プライベートIPとは?RFC1918・IPv6(ULA)の違いとNATや運用上の注意点を徹底解説
エバープレイ編集部プライベートIPとは──概要と位置づけ
プライベートIP(プライベートIPアドレス)とは、インターネット上で直接ルーティングされない、組織内や家庭内のローカルネットワークで利用するために予約されたIPアドレスの範囲を指します。外部のインターネット上でユニークである必要はなく、複数の異なるネットワークで同じプライベートIPレンジを自由に使えます。主にNAT(Network Address Translation)と組み合わせて、複数の内部ホストが少数のグローバルIPでインターネットに接続するために用いられます。
プライベートIPv4アドレスの定義と範囲
IPv4におけるプライベートアドレスはRFC 1918で定義されています。代表的な範囲は次の3つです:
- 10.0.0.0/8(10.0.0.0 〜 10.255.255.255)
- 172.16.0.0/12(172.16.0.0 〜 172.31.255.255)
- 192.168.0.0/16(192.168.0.0 〜 192.168.255.255)
これらは「RFC1918 アドレス」とも呼ばれ、インターネットの公衆ルータはこれらのアドレスをパブリックネットワークへルーティングすべきではないと定められています(つまり、インターネット上で直接到達できない)。
その他の特別なIPv4アドレスブロック
- ループバック:127.0.0.0/8(通常127.0.0.1)はホスト自身を示す特別なブロックです。プライベートIPとは用途が異なります。
- リンクローカル(APIPA):169.254.0.0/16 はDHCPサーバが見つからないときに自動割り当てされるアドレス(RFC 3927)。こちらもルーティングされません。
- 共有アドレス空間(CGN):100.64.0.0/10 はキャリアグレードNAT用にIANAが割り当てた範囲(RFC 6598)。ISP側でNATを行う際に用いられます。
IPv6におけるプライベートに相当する概念
IPv6では「プライベートIP」という用語はそのまま使われませんが、ローカル専用のアドレスとして「ユニークローカルアドレス(ULA)」がRFC 4193で定義されています。範囲は fc00::/7(通常は fd00::/8 がランダム生成プレフィックスとして使われます)。また、各リンク内でのみ有効なリンクローカルアドレス(fe80::/10)も存在します。
なぜプライベートIPが必要か(利点と背景)
- IPv4アドレス枯渇への対応:限りあるIPv4アドレスを節約するため、内部ネットワークにはプライベートIPを割り当て、NATでインターネット接続を共有する方式が一般化しました。
- ネットワーク分割と管理の容易さ:組織内で自由に同一範囲を使えるため、ローカルネットワーク設計やサブネット分割が容易です。
- セキュリティの一助:プライベートIPは公共ルータで直接到達できないため、外部からの直接アクセスをある程度防げます(ただし完全な防御ではない)。
NAT(Network Address Translation)とプライベートIPの関係
最も一般的な利用形態は、ルータが内部のプライベートIPを外部のグローバルIPに変換(NAT/PAT)してインターネット接続を共有することです。NATの主な方式には以下があります:
- 静的NAT:内部IPと外部IPを1対1で固定マッピングする。
- 動的NAT:プールされたグローバルIPを動的に割り当てる。
- NAPT(ポートアドレス変換、いわゆるPAT):複数の内部ホストが単一のグローバルIPをポート番号で共有する形式(家庭用ルータで一般的)。
NATはアドレス枯渇対策以外にプライバシーや内部構造のオーバーレイにも役立ちますが、アプリケーションやピア・トゥ・ピア通信ではポートフォワーディングやSTUN/TURNなどの追加対策が必要になる場合があります。
運用上の注意点・ベストプラクティス
- アドレッシング計画を立てる:大規模ネットワークではサブネット(VLAN)ごとに計画的にIPを割り振り、将来の拡張を見越す。
- 重複に注意:異なる拠点で同一のプライベートレンジ(例:10.0.0.0/8)を使っている場合、VPN接続やサイト間接続時にアドレス競合が発生する可能性がある。必要に応じてリマッピングやNATルールを設計する。
- CGNATの影響:ISPのCGNAT(100.64.0.0/10)利用下では、ユーザ自身にグローバルIPが割り当たらないことがあり、接続やポート利用に制約が出る場合がある。
- 静的割り当てとDHCPの使い分け:サーバやネットワーク機器は静的IP、クライアントはDHCPで自動配布するのが一般的。
セキュリティとプライベートIP
プライベートIPは外部から直接アクセスされない点でセキュリティ上の利点がありますが、内部からの脅威や誤設定、マルウェア感染による内部横移動には無力です。次の点に注意してください:
- 内部ファイアウォール/ACLの実装:内部ネットワークもセグメント化し、必要最小限の通信だけ許可する。
- ログと可視化:NAT越しのトラフィックや内部通信のログを適切に採取し、異常を検知する。
- ポートフォワーディングの管理:外部から内部へ開くポートは最小化し、監視と認証を強化する。
トラブルシューティングでよくある問題
- IPの重複:手動で静的IPを割り当てた際にDHCPの範囲と重なると接続不良やARP競合が発生する。
- 二重NAT(Double NAT):家庭内ルータ+ISPルータなどで二重にNATされると、ポート開放やUPnPが期待通りに動作しない。
- VPN接続時の競合:拠点間VPNで両側が同じプライベートレンジを使っているとルーティングされない。アドレス再設計かNATによる回避が必要。
- インターネットへ出られない:デフォルトゲートウェイやNAT設定、ISP側のフィルタでブロックされていることがある。
ケーススタディ(実務的な例)
家庭内ネットワーク:一般的に192.168.0.0/24や192.168.1.0/24をルータがデフォルトで採用します。ルータがDHCPでクライアントにIPを配布し、NAPTでインターネット接続を共有します。
企業ネットワーク:コアネットワークで10.0.0.0/8を採用し、拠点ごとに/16や/24で切り分けてVLANとルーティングを構成する例が多いです。社内サーバは静的IP、クライアントはDHCPを利用。
クラウド環境:クラウドプロバイダもVPC内でプライベートアドレスを割り当て、NATゲートウェイやインターネットゲートウェイを通して外部と接続します。クラウド内でのアドレス設計はオンプレミスと接続する際に重要です。
まとめ
プライベートIPは、限られたIPv4アドレス資源を有効活用し、ローカルネットワークを柔軟に設計するための基本的な仕組みです。NATと組み合わせることで多様なデバイスをインターネットに接続できますが、アドレス計画、NATの制約、セキュリティ対策、VPNやCGNATとの相互作用といった運用面の配慮が不可欠です。IPv6の普及が進めばアドレス枯渇の問題は緩和されますが、プライベート的なセグメント分離(ULAやリンクローカル)や内部ネットワーク設計の重要性は引き続き残ります。
参考文献
- RFC 1918 — Address Allocation for Private Internets
- RFC 6598 — Shared Address Space for Carrier-Grade NAT
- RFC 3927 — Dynamic Configuration of IPv4 Link-Local Addresses
- RFC 4193 — Unique Local IPv6 Unicast Addresses
- IANA — IPv4 Special-Purpose Address Registry
- RFC 6890 — Special-Purpose IP Address Registries
投稿者プロフィール
