内部IPアドレス(プライベートIP)とは|IPv4/IPv6の範囲・NAT・設定・運用ベストプラクティス完全ガイド
エバープレイ編集部内部IPアドレスとは — 概要
内部IPアドレス(プライベートIPアドレス)は、組織内や家庭内のローカルネットワークで利用されるIPアドレスで、インターネット上で直接ルーティングされないように予約されたアドレス群を指します。これにより、同じアドレスを複数のネットワークで再利用でき、IPv4アドレス枯渇対策やネットワーク設計の柔軟性が確保されます。内部IPアドレスだけではインターネット上のホストと直接通信できないため、通常はNAT(Network Address Translation)を介して通信します。
代表的な内部IPアドレス範囲(IPv4)
IPv4で“内部”として予約されている主な範囲はRFC1918で定義されています。代表的な範囲は次の通りです:
- 10.0.0.0/8(10.0.0.0 〜 10.255.255.255)
- 172.16.0.0/12(172.16.0.0 〜 172.31.255.255)
- 192.168.0.0/16(192.168.0.0 〜 192.168.255.255)
これらのアドレスはインターネット上でのグローバルルーティングを意図しておらず、ISPや中継ルータは通常これらをパブリックルートとして扱いません。
その他の関連アドレス(IPv4)
- 169.254.0.0/16(APIPA / link-local) — DHCPでアドレスが取得できない場合に自動的に割り当てられるローカルアドレス(RFC3927)。
- 127.0.0.0/8(ループバック) — ホスト自身を指す特殊アドレス(127.0.0.1など)。
- 100.64.0.0/10 — キャリアグレードNAT(CGN)用にIANAが予約(RFC6598)。ISPが複数顧客で共有するために使用する範囲で、一般的なRFC1918とは用途が異なります。
IPv6における“内部”アドレス
IPv6でもローカル用途のアドレスが定義されています。主に次の2種類があります:
- リンクローカルアドレス(fe80::/10):同一リンク(同一LANセグメント)内でのみ有効。ルータ経由で越境しない。
- ユニークローカルアドレス(ULA)(fc00::/7、実運用ではfd00::/8をローカル割当てに使うことが一般的、RFC4193):組織内でのローカル通信向けで、グローバルルーティングを意図しない。
なぜ内部IPアドレスが必要か(歴史と役割)
内部IPアドレスの主な目的は次のとおりです:
- IPv4アドレスの節約:グローバルに一意なアドレスは有限なので、ローカルネットワーク内では再利用可能なプライベート空間を使うことが合理的。
- ネットワークの分離と管理:組織内のアドレス管理を自由に行える。サブネット設計やVLANと組み合わせてセグメント化が容易。
- セキュリティと制御の補助:内部ネットワークのデバイスは直接グローバルに露出しないため、攻撃面の低減に寄与する(ただし“安全”を保証するものではない)。
NAT(Network Address Translation)とその仕組み
内部IPアドレスを使うネットワークがインターネットにアクセスするために一般的に用いるのがNATです。家庭用ルータや企業のゲートウェイがプライベートアドレスをパブリックアドレスに変換(マッピング)して通信を仲介します。主な方式:
- Static NAT:1対1で内部アドレスと外部アドレスを固定で対応させる。
- Dynamic NAT:プールされたパブリックアドレスを動的に割り当てる。
- PAT(Port Address Translation、いわゆるNATオーバーロード):1つまたは複数のパブリックIPを使い、ポート番号を使って多数の内部ホストを同一外部IPで共有する(家庭用ルータで一般的)。
NATはアドレス節約という利点の他に、内部ホストのアドレスを隠すことで一定のトラフィック制御や単純な遮蔽効果を提供しますが、アプリケーションやプロトコル(P2P、VoIP、IPsecなど)で問題を起こすことがあります。
割当方法:DHCP・静的割当・APIPA
内部IPは主に以下の方法で機器に割り当てられます:
- DHCP(Dynamic Host Configuration Protocol):ネットワーク内のDHCPサーバがIPアドレス、サブネットマスク、ゲートウェイ、DNS等を自動配布。一般家庭や企業で最も一般的。
- 静的割当:サーバやネットワーク機器、プリンタ等はIPが固定されることが多く、運用上の都合で手動で設定。
- APIPA(169.254.x.x):DHCPが利用できない場合に自身でリンクローカルアドレスを付与し、簡易的な同一リンク内通信を可能にする機能。
よくある内部IPの例と運用上の注意
- ホームルータのデフォルト範囲:192.168.0.0/24、192.168.1.0/24、10.0.0.0/24などが多い。これらはデフォルトのままだと機器が衝突しやすいため、企業ネットワークでは独自設計が望ましい。
- 大規模ネットワーク:10.0.0.0/8のような広いレンジを使って細かくサブネット分割(CIDR)するのが一般的。
- CGN(ISP側でのNAT):ISPが100.64.0.0/10などを使って多数の顧客を1つのグローバルIPで共有することがあり、ユーザ側からはポート制限や接続問題が発生する場合がある。
セキュリティ上の誤解と注意点
内部IPアドレスを使っているからといって「安全」ではありません。内部ネットワーク内での攻撃、マルウェア、横移動、悪意のある内部ユーザなどのリスクは依然として存在します。ポイント:
- プライベートアドレスはインターネットから直接到達できないが、ポートフォワードやUPnP、VPN、リバースプロキシ等で容易に公開できる。
- 適切なファイアウォール、アクセス制御、ネットワーク分離(VLAN、セグメント化)、IDS/IPSなどで内部脅威に備える必要がある。
- 誤ってプライベートアドレスをインターネット側に広告(BGPリーク等)すると、ルーティング障害やセキュリティ問題につながる。
トラブルシューティング:自分の内部IPを調べるには
代表的なOSでの確認方法:
- Windows: コマンドプロンプトで「ipconfig」
- macOS / Linux: ターミナルで「ifconfig」または「ip addr show」
- スマホ(iOS / Android): 設定 → Wi‑Fi → 接続先の詳細で確認
- 自分のグローバルIPは「what is my IP」などのWebサービスやルータのステータスページで確認
ベストプラクティス(設計・運用)
- ネットワーク設計時に一貫したアドレッシングポリシーを策定し、ドキュメント化する。
- サブネットは用途・部門ごとに分割して、アクセス制御リスト(ACL)やファイアウォールで通信を制限する。
- 静的IPは必要最小限にし、DHCPで管理できる資産は自動化して一元管理する。
- UPnP、不要なポートフォワーディングは無効化。リモートアクセスにはVPNや認証付きプロキシを利用する。
- 将来を見据えIPv6導入を検討する。IPv6は巨大なアドレス空間を持つが、設計とセキュリティの考慮は依然必要。
まとめ
内部IPアドレスは現代のネットワーク設計における基本要素であり、アドレス資源の節約、ネットワーク分離、運用管理の柔軟性を提供します。ただし「内部=安全」ではなく、適切なNAT、ファイアウォール、アクセス制御、アドレス設計、監視が重要です。IPv4のRFC1918アドレスとIPv6のULAやリンクローカルの違い、CGNやAPIPAなど周辺仕様も理解しておくとトラブル対応や設計に役立ちます。
参考文献
- RFC 1918 — Address Allocation for Private Internets
- RFC 4193 — Unique Local IPv6 Unicast Addresses
- RFC 3927 — Dynamic Configuration of IPv4 Link-Local Addresses
- RFC 6598 — Shared Address Space for Carrier-Grade NAT
- IANA — IPv4 Special-Purpose Address Registry
- Wikipedia — Private network
投稿者プロフィール
