実例(ポートフォワーディングやコンテナのポートマッピング)などを、初学者から運用者まで役立つように丁寧に解説します。
ポートの定義と役割
ポートは「IPアドレス上の論理的な入口(窓口)」です。ネットワーク層(IP)で宛先のマシンが決まった後、トランスポート層(主にTCPやUDP)では「どのアプリケーションに渡すか」を識別するためにポート番号が使われます。IPアドレスが“建物の住所”であるのに対し、ポートは“部屋番号”に例えられます。
TCP・UDPヘッダにはそれぞれ送信元ポート・宛先ポートが16ビットで格納され、表現可能な値は0〜65535です(合計65536個)。アプリケーションはこのポート番号を用いて複数の接続やサービスを識別します。
ポート番号の分類(IANAによる体系)
- 0番 — 慣例的に予約されています。システムやAPIにより「空いているポートを自動割り当てする」用途で0を指定できる場合がありますが、一般的なサービスの割当には用いられません。
- ウェルノウンポート(0–1023) — HTTP(80)、HTTPS(443)、SSH(22)など広く知られたサービスが割り当てられます。UNIX系では通常これらは「特権ポート」と呼ばれ、ルート権限でのみバインド可能です。
- 登録済みポート(1024–49151) — ソフトウェアベンダやサービスがIANAに登録して使用する範囲。多くのアプリケーション用ポートがここに含まれます。
- 動的/プライベートポート(49152–65535) — IANAが動的/プライベート用に推奨する範囲。クライアントの一時的な送信元ポート(エフェメラルポート)として使われることが多いです。
(出典:IANAのPort Number Registry。管理や最新割当はIANAで公開されています)
TCP と UDP におけるポートの違い
TCPはコネクション型プロトコルで、コネクションを識別するのにIPアドレスとポート番号の組(ソケット)を用います。たとえば「クライアントIP:source_port → サーバIP:80 (TCP)」という接続が確立されると、その接続ごとにソースポートが異なることで複数の同時接続を区別できます。
UDPはコネクションレスで、同様に送受信にポート番号を使いますが、セッション管理や順序保証、再送はありません。DNS(53/UDP)やDHCPなどはUDPを使う代表的な例です。
ソケットとポートの関係
一般に「ソケット」はIPアドレス+ポート番号+プロトコル(TCP/UDP)の組です。サーバ側は特定ポートで「listen」して待ち受け、クライアントは任意のエフェメラルポートを使って接続を開始します。よって同じサーバIPであっても異なるポートに異なるサービスを立ち上げられます。
NAT(特にPAT)とポートの扱い
グローバルIPが不足する環境では、NAT(Network Address Translation)を用いてプライベートIP群を1つのグローバルIPに変換します。この際、複数の内部ホストが同一グローバルIPから外向き通信をするとき、送信元ポートを変換して通信を区別します。これをポートアドレス変換(PAT)と呼びます。
逆に外部から内部の特定サーバへアクセスさせたい場合はポートフォワーディング(ポートマッピング)を設定して、ルータ側で受信ポートを内部IPのポートに転送します。
よく使われるポート番号の例
- 80/TCP — HTTP
- 443/TCP — HTTPS
- 22/TCP — SSH
- 25/TCP — SMTP(メール送信)
- 53/UDP(TCP)— DNS(主にUDP)
- 3306/TCP — MySQL
- 5432/TCP — PostgreSQL
- 8080/TCP — HTTPの代替(プロキシや開発用)
最新の正式割当はIANAのリストで確認してください。
エフェメラルポート(動的ポート)とOS依存性
クライアントが自動的に割り当てられる一時的な送信元ポートをエフェメラルポートと呼びます。この範囲はOSや設定により異なり、WindowsやLinuxでデフォルトの範囲が異なることがあります。IANAは49152–65535を動的/プライベートとして推奨していますが、実際のOSデフォルトは管理者が変更可能です。運用では、ファイアウォールやサーバ負荷・接続数に応じてエフェメラルポート範囲を把握・調整しておくことが重要です。
セキュリティと運用上の注意点
- 不要なポートは閉じる:公開すべきでないサービスのポートを開けておくと攻撃の入口になります。最小権限で開放すること。
- 脆弱性とポートスキャン:攻撃者はまずポートスキャンで開いているポートを調査します(nmapなど)。ログや検知ルールで異常なスキャンを監視すること。
- ポート番号だけでの信頼は危険:同一ポートであってもアプリケーションレイヤのプロトコルや認証を適切に行う必要があります。ファイアウォールは第一線ですが、TLSや認証など多層防御を組み合わせてください。
- ポートフォワーディングの管理:NAT環境でポートフォワーディングを行う場合、内部のホスト変更やサービス移転時にマッピングの更新漏れがないよう運用ルール化すること。
- ログと可視化:どのIPがどのポートに通信しているかを可視化し、異常通信の早期発見に備えること。
コンテナやプロキシ環境でのポート管理
Dockerなどのコンテナ技術では、コンテナ内部のポートをホスト側のポートにマッピングします(例:-p 8080:80)。同一ホストで複数コンテナが同じホストポートを使えない一方、リバースプロキシ(nginx, HAProxy)を用いれば1つのポート(通常443)で複数の内部サービスをホスト名やパスで振り分けることもできます。運用ではポート管理ルールとネットワークポリシーを整備するのが望ましいです。
よくある誤解と補足
- 「ポート=サービスそのもの」ではない:ポートはあくまでサービスが使う番号。ポートにサービスが結びついていることが多いが、自由に変えられる。
- 「ポートを閉じれば安全」でもない:閉じられたポートは攻撃面を減らすが、内部の脆弱なアプリや認証の弱さは別問題。
- 「同じポートで複数プロトコルが使える」:同じ番号をTCPとUDPの両方で割り当てることは可能(例:53/TCPと53/UDP)。しかしプロトコルの違いを理解する必要があります。
まとめ(実務的なチェックリスト)
- 公開するポートは最小限にする(不要サービスは停止)。
- ポート番号の割当や変更はドキュメント化して運用ルールにする。
- NATやファイアウォールでのポート変換を把握し、ログを収集する。
- リバースプロキシやTLS終端でポート数を整理し、ホスト名での振り分けを活用する。
- 定期的にポートスキャンで公開状況を確認し、不正アクセスを監視する。
参考文献
- IANA — Service Name and Transport Protocol Port Number Registry
- RFC 6335 — Internet Assigned Numbers Authority (IANA) Procedures for the Management of the Service Name and Transport Protocol Port Number Registry
- RFC 793 — Transmission Control Protocol (TCP)
- RFC 768 — User Datagram Protocol (UDP)
- Nmap — Network Scanning Tool
- Docker — Use bind mounts, port mapping and networking
- Wikipedia — ポート (コンピュータネットワーク)
投稿者プロフィール
