IPv6完全ガイド:基礎から移行・導入・運用・セキュリティ対策まで
エバープレイ編集部IPv6とは──背景と基本概念
IPv6(Internet Protocol version 6)は、インターネット層で使われるプロトコルの第6版で、従来のIPv4の後継として設計されました。主な目的は、IPv4のアドレス枯渇問題を解消することですが、単なるアドレス増強にとどまらず、設計の近代化(拡張ヘッダによる柔軟性、自己構成、改良されたルーティングやマルチキャスト取り扱いなど)も含まれます。IPv6の標準仕様は主にRFC8200(IPv6ヘッダ)やRFC4291(アドレッシング)などで定義されています。
なぜIPv6が必要だったのか
IPv4は32ビットアドレスであり、理論上約43億個のアドレスを扱えます。インターネットの急速な普及、スマートフォン・IoT機器の増加、各種クラウドサービスの拡大によりIPv4アドレスは枯渇し、NAT(Network Address Translation)の多用やIPv4アドレスの買い取り/貸し借りといった運用的な手当てが常態化しました。これらは端末間のエンドツーエンド通信や一部アプリケーションに制約を与えます。IPv6は128ビットアドレスを採用し、ほぼ事実上無尽蔵のアドレス空間を提供してこれらの問題を根本的に解消します。
IPv6アドレスの基本と表記
長さ:128ビット(16バイト)。
表記方法:16ビットごとにコロンで区切った16進表記(例:2001:0db8:85a3:0000:0000:8a2e:0370:7334)。先行するゼロは省略でき、連続するゼロ列は“::”で一度だけ縮約可能(例:2001:db8:85a3::8a2e:370:7334)。
代表的なアドレスタイプ:
- グローバルユニキャスト(GUA、通常の公開IPv6アドレス)
- リンクローカル(fe80::/10、同一リンク内でのみ有効、NDPで使用)
- ユニークローカル(ULA、fc00::/7、組織内のプライベート用途、通常fd00::/8を使用)
- ループバック(::1)
- マルチキャスト(ff00::/8)
- IPv4マッピング(IPv4との互換性で用いられる::ffff:0:0/96など、互換方式は限定的)
サブネット長の慣習:LANセグメントには/64が事実上の標準(SLAACの仕様上/64が要件)。
IPv6のヘッダとプロトコル設計のポイント
IPv6の固定ヘッダ長は40バイトで、IPv4とは異なりヘッダチェックサムを持ちません(これにより処理効率が向上)。主要フィールドはバージョン、トラフィッククラス、フローラベル、ペイロード長、ネクストヘッダ、ホップリミット、送信元・宛先アドレスです。上位層やオプションは拡張ヘッダ(Extension Headers)で付加します。拡張ヘッダは柔軟性を与える一方、実装・中継機器の扱いに注意が必要です(中間ノードでの過度な処理負荷やパケット破棄の原因になり得る)。
自己構成とアドレス取得方式
SLAAC(Stateless Address Autoconfiguration、RFC4862):ルータのRouter Advertisement(RA)を受けてホストが自律的にIPv6アドレスを生成・設定する方式。アドレス生成にはEUI-64(MACベース)やランダムな識別子が使われますが、プライバシー拡張(RFC4941)により追跡回避のために一時アドレスを使うことが一般化しています。
DHCPv6(Stateful):IPv4のDHCPに相当するサーバで詳細なアドレス配布やオプション配布を行う方式(RFC3315)。
両者の併用も可能。ルータのRAでSLAACを許可するかどうか、DHCPv6を必要とするかは設計上の判断になります。
ARPの代替:Neighbor Discovery(NDP)とセキュリティ上の注意点
IPv6ではARPの代わりにNDP(RFC4861)を使用します。NDPはアドレス解決、隣接ノード到達性確認、ルータ発見(RA/RS)、重複アドレス検出(DAD)などを行います。NDPはICMPv6メッセージを用いますが、NDPを悪用した攻撃(なりすまし、偽RA送信など)を防ぐためにRA-Guard、NDプロテクション、SEND(Secure Neighbor Discovery:公的鍵ベース)などの対策が推奨されます。
NATは不要か?エンドツーエンド性と運用の変化
IPv6の大量のアドレス空間により、一般的な用途ではNATを用いる必要がなくなります。これによりエンドツーエンド接続やピアツーピア通信、サービスの直接公開が容易になります。ただし、組織ポリシーやセキュリティ要件からアドレスの隠蔽を好むケースや、実運用上の理由でNAT66(IPv6同士のNAT)やファイアウォールで状態管理を行うことはあります。つまり「NATが不要=すべての環境でNATを廃止するべき」という短絡的な結論にはなりません。
移行・共存メカニズム(IPv4→IPv6)
デュアルスタック:ホストやネットワーク機器がIPv4とIPv6の両方を扱う方式で、現在もっとも一般的。
トンネリング:IPv6パケットをIPv4ネットワークで運ぶ方式。6to4、ISATAP、Teredoなどがありましたが、6to4/Teredoは運用上の問題から非推奨・減少傾向です。
プロキシ/変換:NAT64/DNS64のように、IPv6クライアントがIPv4専用のサーバと通信するためにアドレス変換やDNS合成を行う方式。IPv6優先環境でIPv4リソースにアクセスさせる際に使われます。
実際の導入状況と課題
IPv6の導入は年々進んでいますが、地域・事業者・サービスによって採用率は大きく異なります。多くの大手ISP、モバイルキャリア、クラウド事業者はIPv6対応を進めており、OSや主要アプリケーションもIPv6をサポートしています。一方で、運用者側の知識不足、既存設備の非対応、セキュリティポリシーや監視ツールの未整備、サードパーティ機器の互換性などが導入の障害となることがあります。
IPv6で知っておくべき運用上のポイント(ベストプラクティス)
アドレス設計:RFCに従い、組織単位でのプレフィックス割当、サブネット設計(/64の扱い)を事前に計画する。
セキュリティ:NDP関連の保護(RA-Guard等)、ファイアウォールのIPv6ルール整備、IPsecや運用ポリシーの見直し。
監視とログ:IPv6対応の監視ツール、ログ方式、逆引き(ip6.arpa.)の整理。
プライバシー:SLAACでの恒久的EUI-64アドレスは追跡されやすいため、クライアント端末ではプライバシー拡張を有効にする。
互換性テスト:アプリケーションやミドルボックス(ファイアウォール、IDS/IPS等)のIPv6動作確認。
よくある誤解
「IPv6はIPv4より必ず安全」:IPv6は設計上の改善点があるものの、IPsecが必須ではなく、運用や設定ミス、新たな攻撃ベクトル(NDPの悪用など)により脆弱になる可能性があります。適切な対策が重要です。
「IPv6にすればNATが完全になくなる」:設計上はNAT不要だが、運用上の理由でアドレス隠蔽やポリシー目的でNAT相当を使うケースは存在します。
「IPv6は単純にアドレスが増えただけ」:拡張ヘッダ、SLAAC、NDP、マルチキャスト中心設計など、ネットワーク設計・運用への影響が広範です。
まとめ
IPv6はアドレス枯渇問題を解決するために生まれた次世代IPであり、大規模なアドレス空間と新たな機能群(SLAAC、NDP、拡張ヘッダ、多様なアドレスタイプなど)を提供します。導入は進んでいるものの、運用やセキュリティ、既存システムとの互換性といった課題も残ります。現実的な移行戦略はデュアルスタックを軸に、段階的にIPv6ネイティブへ移行することが一般的です。ネットワーク設計者・運用者はIPv6特有の設計原則やセキュリティ対策を理解し、計画的に導入・検証を進めることが重要です。
参考文献
- RFC 8200 - Internet Protocol, Version 6 (IPv6) Specification
- RFC 4291 - IP Version 6 Addressing Architecture
- RFC 4861 - Neighbor Discovery for IP version 6 (NDP)
- RFC 4862 - IPv6 Stateless Address Autoconfiguration (SLAAC)
- RFC 4193 - Unique Local IPv6 Unicast Addresses (ULA)
- RFC 4941 - Privacy Extensions for Stateless Address Autoconfiguration in IPv6
- Google - IPv6 Statistics
- IANA - IPv6 Address Space
投稿者プロフィール
