ICMP (Internet Control Message Protocol) Pingは、管理者が接続性をテストし、ネットワークの問題を診断するための基本的なネットワークツールです。便利な反面、ICMPは潜在的な攻撃者にシステムに関する情報を公開する可能性もあるため、Windows 10のファイアウォールはデフォルトでICMPリクエストをブロックしています。

この上級者向けガイドでは、Windows 10でICMP Pingを有効または無効にする複数の方法について、ファイアウォールUI、PowerShellコマンド、グループポリシー管理、セキュリティのベストプラクティスを取り上げながら説明します。

ICMP Pingを制御する理由

ICMP Pingを許可またはブロックするタイミングを理解することは、IT専門家やシステム管理者にとって非常に重要です:

ICMP Pingを有効にする

  • エンドポイント間の接続のトラブルシューティング。
  • ネットワークの監視と診断
  • パケット損失と遅延の特定

⛔ ICMP Ping を無効にする。

  • ネットワークスキャンを防止することで、攻撃対象範囲を縮小します。
  • ICMP フラッド (DoS) 攻撃から保護します。
  • 露出した環境でのセキュリティを強化します。

⚙️ アクセスの微調整

  • 信頼できるIP範囲からのみICMPを許可。
  • カスタムファイアウォールルールを適用して、きめ細かく制御します。

方法 1 – Windows Defender ファイアウォール経由で ICMP を有効または無効にする

ICMP Ping(インバウンドエコー要求)を有効にする

ファイアウォール設定を開く

  • Win Rを押しcontrolと入力し、Enterを押す。
  • システムとセキュリティ」>「Windows Defender ファイアウォール」を開きます。

新しい受信ルールを作成する

  • 左のパネルで詳細設定をクリックします。
  • Inbound RulesNew Ruleを選択します。

ICMPルールの設定

  • カスタムルールを選択 →次へ
  • プログラム]で[すべてのプログラム]を選択 → [次へ]。
  • Protocol and Ports]で[ICMPv4](IPv6の場合は[ICMPv6])を選択します。
  • カスタマイズ]をクリックし、[特定のICMPタイプ]を有効にして、[エコー要求]を選択します。

スコープとアクションの設定

  • Scope(範囲)]では、[Any IP address(任意のIPアドレス)]または[Trusted IP ranges(信頼できるIP範囲)]を選択します。
  • ActionではAllow the connectionを選択します。

プロファイルに適用して保存する

  • ドメインプロファイル、プライベートプロファイル、パブリックプロファイルのいずれかにチェックを入れる。
  • ルールに名前を付ける(例:Allow ICMP PingFinish)。

ICMP Pingを無効にする

  • Windows Defender Firewall with Advanced Security(wf.msc)を開きます。
  • 受信の規則]に移動し、[ICMP Pingの許可]規則を見つけます。
  • 右クリックルールの無効化またはルールの削除

方法2 – PowerShellでICMPを管理する(自動化推奨)

スクリプティングや企業での導入には、PowerShellが最も効率的な方法です。

ICMP Pingを有効にする

New-NetFirewallRule -DisplayName "Allow ICMPv4-In" `
-Protocol ICMPv4 -IcmpType 8 -Direction Inbound `
-Action Allow

無効にする ICMP Ping

Get-NetFirewallRule -DisplayName "Allow ICMPv4-In" | Remove-NetFirewallRule

現在のICMPルールの確認

Get-NetFirewallRule|Where-Object {$_.DisplayName -like "*ICMP*"}| 現在のICMPルールを確認する

方法3 – ドメイン環境のグループポリシーを使用する

複数のWindows 10マシンを管理する企業環境向け:

  1. グループポリシー管理コンソール(gpedit.msc)を開きます。

  2. に移動します:

    Computer Configuration → Windows Settings → Security Settings →
    Windows Defender Firewall → Inbound Rules

  3. 上記のように新しいICMPエコー要求ルールを作成します。

  4. グループポリシーオブジェクト(GPO)の配置を使用して、複数のエンドポイントにルールを適用する。

セキュリティに関する考慮事項

ICMP Pingを許可することにはメリットがあるが、リスクもある:

  • ICMPフラッド攻撃
    攻撃者はPingリクエストでネットワークを圧倒することができる。
    → 緩和策ルーター/ファイアウォールでレート制限を有効にする。

  • ネットワークの列挙
    ping 返信を公開することで、生きているホストを発見することができる。
    → 緩和策対策:ICMPアクセスを信頼できるIPのみに制限する。

  • DMZ/パブリックサーバー
    診断が必要な場合を除き、外部に面したサーバーではICMPを完全に無効にすることを検討する。

ICMP Ping設定の検証

コマンドプロンプトを開き、実行します:

ping 8.8.8.8

  • 応答を受け取った:ICMPが有効です。

  • リクエストがタイムアウトした:ICMPはブロックされている。

IPv6テストの場合:

ping -6 2001:4860:4860::8888