プライベートネットワークの定義と仕組み:RFC1918・NAT・LAN入門
RFC1918・NAT・LANの基礎と運用上の注意点を図解でわかりやすく解説、家庭・企業のネットワーク設計とセキュリティ対策がすぐ分かる入門ガイド
インターネット用語では、プライベートネットワークとは通常、RFC1918で定義されたプライベートIPアドレス空間を用いるネットワークを指します。社内LANや家庭内ネットワークなど、インターネットプロトコルを使った内部ネットワーク上の端末は、このアドレス空間からIPを割り当てられて互いに通信します。
RFC1918で定義されたプライベートアドレス範囲
IPv4のRFC1918で予約されているプライベートアドレス範囲は次の3つです。
- 10.0.0.0/8(10.0.0.0–10.255.255.255)
- 172.16.0.0/12(172.16.0.0–172.31.255.255)
- 192.168.0.0/16(192.168.0.0–192.168.255.255)
これらのアドレスはグローバルにはルーティングされないことを前提に設計されており、多くの家庭用ルータやオフィスLANで一般的に使われています。プライベートIPアドレスは、IPv4でのパブリックアドレス不足への対策として導入されました。IPv6が登場した背景の一つはこの制限の解消ですが、完全な置換はまだ進行中です。
NAT(Network Address Translation)とゲートウェイの役割
プライベートネットワークからインターネットへ接続する場合、内部のプライベートアドレスをそのままインターネット上で使うことはできません。そのため、境界に置かれた「仲介ゲートウェイ」(一般にはNAT機能を持つルータやファイアウォール、あるいはプロキシサーバー)がプライベートIPをパブリックなグローバルIPに変換してやり取りを仲介します。
NATの主な方式:
- SNAT(ソースNAT)/静的NAT:内部ホストのソースIPを別のグローバルIPに書き換える。サーバに固定のグローバルIPを割り当てるときに使う。
- PAT(Port Address Translation、オーバーロードNAT):複数の内部ホストを1つのグローバルIPとポート番号の組で多重化する方式。家庭用ルータで一般的。
- DNAT(宛先NAT):外部から来たパケットの宛先IPを内部サーバに書き換える。ポートフォワーディングもこれに含まれる。
NATはステートフルであり、内部から外部へ開始された通信の戻りトラフィックを追跡して正しい内部ホストへ返します。逆に、外部から直接内部の任意ホストへ到達させるにはDNATやポート開放が必要です。
インターネット側でRFC1918アドレスが破棄される理由
インターネット上のルータやISPは、RFC1918範囲のパケットをグローバルルーティングしないようにフィルタリング(いわゆるbogonフィルタ)していることが一般的です。これにより、プライベートアドレスが意図せずインターネットへ露出してしまうことや、アドレス衝突による障害を防ぎます。したがって、プライベートアドレスを含むパケットはゲートウェイでNAT変換され、変換後のグローバルアドレスで外部と通信します。
プライベートネットワーク間の接続と発生しうる問題
異なる組織や拠点のプライベートネットワークを接続(例:VPNや専用線)する場合、同一のプライベートアドレス空間を使っているとアドレス重複やルーティング衝突が発生します。また、両側がNATに依存していると「二重NAT」やNAT越えの問題(特にピアツーピアや一部プロトコル)で通信が困難になることがあります。
代表的な解決策:
- 事前にアドレスプランを調整して重複を避ける(最も確実)。
- トンネル終端で片側または両側でNATを行い、アドレスを翻訳して衝突を回避する。
- VPNオーバーレイでアドレス書き換え(NAT44/NAT64など)やアドレスマッピングを行う。
- 可能ならIPv6(ULA
fc00::/7など)への移行や再ナンバリングを検討する。
運用上の注意とセキュリティ
プライベートネットワークは「外部から直接到達できない」という性質により一定の分離効果を持ちますが、それだけで完全なセキュリティが確保されるわけではありません。内部からの不正アクセス、マルウェアの横展開、誤設定による公開などリスクは常に存在します。以下の点に注意してください。
- 境界にファイアウォールを設置し、適切なアクセス制御(インバウンド/アウトバウンド)を行う。
- DHCPやDNSの設定、静的IP割当てを文書化して管理する。サーバやネットワーク機器は固定IPを使うことが多い。
- アドレス計画を作成し、拠点間接続時の重複を避ける。
- NATが影響するプロトコル(FTPのアクティブモード、SIP、IPsecの一部、P2Pなど)にはALGsや専用の対策を検討する。
- 必要に応じてネットワークをセグメント化(VLANやサブネット分割)し、最小権限の原則を適用する。
その他の関連事項
IPv6ではRFC1918に相当するIPv4のプライベートアドレスとは別に、Unique Local Addresses(ULA、fc00::/7)や、リンクローカルアドレス(fe80::/10)が用意されています。IPv6はアドレス空間が大きく、グローバルな割り当ての制限が緩和される一方で、運用・セキュリティ設計(ファイアウォール、アドレス計画、DNSなど)は依然として重要です。
まとめとベストプラクティス
- プライベートネットワークはRFC1918の範囲を使って内部通信を行うのが一般的で、インターネットとやり取りする際はNATやプロキシを介してグローバルIPが用いられる。
- プライベートアドレスはインターネット上でルーティングされないため、ISP側ではこれらを破棄する設定になっている場合が多い。
- 拠点間接続ではアドレス重複やNAT越え問題に注意し、事前のアドレス調整や適切なNAT/VPN設計を行う。
- セキュリティ対策(境界防御、アクセス制御、ネットワーク分割、運用ドキュメント)を怠らない。
- 可能ならIPv6導入を段階的に進め、将来的な再ナンバリングや互換性対応を計画する。
家庭や小規模オフィスでは、ルータが自動でプライベートIP(例:192.168.x.x)を配布し、NATでインターネットに接続するのが標準的です。企業や大規模環境では、明確なアドレス計画、冗長なゲートウェイ、適切なNATポリシーとファイアウォール設計が重要になります。
インターネット割り当て番号機構(IANA)のプライベートアドレス
Internet Assigned Numbers Authority (IANA)は、グローバルIPアドレスの割り当て、DNSルートゾーンの管理、メディアタイプ、その他のインターネットプロトコルの割り当てを管理する機関です。ICANNによって運営されています。
クラスフルアドレッシングの境界をよく知っている人にとっては、RFC 1918 の 172.16.0.0-172.31.255.255 の範囲は伝統的なクラス B の範囲であるにもかかわらず、予約されているアドレスのブロックは /16 ではなく /12 であることに注意することが重要です。同じことが 192.168.0.0.0-192.168.255.255 の範囲にも当てはまります。しかし、誰かがこれらの CIDR ブロックからアドレスを使用して、従来のクラスフル境界に適したサブネットマスクを適用することができます。
現在のIANAプライベートインターネット(非ルーティング可能とも呼ばれる)アドレスは、以下の通りです。
| 名前 | アイピーアドレスの範囲 | アドレス数 | クラスフル記述 | 最大CIDRブロック | で定義された |
| 24ビットブロック | 10.0.0.0 – 10.255.255.255 | 16,777,216 | 単一のクラスA、256個の連続したクラスB | 10.0.0.0/8 | RFC 1597 (廃止予定)、RFC 1918 |
| 20ビットブロック | 172.16.0.0 – 172.31.255.255 | 1,048,576 | 16個の連続したクラスB | 172.16.0.0/12 | |
| 16ビットブロック | 192.168.0.0 – 192.168.255.255 | 65,536 | 単一のクラスB、256個の連続したクラスCs | 192.168.0.0/16 |
これらのIPアドレスの逆引きによるルートネームサーバの負荷を軽減するために、"ブラックホール"ネームサーバのシステムがanycastネットワークAS112で提供されています。
関連ページ
- インターネットプロトコル群
- 通信プロトコル
質問と回答
Q:プライベートネットワークとは何ですか?
A:プライベートネットワークとは、RFC1918規格に従ったプライベートなIPアドレス空間を使用するコンピュータネットワークのことを指します。一般的には、組織内の内部ネットワークや家庭やオフィスのローカルエリアネットワーク(LAN)などに使用されます。
Q:プライベートIPアドレスが作られた理由は何ですか?
A:プライベートIPアドレスは、IPv4規格で生まれた公的に登録されたIPアドレスが不足したために生まれたものです。IPv6が誕生した理由のひとつは、このIPv4規格の制限を克服するためです。
Q:アイソレーションはプライベートネットワークにどのような安全性をもたらすのか?
A:アイソレーションは、プライベートネットワークに基本的なセキュリティを与えるものです。インターネット上のルーターは、このようなアドレスを含むパケットを破棄するように設定する必要があります。
Q:異なる組織が同じプライベートアドレスの範囲を使用する場合、アドレスの衝突のリスクはどうなるのでしょうか?
A:異なるプライベートネットワーク間をインターネット経由で接続することはできませんので、アドレスの競合(同じIPアドレスで第三者に到達することによる通信事故)を起こすことなく、異なる組織で同じプライベートアドレス範囲を使用することができます。
Q:プライベートネットワーク上の機器が他のネットワークと通信する必要がある場合、どのような機器が必要ですか?
A:プライベートネットワーク上のデバイスが他のネットワークと通信する必要がある場合、インターネットルーターが通信を許可するように、外部デバイスに一般的に到達可能なアドレスを提示するための「仲介ゲートウェイ」(in-between gateway)が必要です。このゲートウェイは、通常、NAT装置またはプロキシサーバーです。
Q:RFC 1918アドレスのパケットを転送するために、公衆インターネットルーターに追加の設定が必要ですか?
A:公衆インターネットルーターは、デフォルトでRFC1918アドレスのパケットを転送しませんので、転送するための追加設定が必要です。しかし、内部ルータは、これらのパケットを転送するために追加の設定を必要としません。これは、同様のIPアドレススキームを使用している2つの別々のネットワークを接続する際に問題を引き起こす可能性があります。
百科事典を検索する