minto.tech スマホ(Android/iPhone)・PC(Mac/Windows)の便利情報をお届け! 月間アクセス160万PV!スマートフォン、タブレット、パソコン、地デジに関する素朴な疑問や、困ったこと、ノウハウ、コツなどが満載のお助け記事サイトはこちら!
※本ページにはプロモーション(広告)が含まれています
【2026年最新版】Windows Defenderファイアウォールでアプリをブロック・許可する設定の完全ガイド
Windows Defenderファイアウォールで特定のアプリやポートをブロック・許可する設定を、初心者にもわかりやすく完全解説します。受信規則・送信規則の違い、プロファイル設定、netshコマンドまで網羅。
「特定のアプリだけインターネット接続を遮断したい」「業務ソフトが通信できなくて困っている」「Windows Defenderファイアウォールの設定がよくわからない」――こうした悩みは、Windowsを使う多くの方が一度は抱える疑問です。Windows標準のファイアウォール機能は強力で柔軟ですが、その分設定項目が多く、初見では迷子になりがちです。
本記事では、Windows 11 / Windows 10 で利用できる「Windows Defenderファイアウォール」を使い、アプリ単位での通信ブロック・許可、ポート単位での開放、プロファイル別の制御、コマンドライン操作まで、現場で実際に使われている設定手順を体系的に解説します。読み終わる頃には、自分のPCの通信を自由自在にコントロールできるようになるはずです。
この記事でわかること
- Windows Defenderファイアウォールの基本的な仕組み
- 特定のアプリの通信をブロック・許可する具体的な手順
- 受信規則と送信規則の違いと使い分け
- プライベート・パブリック・ドメインの3プロファイルの意味
- ポート番号を指定して通信を許可する方法
- netshコマンドでファイアウォールを操作する方法
- サードパーティセキュリティソフトと競合した場合の対処
- 一時的にファイアウォールを無効化する手順とリスク
- トラブル発生時の切り分け方と復旧手順
Windows Defenderファイアウォールの仕組みを理解する
そもそもファイアウォールとは何か
ファイアウォールとは、コンピュータと外部ネットワークの間に置かれる「通信の関所」です。あらかじめ設定したルールに従って、許可された通信だけを通し、それ以外をブロックします。Windows Defenderファイアウォールは、Windowsに標準搭載されているソフトウェア型のファイアウォールで、追加コストなしで利用できます。
家のドアに例えると、ファイアウォールは「玄関の鍵」と「インターホン」の両方の役割を持ちます。誰が訪問してきたか(受信通信)、家から誰が出ようとしているか(送信通信)を判断し、信頼できる相手だけに通行を許可するわけです。
受信規則と送信規則の違い
Windows Defenderファイアウォールには、大きく分けて「受信規則」と「送信規則」という2種類のルールがあります。それぞれの役割を正しく理解することが、ファイアウォール設定を使いこなす第一歩です。
受信規則(インバウンドルール)は、外部からPCに向かってくる通信を制御します。例えば、リモートデスクトップで外部から接続を受け付けたい場合や、自宅サーバーを公開する場合に設定します。デフォルトでは多くの受信通信がブロックされており、必要に応じて穴を開けていくイメージです。
送信規則(アウトバウンドルール)は、PCから外部に出ていく通信を制御します。例えば「このアプリだけインターネット接続を禁止したい」という場合に使います。デフォルトでは送信通信はほとんど許可されており、明示的にブロックする規則を追加する形になります。
3つのプロファイル(ドメイン・プライベート・パブリック)
Windows Defenderファイアウォールは、接続しているネットワークの種類によって3つのプロファイルを使い分けます。これは、自宅の安全なWi-Fiと、カフェの危険な公衆Wi-Fiで、同じセキュリティレベルを適用するのは合理的でないためです。
例えば、自宅のWi-Fiは「プライベート」に分類され、ファイル共有などが比較的緩く許可されます。一方、空港の無料Wi-Fiは「パブリック」となり、外部からのアクセスは強く制限されます。会社のドメインに参加しているPCが社内ネットワークにつながった場合は「ドメイン」プロファイルが適用されます。
許可リストとブロックリストの優先順位
Windows Defenderファイアウォールでは、複数の規則が同時に存在することがあります。このとき、どの規則が優先されるかを理解しておかないと、思った通りに動作しません。基本ルールとしては、「明示的にブロックする規則」が「明示的に許可する規則」よりも優先されます。つまり、同じアプリにブロック規則と許可規則の両方がある場合、ブロックされる挙動になるということです。
主な操作パターン8選
パターン1: 設定アプリからアプリを許可する
もっとも簡単な方法は、Windowsの「設定」アプリから操作することです。スタートメニューから「設定」を開き、「プライバシーとセキュリティ」→「Windowsセキュリティ」→「ファイアウォールとネットワーク保護」→「ファイアウォールによるアプリケーションの許可」を選択します。
表示されたアプリ一覧から、許可したいアプリにチェックを入れます。プライベートとパブリックの両方にチェックを入れることで、どのネットワークでも通信が許可されます。リストにないアプリは、「別のアプリの許可」ボタンから追加できます。
パターン2: コントロールパネルで詳細設定する
より詳細な設定をしたい場合は、コントロールパネルから「Windows Defenderファイアウォール」を開きます。スタートメニューで「コントロールパネル」と検索して開き、「システムとセキュリティ」→「Windows Defenderファイアウォール」をクリックします。左側メニューの「詳細設定」を選ぶと、上級者向けの規則編集画面が開きます。
パターン3: 特定アプリの通信を完全にブロックする
例えば、ゲームソフトが勝手にアップデートを始めるのを防ぎたい場合、そのアプリの送信通信をブロックします。詳細設定画面で「送信の規則」→「新しい規則」を選び、「プログラム」を選択。次の画面でブロックしたいアプリの実行ファイル(.exe)のパスを指定し、「接続をブロックする」を選んで保存します。
パターン4: ポート番号で許可する
Webサーバーやデータベースなど、特定のポートを開放したい場合は「ポート」規則を作成します。詳細設定画面で「受信の規則」→「新しい規則」→「ポート」を選択し、TCPまたはUDP、ポート番号(80、443、3306など)を指定します。
パターン5: IPアドレス範囲で制限する
社内LAN内の特定のPCだけアクセスを許可したい場合、IPアドレス範囲を指定する規則を作成します。新規規則作成時の「スコープ」タブで、「これらのIPアドレス」を選択し、許可するIPアドレスや範囲(例: 192.168.1.0/24)を入力します。
パターン6: グループポリシーで一括管理
Windows 11 Pro / Enterpriseでは、グループポリシーエディタ(gpedit.msc)からファイアウォール設定を一括管理できます。「コンピューターの構成」→「Windowsの設定」→「セキュリティの設定」→「セキュリティが強化されたWindows Defenderファイアウォール」で、組織全体の規則を定義できます。
パターン7: コマンドライン(netsh)で操作
スクリプトやリモート管理でファイアウォールを操作したい場合は、netshコマンドが便利です。管理者権限でコマンドプロンプトまたはPowerShellを開き、以下のように実行します。
# 現在の設定状態を確認
netsh advfirewall show allprofiles
# プライベートプロファイルでファイアウォールを有効化
netsh advfirewall set privateprofile state on
# 特定のポート(8080)を許可する受信規則を追加
netsh advfirewall firewall add rule name="MyApp Inbound" dir=in action=allow protocol=TCP localport=8080
# 特定のプログラムをブロックする送信規則を追加
netsh advfirewall firewall add rule name="Block App" dir=out action=block program="C:\Path\To\app.exe"
# 規則の一覧を表示
netsh advfirewall firewall show rule name=all
# 規則を削除
netsh advfirewall firewall delete rule name="MyApp Inbound"
パターン8: PowerShellで設定する
より新しい管理手法として、PowerShellコマンドレットが用意されています。netshよりも構造化されたオブジェクトを扱えるため、複雑な自動化に向いています。
# 現在のファイアウォールプロファイルを確認
Get-NetFirewallProfile
# プロファイルを有効化
Set-NetFirewallProfile -Profile Public -Enabled True
# 新しい受信規則を追加
New-NetFirewallRule -DisplayName "Allow Port 8080" -Direction Inbound -Protocol TCP -LocalPort 8080 -Action Allow
# 規則を削除
Remove-NetFirewallRule -DisplayName "Allow Port 8080"
アプリ別の許可手順(具体例)
例1: リモートデスクトップを許可する
リモートデスクトップ(RDP)を有効化すると、自動的に必要な受信規則が追加されます。しかし、何らかの理由で規則が消えてしまった場合は、手動で追加する必要があります。詳細設定画面で「受信の規則」→「リモートデスクトップ – ユーザーモード(TCP受信)」を探し、有効化します。ポート番号3389を使用しています。
例2: ファイル共有・プリンタ共有を許可する
家庭内ネットワークでファイルやプリンタを共有する場合、「ファイルとプリンターの共有」関連の受信規則を有効化します。プライベートネットワーク内でのみ許可するのが安全です。ポートは137、138(UDP)、139、445(TCP)が使用されます。
例3: Minecraftサーバーを公開する
家庭でMinecraftサーバーを立てる場合、ポート25565(TCP)の受信を許可します。詳細設定→受信の規則→新しい規則→ポート→TCP→特定のローカルポート「25565」→接続を許可する→プライベートのみ(または必要に応じてパブリック)にチェックを入れて完了。
例4: 業務ソフトの通信を許可する
ERPや会計ソフトなど、業務アプリがサーバーと通信できない場合、そのアプリの実行ファイルを許可リストに追加します。アプリのインストールフォルダ(例: C:\Program Files\AccountingSoftware\app.exe)を指定し、ドメインプロファイルで許可します。
例5: 開発環境(Webサーバー)を許可する
開発でローカルWebサーバー(XAMPP、Node.js、Pythonなど)を起動する場合、デフォルトで使われるポート(80、3000、8000、8080など)の受信を許可する必要があります。プライベートネットワーク内のみで許可するのが原則です。
受信規則と送信規則の使い分け比較表
| 項目 | 受信規則 | 送信規則 |
|---|---|---|
| 通信の方向 | 外部→PC | PC→外部 |
| デフォルト挙動 | ほぼブロック | ほぼ許可 |
| 主な用途 | サーバー公開、リモート接続 | アプリの外部通信制限 |
| 設定例 | ポート3389を開放 | 特定アプリのネット遮断 |
| セキュリティリスク | 高(外部攻撃の入口になり得る) | 中(誤設定で業務支障) |
| 推奨プロファイル | プライベート / ドメインのみ | 全プロファイル対応可 |
プロファイル別の推奨設定比較表
| プロファイル | 適用シーン | 推奨設定 |
|---|---|---|
| ドメイン | 会社のドメインネットワーク | 業務通信を許可、外部はブロック |
| プライベート | 自宅Wi-Fi、信頼できるLAN | ファイル共有・プリンタ共有を許可 |
| パブリック | カフェ、空港、ホテルなど公衆Wi-Fi | 外部接続を最大限制限、共有機能オフ |
ポート開放と許可手順
よく使われるポート番号一覧
| ポート | プロトコル | 用途 |
|---|---|---|
| 80 | TCP | HTTP(Web通信) |
| 443 | TCP | HTTPS(暗号化Web通信) |
| 3389 | TCP | リモートデスクトップ |
| 22 | TCP | SSH(リモートシェル) |
| 21 | TCP | FTP(ファイル転送) |
| 25 | TCP | SMTP(メール送信) |
| 3306 | TCP | MySQL |
| 5432 | TCP | PostgreSQL |
| 25565 | TCP | Minecraftサーバー |
ポート開放の安全な手順
ポートを開放する際は、必要最小限の範囲に留めることが鉄則です。具体的には以下の順序で設定します。
- 本当にそのポートを外部から開ける必要があるか再確認する
- 可能であればプライベートプロファイルのみで許可する
- 必要なら接続元IPアドレスを限定する
- 規則名にわかりやすい名前を付ける(後で削除しやすいように)
- 不要になったら必ず削除する(残しっぱなしは厳禁)
サードパーティセキュリティソフトとの競合
競合が起きやすい主なソフト
Norton、McAfee、ESET、Avast、ウイルスバスター、カスペルスキーなど、市販のセキュリティソフトには独自のファイアウォール機能が含まれています。これらをインストールすると、Windows Defenderファイアウォールが自動的に無効化されるか、両方が中途半端に動作して通信トラブルの原因となることがあります。
競合の見分け方
「設定」→「プライバシーとセキュリティ」→「Windowsセキュリティ」→「ファイアウォールとネットワーク保護」を開いて、各プロファイルのファイアウォール状態を確認します。「Norton Internet Securityでの管理」など、サードパーティ製品名が表示されている場合は、そのソフトがファイアウォールを引き継いでいる状態です。
解決策
原則として、ファイアウォール機能は1つのソフトに任せるのが正解です。サードパーティのセキュリティソフトを使う場合は、そちらの設定画面でアプリの許可・ブロックを行います。Windows Defenderファイアウォールに戻したい場合は、サードパーティソフトを完全にアンインストール(または該当機能を無効化)してから、Windows Defenderファイアウォールを有効化し直します。
一時的に無効化する手順とリスク
無効化する手順
トラブルシューティングや特定の検証作業のため、一時的にファイアウォールを無効化することがあります。以下の手順で実施できます。
- 「設定」→「プライバシーとセキュリティ」→「Windowsセキュリティ」を開く
- 「ファイアウォールとネットワーク保護」をクリック
- 無効化したいプロファイル(ドメイン/プライベート/パブリック)を選択
- 「Microsoft Defenderファイアウォール」のトグルをオフにする
無効化のリスク
ファイアウォールを無効化したPCは、外部からの攻撃や不正アクセスに対して無防備な状態になります。インターネットに直接接続している場合は、数分でマルウェアに感染するケースも報告されています。無効化する場合は以下の点に注意してください。
- 必ず作業終了後に有効化する
- 無効化中はネットワークケーブルを抜くか、Wi-Fiをオフにする
- ルーターのファイアウォール機能が有効になっていることを確認する
- VPNや信頼できるネットワーク内でのみ作業する
よくあるトラブル例と対処
例1: 「アプリの設定で不明なエラーが発生しました」
規則を追加しようとすると上記エラーが出る場合、グループポリシーで制限されている可能性があります。会社のPCであればIT部門に相談を、個人PCであればローカルグループポリシー(gpedit.msc)の「コンピューターの構成」→「Windowsの設定」→「セキュリティの設定」→「セキュリティが強化されたWindows Defenderファイアウォール」で設定を確認します。
例2: 規則を追加しても通信できない
許可規則を追加したのに通信できない場合は、優先順位の高いブロック規則が別に存在する可能性があります。詳細設定画面で関連する規則をすべて確認し、ブロック規則を無効化するか削除します。
例3: ファイアウォールサービスが起動しない
「サービス」(services.msc)で「Windows Defender Firewall」サービスが停止している場合、起動できないケースがあります。コマンドプロンプトを管理者で開き、以下を実行することで復旧できる場合があります。
net start MpsSvc
sc config MpsSvc start=auto
例4: プロファイルが「パブリック」に固定される
自宅のWi-Fiが「パブリック」と認識されてしまう場合、設定→ネットワークとインターネット→Wi-Fi→接続中のネットワーク名をクリックし、「ネットワークプロファイルの種類」を「プライベートネットワーク」に変更します。
例5: VPN接続時にファイアウォールが効かない
VPN接続中は、VPNプロバイダ独自のファイアウォール設定が優先されることがあります。VPNクライアントのオプションを確認し、Windowsファイアウォールとの併用設定を有効化してください。
推奨設定(一般ユーザー向け)
結論として、ほとんどの一般ユーザーには以下の設定を推奨します。
- 3つのプロファイルすべてでファイアウォールを有効化
- 自宅Wi-Fiは「プライベート」、公衆Wi-Fiは「パブリック」に分類
- サードパーティセキュリティソフトを使うなら、Windows Defenderファイアウォールはそちらに任せる
- 不要なポート開放規則は定期的に削除する
- 新しいアプリが通信許可を求めてきたときは、信頼できるものだけ許可する
- 業務PCの場合はIT管理者の方針に従う
🛒 関連商品をAmazonでチェック
FAQ(よくある質問)
Q1: Windows Defenderファイアウォールはオフにしても大丈夫ですか?
A. 原則としてオフにしないでください。サードパーティのファイアウォール機能付きセキュリティソフトを使っている場合のみオフが許容されますが、その場合もそのソフトの機能が常時有効である必要があります。何の代替もない状態でオフにすると、マルウェア感染のリスクが大幅に上がります。
Q2: 規則を間違って作ってしまったら元に戻せますか?
A. 詳細設定画面の左メニューにある「Windows Defenderファイアウォール – ローカルグループポリシーオブジェクトのプロパティ」から、すべての規則を既定値にリセットできます。または、コントロールパネルのファイアウォール画面で「既定値に戻す」を選択することでも復旧できます。
Q3: アプリを許可してもなお通信できないのはなぜ?
A. ファイアウォールではなく、別の原因が考えられます。アンチウイルスソフトが通信を遮断している、ルーターのフィルタリング設定、企業のプロキシサーバー、Hostsファイルの設定、DNSの問題などをチェックしてください。問題切り分けには、いったんファイアウォールを一時無効化して挙動を見る方法も有効です。
Q4: ゲームの「マルチプレイができない」もファイアウォールが原因?
A. 可能性は高いです。多くのゲームはUPnP(Universal Plug and Play)でルーターのポートを自動開放しますが、ルーターやファイアウォールの設定でブロックされていると失敗します。ゲームの実行ファイルとポートをファイアウォールで許可し、ルーターのUPnP設定も有効化してください。
Q5: 業務でVPNを使っているが、特定アプリだけVPNを通さない設定にできる?
A. Windows Defenderファイアウォール単体では難しいですが、「Split Tunneling」機能を持つVPNクライアントと組み合わせれば可能です。OpenVPN、WireGuard、企業向けVPNソリューションなどでは、対象アプリやIP範囲を指定してトンネル外通信にすることができます。
Q6: 規則の追加後、即時反映されますか?再起動は必要?
A. 規則の追加・変更は即時反映されます。再起動は不要です。ただし、すでに確立している接続には影響しない場合があるため、設定変更後にアプリを再起動して通信し直すと確実です。
Q7: コマンドラインで一括設定をエクスポート/インポートできる?
A. 可能です。以下のnetshコマンドで設定全体のバックアップと復元ができます。
# 現在の設定をエクスポート
netsh advfirewall export "C:\Backup\firewall-backup.wfw"
# バックアップから復元
netsh advfirewall import "C:\Backup\firewall-backup.wfw"
Q8: 古いソフトでファイアウォールが原因で動かない場合は?
A. 古いアプリは現代的なセキュリティ規則と相性が悪いことがあります。一時的に該当アプリの送受信規則を「すべての接続を許可」に設定して動作確認し、問題が解決すれば、より制限的な規則に絞り込んでいきます。サポートが終了した古いソフトは可能なら代替を検討してください。
まとめ
Windows Defenderファイアウォールは、Windowsのセキュリティを支える重要な機能です。設定項目は多岐にわたりますが、本記事で紹介した「受信/送信規則の違い」「3つのプロファイル」「アプリ単位の許可・ブロック」「ポート開放」「コマンドライン操作」の基本を押さえれば、ほとんどのシーンで問題なく対応できます。
大切なのは、必要最小限の通信だけを許可するという「最小権限の原則」です。新しい規則を追加するときは、本当に必要かを自問し、不要になったら必ず削除する習慣を付けましょう。サードパーティのセキュリティソフトを使う場合は、機能の重複を避け、どちらか一方に統一することがトラブルを防ぐコツです。
この記事の手順を実践すれば、自分のPCの通信を完全にコントロールできるようになります。安全で快適なWindowsライフをお過ごしください。
