Windows 11 リモートデスクトップポート変更とIPアクセス制御の設定

IT
目次

2025年9月最新アップデート
(この方法はWindows 10でも同様に使用できます)

デフォルトポートの3389は悪意のあるユーザーによく知られており、攻撃の対象となりやすくなっています。システムの安全性を保つため、別のポート番号への変更を強くお勧めいたします。

ポート番号は推測されにくくするため、登録済みポート範囲(1024-49151)から任意に選択してご使用ください。このガイドでは、リモートデスクトップポートを49151に変更いたします。

リモートデスクトップポートの変更

1. リモートデスクトップ機能の有効化

(Windows 11 24H2を基準)

  1. Windows設定を開きます。
  2. [システム][リモートデスクトップ] へ移動します。
  3. リモートデスクトップオン に設定します。

2. リモートデスクトップポートの変更

  1. Windowsキー + Rを押して「ファイル名を指定して実行」ダイアログを開き、regedit と入力してレジストリエディタを起動します。

    • スタートボタンをクリックしてregeditと入力することも可能です。

  2. レジストリエディタで以下のパスへ移動します:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

  3. PortNumber エントリを見つけてダブルクリックします。

  4. 10進数 を選択し、ポート番号を3389から 49151 に変更します。

  5. PCを再起動して新しいポート番号を適用します。

3. ファイアウォール設定

リモートデスクトップポートをデフォルトの3389からカスタムポートに変更した後は、新しいポートを通じたリモート接続を許可するため、Windowsファイアウォールで新しい受信規則を作成する必要があります。

  1. Windowsキー + Rを押して「ファイル名を指定して実行」ダイアログを開き、wf.msc と入力します。
    • スタートボタンをクリックしてwf.mscと入力することも可能です。
  2. 左のツリーで 受信の規則 をクリックし、右パネルの 新しい規則 をクリックします。
  3. 新しい受信の規則ウィザードを以下のように設定します:
    • 規則の種類: ポート
    • プロトコル: TCP
    • 特定のローカルポート: 49151
    • 操作: 接続を許可する
    • プロファイル: ドメイン、プライベート、パブリックの3つすべてを選択
    • 名前: RDP(またはお好みの名前)
  4. 完了 をクリックして設定を完了します。

IPアクセス制御の設定

カスタムポートへの変更だけでは完全なセキュリティを保証することはできません。攻撃者はポートスキャンによって開いているポートを検出し、ブルートフォース攻撃を試行する可能性があります。このようなリスクを根本的に阻止するには、IPベースのアクセス制御(ACL)を設定し、事前に承認されたIPアドレスからのみ接続可能にする必要があります。これは多層セキュリティ戦略の核心的要素です。

IPアクセス制御(ACL)の設定

  1. Windowsキー + Rを押して「ファイル名を指定して実行」ダイアログを開き、wf.msc と入力します。
    • スタートボタンをクリックしてwf.mscと入力することも可能です。
  2. 左のツリーで 受信の規則 をクリックします。
  3. 先ほど作成した規則(RDPまたはカスタム名)を見つけてダブルクリックします。
  4. プロパティウィンドウが開いたら、上部の スコープ タブをクリックします。
  5. リモートIPアドレス の項目で、オプションを これらのIPアドレス に変更し、追加 をクリックして送信元IPを入力します。
  6. OK をクリックしてウィンドウを閉じ、IPアクセス制御を適用します。

VPNの使用

IPアクセス制御よりもさらに強力なセキュリティをお求めの場合は、VPN(Virtual Private Network) を通じてのみリモートデスクトップ接続を許可することをご検討ください。

1. VPNセキュリティの基本概念

VPNはインターネット上に暗号化された仮想トンネルを作成し、外部から内部ネットワークへの安全なアクセスを可能にする技術です。VPNを使用すると、外部ユーザーはRDPポートに直接アクセスできなくなり、まずVPNに接続してから内部ネットワークのコンピューターにリモートデスクトップでアクセスする必要があります。

2. セキュリティ強化の効果

  • 二重認証構造: VPNログイン → RDPログインの段階的セキュリティ
  • 暗号化通信: すべてのデータ送信が暗号化され安全性を確保
  • IPアドレス隠蔽: 実際のRDPサーバーのIPアドレスが外部に露出されない
  • 完全なアクセス遮断: VPN未接続時はRDPサーバーの存在自体を検出できない

3. 主要なVPN実装方法

家庭用ルーターのVPN機能活用

最新のルーターのほとんどは内蔵VPNサーバー機能を持っており、追加費用なしでVPNを構築できます。ルーター管理ページでVPNサーバーを有効化し、ユーザーアカウントを作成して使用します。

商用VPNサービスの利用

ExpressVPN、NordVPN、Surfsharkなどの商用VPNサービスを利用して固定IPを割り当てられ、そのIPからのみRDPアクセスを許可するよう設定する方法です。

クラウドVPN構築

AWS VPN Gateway、Azure VPN GatewayなどクラウドサービスのVPNソリューションを活用して、プロフェッショナルレベルのVPN環境を構築する方法です。

オープンソースVPNサーバー構築

OpenVPN、WireGuard、SoftEther VPNなどのオープンソースソリューションを別サーバーにインストールして、カスタマイズされたVPN環境を直接構築する方法です。

4. 推奨アプローチ

個人ユーザーの方はルーターの内蔵VPN機能が利用可能かをまずご確認いただき、企業環境ではクラウドVPNソリューションをご検討されることが効率的です。VPN構築後にファイアウォールでRDPポートの外部直接アクセスを完全に遮断し、VPNを通じてのみアクセス可能に構成することで、最高レベルのリモートデスクトップセキュリティを確保できます。