非公開IP(プライベートIP)とは?IPv4/IPv6の範囲・CGN/NATの注意点と実務ベストプラクティス
エバープレイ編集部非公開IPとは――概要
非公開IP(プライベートIP)とは、インターネット上でのグローバルなルーティングを行うためには使われないIPアドレスの範囲を指します。組織内ネットワークや家庭内ネットワークなど、閉域(ローカル)環境で自由に使用できるアドレス空間であり、直接インターネット上で一意に到達可能になることを想定していません。これにより、同じ非公開IPアドレスを世界中の多数のプライベートネットワークで重複して使用できます。
歴史と標準(RFC)
IPv4の代表的な規定はRFC 1918(1996年)で、非公開IPアドレスの範囲を定めています。
IPv6向けにはRFC 4193(2005年)で「Unique Local Address(ULA)」として非公開に相当する範囲が定義されています。
その他、リンクローカルやキャリアグレードNAT(CGN)用の特別用途アドレスなどはRFC 3927、RFC 6598、RFC 6890などで整理・言及されています。
代表的な非公開IP(IPv4)と用途
10.0.0.0/8(10.0.0.0–10.255.255.255): 大規模ネットワーク向けに使われることが多い。
172.16.0.0/12(172.16.0.0–172.31.255.255): 中規模ネットワーク向け。
192.168.0.0/16(192.168.0.0–192.168.255.255): 主に家庭や小規模オフィスで多用される(例: 192.168.0.0/24, 192.168.1.0/24)。
注意すべき「特殊」IPv4ブロック
100.64.0.0/10(100.64.0.0–100.127.255.255): RFC 6598で規定された「Shared Address Space」。ISPがCGN(キャリアグレードNAT)で利用するための空間で、一般利用者がこの範囲を内部で使うとISP側と重複し、通信トラブルの原因になります。
169.254.0.0/16: 自動プライベートIPアドレス(APIPA)として、DHCPでアドレスが取得できなかった場合にOSが自身で割り当てるリンクローカル範囲(RFC 3927)。
127.0.0.0/8: ループバック(localhost)。外部には到達しない。
IPv6における非公開アドレス
Unique Local Address (ULA) — fc00::/7: RFC 4193で定義。実務上は fd00::/8 プレフィックスを用いてローカルでランダムに生成したプレフィックスを使うことが一般的です(fdxx:.../48 など)。GUA(グローバルユニキャストアドレス)とは異なりインターネットでルーティングされない想定です。
リンクローカル — fe80::/10: 同一リンク(同一セグメント)内でのみ有効。自動構成やネイバ探索に使われます。
なぜ「非公開」にするのか?ルーティングとスケーラビリティ
インターネット上でユニークなアドレス空間は有限であり、IPv4アドレスは特に不足してきました。RFC 1918の非公開空間を使うことで、組織ごとに自由にアドレスを再利用でき、グローバルIP数の節約につながります。一方、非公開IPはそのままではインターネット上に存在する他のノードから到達できないため、NAT(Network Address Translation)やプロキシ、あるいはIPv6ではGUAとの組合せ等を用いてインターネット接続を実現します。
NAT(特に家庭用ルータや企業の境界)とその影響
NATの主な役割は、内部のプライベートIPを1つまたは少数のグローバルIPに変換してインターネットアクセスを可能にすることです(PAT/オーバーロードが一般的)。
利点: IPv4アドレスの節約、内部アドレスの隠蔽。
欠点: ピアツーピア接続(P2P)、サーバ公開、ポート制御、トラブルシューティングが複雑化。CGNによる二重NATはさらに問題を増やす(ポート不足、アプリの動作不良、追跡の困難さなど)。
運用・設計上のポイント
アドレス設計: 組織の規模と将来の拡張性を考慮してレンジを選ぶ(大規模なら10/8、中~大は172.16/12、家庭・小規模は192.168/16)。
重複回避: 複数拠点や合併を考慮して、異なる拠点で同じプライベートレンジを安易に使うとVPN接続時にアドレス衝突が起きる。事前にアドレス統一方針を決める。
CGN回避: 自ネットワークや顧客ネットワークで100.64.0.0/10は基本的に使わない。ISPが使用するため干渉を招く。
IPv6方針: 可能であればGUAを各端末に割り当てつつ、内部のプライバシーや閉域通信にはULAを併用する設計も検討する(ただしルーティングとファイアウォール設計に注意)。
トラブルシューティングと確認方法
端末での確認: Windowsなら「ipconfig /all」、Linuxなら「ip addr show」や「ifconfig」で割当アドレスを確認。192.168.x.x や 10.x.x.x などが見えれば非公開IPを使用している。
接続確認: プライベートIPのままではインターネットのホストに直接到達できないため、外部接続はNAT経由になる。外部からの到達性を確認するにはポートフォワーディングやリバースプロキシの設定が必要。
VPN/合併時: アドレス重複があるとルーティングが不整合になる。解決法はアドレス再設計、NATオーバレイ、サブネットの再割当など。
セキュリティとプライバシーの誤解
「非公開IP = 安全」と思われがちですが、これは誤解です。非公開IPは単にグローバルルーティングされないというだけであり、内部から外部へのアクセスや内部ネットワーク内の攻撃から守るものではありません。内部に侵入を許せば非公開IPの端末は容易に攻撃対象となり得ます。ファイアウォール、IDS/IPS、適切なアクセス制御、認証・暗号化が必要です。
運用上よくある問題(実例と対処)
家庭ルータのデフォルト重複: 多くの家庭用ルータは192.168.0.0/24や192.168.1.0/24を使用。企業VPNと接続するときに家庭側アドレスが衝突する場合は、ルータのLAN側サブネットを変更するか、VPNでポリシーベースのルーティングを使う。
CGNによる公開サービスの難化: モバイル回線や一部ISPではユーザにグローバルIPを割り当てずCGNを使うため、外部からサーバへ直接アクセスできない。商用サービスを提供する場合は固定グローバルIPやクラウドを使う等の対処が必要。
ログと追跡: 非公開IPしか記録されていないログは、ユーザの識別やトラブル時の追跡に限界がある。プロバイダ側のNATログやセッション情報など別のログソースが必要になる。
IPv6移行と非公開IPの未来
IPv6はアドレス空間が広大であるため、理論上は各ホストにグローバルアドレスを割り当ててNATを不要にできます。とはいえ、プライバシーやアドレス設計上の理由から、ULAやファイアウォールを用いた閉域設計は引き続き使われます。IPv4資源が不足する状況下では、非公開IPとNATは当面の間重要な役割を担い続けますが、サービス運用者はIPv6対応を進めるべきです。
実務的なベストプラクティスまとめ
アドレス計画を文書化し、拠点間での重複を避ける。
100.64.0.0/10は一般内部で使わない(ISP用)。
大規模配下は10/8、細分化はVLANや/24単位で計画する。
VPN導入時はアドレスの衝突対策(再割当、NAPT、ポリシールーティング等)を検討する。
セキュリティはIPの公開性に依存させず、適切な境界防御と認証を実装する。
IPv6移行計画を早めに立て、GUA+ULAの設計やファイアウォール方針を決める。
まとめ
非公開IPは内部ネットワーク運用の基本であり、アドレス枯渇問題の緩和や設計自由度の確保に貢献します。しかし、非公開IPの導入は単なるアドレス選択に留まらず、NATやルーティング、セキュリティ、運用手順に影響を及ぼします。特にCGNやVPN、企業合併時のアドレス重複など実務的な問題に備え、計画とドキュメント化、そしてIPv6への段階的対応が重要です。
参考文献
- RFC 1918 - Address Allocation for Private Internets
- RFC 4193 - Unique Local IPv6 Unicast Addresses
- RFC 3927 - Dynamic Configuration of IPv4 Link-Local Addresses
- RFC 6598 - Address Allocation for Private Internets (Shared Address Space for CGN)
- IANA - IPv4 Address Space Registry
- IANA - IPv6 Address Space Registry
- IANA - Special-Purpose IPv4 Address Registry
- RFC 6890 - Special-Purpose IP Address Registries
- Microsoft Docs - What are private IP addresses?
投稿者プロフィール
