内部IP(プライベートIP)とは|IPv4/IPv6の範囲・NAT・設計と確認方法の完全ガイド
エバープレイ編集部内部IPとは — 基本の定義
「内部IP(内部IPアドレス)」とは、インターネット上のグローバルな経路(ルーティング)で利用されない、組織や家庭内のローカルネットワーク(LAN)で使われるIPアドレスのことを指します。一般に「プライベートIPアドレス」や「ローカルIP」とも呼ばれ、外部のインターネットから直接到達できないことを前提に設計されています。内部IPはルータやNAT(Network Address Translation)を介して外部の通信とやり取りします。
代表的な内部IP(IPv4)とその範囲
IPv4で広く使われる内部(プライベート)アドレス空間は RFC 1918 によって定義されています。主な範囲は次の通りです。
- 10.0.0.0/8(10.0.0.0 〜 10.255.255.255) — 大規模ネットワーク向け
- 172.16.0.0/12(172.16.0.0 〜 172.31.255.255) — 中規模ネットワーク向け
- 192.168.0.0/16(192.168.0.0 〜 192.168.255.255) — 家庭用・小規模ネットワークで一般的
これらのアドレスはインターネット上でグローバルにルーティングされないため、同じプライベートアドレスが世界中で何度も使用され得ます。
IPv6の内部IP(ULAなど)
IPv6にも「内部的に使う」アドレスの概念があります。代表的なのは ULA(Unique Local Address)で、RFC 4193 によって規定されています。ULA のプレフィックスは fc00::/7 ですが、実運用では fd00::/8 を使い、ランダムな 40 ビットプレフィックスを付与した後に 16 ビットのサブネット ID を使う形が一般的です(例:fdxx:xxxx:xxxx::/48)。
また、リンクローカルアドレス(fe80::/10)は同一リンク上の通信に使われ、ルーターを越えてルーティングされません。IPv6ではグローバルユニキャストと内部用のULAを明確に区別して設計します。
特殊な「内部的」アドレス
- 169.254.0.0/16(APIPA / link-local IPv4):DHCPでアドレスを取得できなかったときに自動的に割り当てられる範囲(RFC 3927)。ルータを越えないローカル通信に利用されます。
- 127.0.0.0/8:ループバック(localhost)。ホスト自身だけで完結する通信に使われ、ネットワーク上では転送されません。
- 100.64.0.0/10:キャリアのCGN(Carrier-Grade NAT)用に予約された範囲(RFC 6598)。一般的な家庭LANで使うべきではありません。
NAT(Network Address Translation)と内部IPの関係
内部IPはインターネット上で直接使えないため、外部と通信する際は一般に NAT によって変換されます。NAT は複数の内部ホストが単一のグローバルIP(あるいは少数のグローバルIP)を共有して通信できるようにする仕組みです。ルータは内部IP:内部ポート を外部IP:外部ポートにマッピングして通信を仲介します。
NATの影響としては、外部から内部の任意のホストへ直接接続しにくくなる(ポートフォワーディングやUPnP、VPNが必要)、P2Pや一部のプロトコルで問題が起きやすい、といった点が挙げられます。NAT越えの技術(STUN/TURN/ICE等)やIPsec/L2TP/OpenVPN等のトンネルがよく使われます。
内部IPアドレス設計の基本とベストプラクティス
企業や大規模ネットワークでは内部IPの設計(アドレスプラン)が重要です。設計時のポイントは次の通りです。
- 一意性の確保:異なる拠点やVPN接続を想定して、アドレス重複が起きにくい設計にする。家庭でありがちな 192.168.0.0/24 を複数拠点で使うとVPN接続時に衝突する。
- サブネット設計:業務単位やVLAN毎にサブネットを切り、管理しやすくする(例:/24単位など)。将来の拡張も見越す。
- DHCP と静的割当の使い分け:サーバやネットワーク機器は静的に(あるいはDHCP予約で)固定、クライアントはDHCPで自動割当。
- アドレス管理(IPAM):大規模ならIPアドレス管理ツール(IPAM)を導入して、割当の履歴や重複を防ぐ。
- ルーティングと境界管理:内部ネットワークのセグメントごとに必要なACLやファイアウォールルールを定義して分離(ゼロトラスト、マイクロセグメンテーションなど)。
セキュリティ面での考慮事項
内部IPが直接インターネットと接続されないとはいえ、セキュリティの甘さは内部ネットワークのリスクを高めます。注意点を挙げます。
- 不要なポートフォワーディングやUPnPは無効化する。外部から内部へ不用意にアクセスできるようにならないようにする。
- 内部ネットワークでもファイアウォールやIDS/IPSを導入し、内部の脅威やマルウェアの横展開を抑制する。
- VPNやリモートアクセス時は多要素認証、強い暗号化、アクセスコントロールを用いる。
- 内部IPの情報を安易に公開しない(ログの公開や設定の誤りで内部ネットワーク図が漏れるリスク)。
よくあるトラブルと対処法
内部IPに関する典型的な問題とその調査手順を示します。
- IPが取得できない:DHCPサーバの稼働確認、ケーブルやVLAN設定の確認、ipconfig /all(Windows)やip addr(Linux)で状態確認。
- 別拠点とのVPNで通信できない:双方のサブネットが重複していないか確認、ルートとファイアウォールルールをチェック。
- 特定のアプリが動かない(NAT問題):ポートフォワーディングやSTUN/TURNの設定、プロトコル固有のNATトラバーサル手法を検討。
- 名前解決の問題:内部DNSが正しく設定されているか、DHCPでDNSが配布されているか確認。
内部IPを確認する方法(主要OS)
- Windows:コマンドプロンプトで「ipconfig」または「ipconfig /all」
- Linux:ターミナルで「ip addr show」または「ifconfig」
- macOS:ターミナルで「ifconfig」または「ipconfig getifaddr en0(Wi‑Fiなど)」
- モバイル(iOS/Android):設定 → ネットワーク(Wi‑Fiの詳細)でIP情報を確認
内部IPとインターネットの“境界”を理解する
内部IPは設計・管理次第で安全かつ効率的に運用できますが、インターネットとの境界(ルータ、ファイアウォール、NAT)を明確にし、適切なアクセス制御と監視を行うことが不可欠です。特にクラウドやリモートワークの普及に伴い、拠点間VPNやSD‑WAN、クラウド接続時のアドレス計画が重要になっています。
まとめ
内部IP(プライベートIP)は、LAN内部で使われるアドレスであり、RFC 1918(IPv4)やRFC 4193(IPv6 ULA)などで規定されています。NATによりインターネットと接続される一方、設計・管理を怠るとVPNや拠点間接続での衝突、セキュリティリスクが生じます。適切なアドレスプラン、DHCP/IPAMの整備、ファイアウォールと監視の導入が安定運用の鍵です。
参考文献
- RFC 1918 — Address Allocation for Private Internets
- RFC 4193 — Unique Local IPv6 Unicast Addresses
- RFC 3927 — Dynamic Configuration of IPv4 Link‑Local Addresses (APIPA)
- RFC 6598 — Shared Address Space (100.64.0.0/10) for Carrier-Grade NAT
- IANA — IPv4 Special-Purpose Address Registry
- Microsoft Docs — IP Address Management (IPAM) の概要
投稿者プロフィール
