プライベートネットワークアドレスとは|RFC1918・IPv6 ULA・NAT・CGN対応と運用ベストプラクティス
エバープレイ編集部プライベートネットワークアドレスとは — 概要
プライベートネットワークアドレス(以下、プライベートアドレス)は、インターネット上で直接ルーティングされないように設計されたIPアドレス群です。主にLANや企業内ネットワーク、家庭内ネットワークで自由に再利用でき、グローバルなIPアドレス資源の節約やネットワーク設計の柔軟性を目的として導入されました。プライベートアドレス同士は内部ルータやスイッチで通信できますが、そのままではインターネットのパブリックなホストと直接通信できません(通常はNAT等の翻訳が必要)。
IPv4 におけるプライベートアドレス(RFC 1918)
IPv4の代表的なプライベートアドレス範囲はRFC 1918で定義されています。具体的には次の3つです。
- 10.0.0.0/8(10.0.0.0〜10.255.255.255)
- 172.16.0.0/12(172.16.0.0〜172.31.255.255)
- 192.168.0.0/16(192.168.0.0〜192.168.255.255)
これらはインターネット上でルーティングされることを意図しておらず、ISPのインターネットバックボーンやBGPテーブルには原則として流れません(フィルタリングされます)。導入の背景はIPv4アドレス枯渇への対応と、内部ネットワークの自由なアドレス割当てを可能にすることです。
IPv6 の対応(ULA とその他)
IPv6では、RFC 4193で定義された「Unique Local Address(ULA)」がプライベート的役割を果たします。ULAはfc00::/7で表現されますが、実務上はfd00::/8(40ビットのランダムなGlobal IDを含む)を使ってローカルに一意化することが推奨されています。例:fdxx:xxxx:xxxx::/48。
また、IPv6にはリンクローカル(fe80::/10)やループバック(::1/128)といった他のローカル用アドレスも存在しますが、これらはスコープ(リンクローカルは同一リンク内のみ)に制約があります。
プライベートアドレスの利用方法と技術要素
- NAT(Network Address Translation):プライベートアドレスを使う際、外部インターネットと通信するには通常NATが必要です。NATはプライベート→パブリックの変換を行い、アドレス空間の節約を可能にします(PAT/オーバーロード、静的NAT、双方向翻訳など)。
- DHCP:LAN内の端末へ自動的にプライベートアドレスを割り当てる際に用いられます。静的割当(固定IP)と組み合わせて運用されることが多いです。
- ルーティング:プライベートアドレスは内部ルータで自由にルーティングできますが、境界ルータではフィルタをかけてインターネットへ放出しないのが一般的です。
- CIDR とサブネット設計:10.0.0.0/8は大規模ネットワーク向け、192.168.0.0/16は家庭や小規模ネットワークでよく使われます。設計時は利用規模に合わせてサブネットを分割(例:/24)し、アドレス計画を文書化することが重要です。
関連の特殊アドレス・注意すべき範囲
- 169.254.0.0/16 — APIPA(Automatic Private IP Addressing):DHCPでIPを取得できなかったときに自己割当されるリンクローカル範囲(IPv4)。RFC 3927。
- 100.64.0.0/10 — Carrier-Grade NAT(CGN)用の共有アドレス空間:ISPが家庭側でNATを行う際に使うことを意図した範囲で、内部で100.64.0.0/10を使うとISPのCGNと重複する可能性があります(RFC 6598)。
- ループバックやマルチキャスト等の特殊アドレス(127.0.0.0/8、224.0.0.0/4など)はプライベートアドレスとは別の用途なので混同しないこと。
運用上の問題点と落とし穴
プライベートアドレスは便利ですが、いくつかの運用上の問題があります。
- アドレス重複:支社やクラウド、M&Aでネットワークを統合する際、同じプライベートプレフィックスを使っているとルーティング不能になることがあります。VPN接続時の最も一般的な問題です。
- VPNとNATの干渉:VPN越しでアドレスが重複する場合、NATを組み合わせて解決することがあるが、運用が複雑になります。
- CGNによるトラブル:ISP側でCGNを使っていると、グローバルからの接続やポートフォワードが制限される、あるいはログの追跡性が低下する等の影響があります。
- 誤送出(情報漏洩):プライベートアドレスを含むパケットがインターネット上に流れるのは設定ミスを示しており、ネットワーク境界の設定やフィルタリングの見直しが必要です。
セキュリティとプライベートアドレス
プライベートアドレス自体がセキュリティ対策ではありませんが、境界でのNATやファイアウォールと組み合わせることで外部からの直接攻撃を受けにくくできます。ただし内部からの脅威(内部不正やマルウェア)には無力なので、内部ネットワークでもアクセス制御、IDS/IPS、分離(VLAN/セグメンテーション)を行うべきです。
実務上のベストプラクティス
- 明確なIPアドレス設計書を作成・管理し、サブネット割当を記録する。
- 支社やクラウド接続の計画時にアドレスの衝突を避ける(可能ならユニークなプレフィックスを使う)。
- ISPのCGN利用有無を確認し、必要に応じてパブリックIP確保やポート要件の代替設計を行う。
- IPv6導入を検討する:IPv6はアドレス不足の根本解決になる(ただし運用・セキュリティの考慮は別途必要)。
- VPNやリモートアクセスではアドレスのオーバーラップ対策(NAT、IP再配置、ルートポリシー)を事前に設計する。
まとめ
プライベートネットワークアドレスは、ネットワーク設計や運用において基礎かつ重要な要素です。RFC 1918で定義されたIPv4の私的アドレス空間と、IPv6のULAなどが代表例で、NATやDHCP、ルーティングと組み合わせて利用されます。利便性が高い一方で、アドレス重複、CGNの影響、VPN接続時の衝突といった運用上の課題も存在するため、事前の計画とドキュメント化、セキュリティ対策が重要です。
参考文献
- RFC 1918 — Address Allocation for Private Internets
- RFC 4193 — Unique Local IPv6 Unicast Addresses
- RFC 6598 — Address Allocation for Private Internets (Shared Address Space for CGN)
- RFC 3927 — Dynamic Configuration of IPv4 Link-Local Addresses
- IANA — IPv4 Special-Purpose Address Registry
投稿者プロフィール
