サブネットとは?サブネット計算、VPN、ネットワークセキュリティを網羅的に解説
サブネットとは、ネットワークをより小さな単位に分割する、ネットワーク設計の基本となる概念です。これにより、デバイスやサービス同士が効率的かつ安全に通信できるよう、ネットワークを整理できます。
本ガイドでは、サブネットとは何かという基礎から、サブネット計算の仕組み、VPNとの関係、そしてネットワーク全体のセキュリティに与える影響までを解説します。
ネットワークにおけるサブネットの理解
サブネットは、ネットワークの整理・運用・保護を行ううえで欠かせない仕組みです。ここでは、サブネットの基本的な考え方、仕組み、そして主なメリットを確認していきます。
サブネットとは?定義と基本概念
サブネット(subnetworkの略)とは、ネットワークを構成する論理的に区切られた小さな単位です。ここでいう「論理的」とは、機器を物理的に分けるのではなく、ネットワークのインターネット・プロトコルアドレス(Internet Protocol (IP) address)の範囲を分割して作成することを指します。
各サブネットは独立したミニネットワークとして機能し、ルーターやサブネットマスク(subnet masks)を用いて、他のサブネットやシステム、オンラインサービスとの通信を制御します。
ネットワークを分割する仕組みとしてのサブネット
ネットワークでは、IPアドレスを使って通信やデータ共有が行われます。各ネットワークには固有のIPアドレス範囲があり、接続されるデバイスには識別用のIPアドレスが1つずつ割り当てられます。サブネットとは、このIPアドレス範囲を分割し、より小さな単位に区切ったものです。
サブネットマスクは、IPアドレスのうち、どの部分がサブネットを示し、どの部分が個々のデバイス(ホスト)を示すのかを定義します。ルーターはこのサブネットマスクを用いて、通信がサブネット内に向かうべきか、それとも外部に送るべきかを判断します。
安全なネットワーク設計においてサブネット化が重要な理由
サブネット化により、ネットワークを小さく管理しやすい単位に分割でき、整理と保護が容易になります。機密データを扱う領域を切り分け、認可されたユーザーのみがアクセスできるようにすることで、セキュリティを強化できます。また、1台のデバイスやシステムが侵害された場合でも、その影響を最小限に抑えられます。
さらにサブネット化は、セキュリティだけでなく全体的なパフォーマンス向上やトラブルシューティングの効率化にも寄与します。小さな区分ごとに監視・管理できるため、ITチームは問題を素早く発見し、迅速に対応できるようになります。
IPアドレスとサブネットマスクの仕組み
サブネットとは何かを理解するためには、IPアドレスとサブネットマスクがどのように連動しているのかを知ることが重要です。これらは、デバイスのネットワーク上の位置や、サブネット間でデータがどのようにやり取りされるかを決定します。
IPアドレスの構造
IPアドレスは、ネットワークIDとホストIDの2つの要素から成り立っています。どこで区切られるかはサブネットマスクによって決まり、この仕組みによって、ネットワーク内でデバイスを論理的に分類しながらも、それぞれを一意に識別できます。
IPアドレスにはIPv4とIPv6(IPv4 and IPv6)の2種類があります。IPv4は、192.168.4.28のようにドットで区切られた4つの数値で表されます。一方、IPv6は、2001:0db8:85a3:0000:0000:8a2e:0370:7334のように、コロンで区切られた16進数4桁の8つのブロックで構成されています。
サブネットマスクとは?
IPv4におけるサブネットマスクは、IPアドレスの中でネットワーク部分とデバイス(ホスト)部分を区別するための32ビットの数値です。ルーターはこのサブネットマスクを使って、通信先が同一サブネット内か、それとも別のサブネットに送る必要があるかを判断します。255.255.255.0、255.255.0.0、255.255.255.192などが代表例で、それぞれ異なる規模のネットワークを表します。
仕組みをより深く理解したい場合は、サブネットマスクの完全ガイド(full guide to subnet masks)を参照してください。
ネットワークIDとホストIDの違い
これらの用語は次のように区別されます。
- ネットワークID:IPアドレスが属するネットワークの範囲を示します。
- ホストID:そのネットワーク内にある個々のデバイスを示します。
例えば、IPアドレスが192.168.4.28、サブネットマスクが255.255.255.0の場合、サブネットマスクによってIPアドレスのどこまでがネットワーク部分で、どこからがホスト部分かが決まります。このケースでは、192.168.4.0がネットワークID、.28がホストIDです。
サイバーセキュリティにおけるサブネット化の役割
サブネット化は、ネットワークの防御力を高め、攻撃され得る経路を限定するため、サイバーセキュリティ(cybersecurity)において重要な役割を担います。重要なデータやデバイスを分離し、許可されたユーザーのみがアクセスできる環境を整えることにもつながります。ただし、その効果を十分に発揮するには、適切なセキュリティポリシー、厳密なアクセス管理、継続的な監視が不可欠です。
攻撃対象領域を減らすサブネットの役割
攻撃対象領域とは、サイバー攻撃者が侵入や悪用に利用できるすべての入口や弱点のことです。サブネットとは、ネットワークを分割することで、この攻撃対象領域を縮小する仕組みです。仮に1つのサブネットが侵害されても、攻撃者がすべての接続システムへ即座に到達することはできません。
その結果、サブネット化は攻撃者の横方向の移動を抑え、ネットワーク内部への侵入拡大を防ぎます。例えば、ネットワークセキュリティキー(network security key)を使って不正アクセスされた場合でも、厳格なアクセス制御やセキュリティポリシーを適用するルーターやファイアウォールを通過しなければ、サブネット間を自由に移動することは困難です。
また、サブネット化により、セキュリティツールは特定のネットワーク区分に集中できるため、脅威の監視精度が向上し、不審な挙動の検知や対応がしやすくなります。
機密デバイスと内部通信の分離
企業や組織は、人事情報や財務データなどの機密情報を扱うサーバーを専用サブネットに配置することで、アクセスを制限できます。さらに、サブネット間の通信をフィルタリング・記録することで、一般データ保護規則(the General Data Protection Regulation (GDPR))などのプライバシー規制への対応やデータ保護を強化できます。
加えて、ゲスト用の通信を別サブネットに分離することで、管理されていないデバイスが社内の主要ネットワークにアクセスするのを防げます。
サブネットによるネットワークアクセス制御
ネットワーク管理者は、部門ごとにサブネットを割り当て、例えば給与担当者のみが従業員の財務情報にアクセスできるように設定できます。サブネット単位でユーザーやデバイスを管理することで、権限管理や監視が容易になります。さらに、ITセキュリティチームは、承認されたサブネットのIPアドレス範囲からのみ重要システムへのアクセスを許可することで、セキュリティをより強固にできます。
不適切な設定のサブネットに潜む主なセキュリティリスク
強固なセキュリティポリシーや適切なネットワーク設計が欠けていると、サブネットは保護策ではなく、かえってデータを危険にさらす要因になります。以下は、よくある設定ミスとそれに伴うリスクです。
- フラットなネットワーク設計:細分化されていない大規模なサブネットは攻撃対象領域を広げ、不正アクセスが発生した際に攻撃者の横移動を許してしまいます。
- サブネットの重複(Subnet overlap):同一のIPアドレス範囲を複数のサブネットで使用すると、ルーティングの問題が生じ、内部通信が露出して機密情報が漏えいする恐れがあります。
- ログ管理の不足:サブネット間の通信を適切に監視していないと、不審な挙動やサブネットをまたぐ攻撃を検知しにくくなります。
- 分離の不徹底:ゲストネットワークやモノのインターネット(Internet of Things (IoT))ネットワークは、重要なシステムやデータを扱うサブネットから完全に切り離す必要があります。分離が不十分だと、接続デバイスが侵入口として悪用され、社内ネットワーク全体に被害が及ぶ可能性があります。
VPNとサブネットの関係
仮想プライベートネットワーク(Virtual private networks)(VPN)は、セキュリティ強化やリモート接続のために、サブネット化されたネットワークで広く利用されています。ただし、ネットワーク設定が適切でない場合、VPNとサブネット間で競合が生じることがあります。本セクションでは業務用VPNを対象としています。一般的な商用VPNは、大規模で独立したIPアドレスプールを使用して競合を回避する設計のため、通常はサブネット構成に影響を与えません。
サブネット化されたネットワークでVPNを使うとどうなるか
VPNに接続すると、VPNは自身のサブネット(リモートネットワーク)から仮想IPアドレスをデバイスに割り当てます。このIPアドレスによって、デバイスはVPN上で識別され、VPNに接続された他のシステムと通信できるようになります。一方、ローカルIPアドレスは引き続き存在しますが、ローカルサブネット内の通信にのみ使用されます。この仕組みにより、第三者が実際のIPアドレスを追跡する(tracing your real IP address)ことや、ネットワーク活動を監視することを防ぎやすくなります。
VPNは、サブネットとVPNサーバー間で送受信されるすべてのデータを暗号化します(encrypts all data)。そのため、通信内容を盗み見たり傍受したりすることは極めて困難です。VPNで暗号化された通信は、サブネット内部の通信や外部の公開トラフィックとは論理的に分離され、データの安全性とプライバシーが守られます。
VPNにおけるスプリットトンネリングとサブネットルーティング
スプリットトンネリング(Split tunneling)は、VPNトンネルを通す通信と、ローカル接続を使う通信を使い分けられる機能です。ネットワーク管理者は、通信速度や帯域の最適化、機密性の高いサブネットの分離などを目的に、この機能を設定します。例えば、業務に関する通信はすべてVPN経由にし、通常のウェブ閲覧はローカル回線を使う、といった運用が可能です。
VPNのサブネット競合と回避方法
VPNのサブネット競合は、複数のネットワークで同じIPアドレス範囲が使われている場合に発生します。例えば、VPNのサブネットが人事部門などのローカルサブネットと重複している場合や、異なるVPN同士が同一のIP範囲を使用しているケースです。
競合を防ぐ最も確実な方法は、各サブネットに重複しないIPアドレス範囲を割り当てることです。それが難しい場合は、ネットワークアドレス変換(Network Address Translation (NAT))を利用して、重複するサブネット間でも通信できるようにします。ただし、NATだけでは不十分なことも多く、追加のルーティング設定やポートフォワーディングを行い、通信が正しく目的のデバイスに届くよう調整する必要があります。
サブネットの作成と管理
サブネットを作成するには、まずCIDR(Classless Inter-Domain Routing)表記を使って、IPアドレスがどのように割り当て・管理されているかを理解することが重要です。手動でサブネットを作成することも可能ですが、実務では多くの場合、計算や設定、監視を効率化するための専用ツールが利用されます。
CIDR表記とアドレスブロック
CIDRは、IPアドレスの割り当てと管理における現在の標準方式です。1993年に導入され、従来の IPクラスフルアドレッシング方式(IP classful addressing system)(A〜Eクラス)に代わるものとなりました。CIDRはIPv4とIPv6の両方で使用されており、IPv6ではより大きなアドレスブロックが扱われます。
CIDRの大きな利点は、固定されたクラスに縛られず、柔軟なサイズのIPアドレスブロックを割り当てられる点です。これにより、アドレス空間の無駄を減らせます。CIDRでは、/24や/25、/26といったプレフィックス長を使い、アドレスのうち何ビットがネットワーク部分を示すのかを表します。
また、CIDR表記はサブネットマスク(subnet masks)と対応しており、各アドレスブロックで利用可能なアドレス数が分かります。例えば、/23は512個のアドレスを持ち、サブネットマスクは255.255.254.0です。一方、/24は256個のアドレスを持ち、サブネットマスクは255.255.255.0となります。インターネットレジストリなどのIPアドレス管理機関は、特定のネットワークに割り当てられたアドレスブロックを示すCIDRリストを公開しています。
サブネット計算の手順
サブネット計算は、正確さと効率の面から専用ツールを使って行われるのが一般的です。ただし、計算の仕組みを理解しておくと、IPアドレスがどのように分割されているのかを把握できます。以下は基本的な流れです。
- 基準となるネットワークアドレスとサブネットマスクを確認します。ここでは192.168.3.0/24を例にします。
- 部門、デバイス数、拠点などを考慮し、必要なサブネット数を決めます。
- ホストIDからビットを借りてサブネットを分割します。1ビット借りるごとにサブネット数は2倍になり、利用できるホスト数は半分になります。/24では256アドレスありますが、1ビット借りると、128アドレスずつの2つの/25サブネットになります。
- 新しいサブネットマスクを決定します。/25の場合は255.255.255.128です。
- 使用できないネットワークアドレスとブロードキャストアドレスを確認します。ネットワークアドレスは範囲の先頭、ブロードキャストアドレスは末尾になります。例えば、最初のサブネットでは192.168.3.0と192.168.3.127です。
- デバイスに割り当て可能なIPアドレスの範囲を把握します。この例では、192.168.3.1~192.168.3.126が利用可能です。
- サブネット同士でIPアドレス範囲が重複しないことを確認します。
- 部門別や拠点別など、運用しやすい形でサブネットを割り当てます。
サブネット管理に役立つツールとスクリプト
- サブネット計算ツール:ネットワーク、ブロードキャスト、ホスト範囲を自動計算するオンラインツール。
- 例:IP Subnet Calculator、Calculator.net。
- IPアドレス管理サービス:サブネットの構成を可視化し、接続トラブルの解決を支援するプラットフォーム。
- 例:phpIPAM、SolarWinds。
- コマンドラインツール:コマンドラインからネットワーク情報の確認や診断を行うユーティリティ。
- 例:ipconfig、netstat、traceroute。
- スクリプトツール:サブネット管理や検証を自動化するためのスクリプトやライブラリ。
- 例:Python、PowerShell。
- 監視プラットフォーム:サブネットの使用状況を監視し、競合を検出し、ネットワーク全体の状態を把握するツール。
- 例:Nagios、Paessler PRTG。
IPv4とIPv6におけるサブネット
IPv4とIPv6はいずれも、ネットワークトラフィックを整理・制御するためにサブネットを利用しますが、その仕組みには違いがあります。アドレス形式が異なる点に加え、IPv6は柔軟性と拡張性に優れている一方、IPv4はアドレス数が限られているという制約があります。
IPv4サブネットの基本
IPv4のサブネット化は、CIDRとサブネットマスクを用い、アドレス不足(address scarcity)を解消・管理することを主な目的としています。IPv4は32ビット構造のため、利用できるアドレスは約43億個に限られています。この制約から、サブネット化やNATが広く使われ、IPアドレスの効率的な運用が行われてきました。現在もIPv4は広く利用されていますが、世界的にはIPv6への移行が進行中です。
IPv6のサブネットとプレフィックス長
IPv6は128ビット構造を採用し、ほぼ無限とも言えるアドレス空間(約340澗)を提供します。IPv6におけるサブネット化は、アドレス節約ではなく、論理的で階層的なネットワーク設計を実現することを目的としています。
IPv6もIPv4と同様にCIDRを使用しますが、サブネットマスクの代わりにプレフィックス長を用います。多くの場合、/64が標準であり、1つの/64サブネットには1800京以上のアドレスが含まれます。これにより、すべてのデバイスにグローバルで一意なIPアドレスを割り当てることができ、NATは不要になります。
IPv6サブネットがもたらすセキュリティと効率性の向上
IPv6のサブネット化には、次のような利点があります。
- 高い分離性:膨大なアドレス空間によりIPアドレスの推測が事実上不可能となり、攻撃対象領域をさらに縮小できます。
- ネイティブIPsec対応:IPsecプロトコル(IPsec protocol)を標準でサポートしており、サブネット間の暗号化通信を容易に構築できます。
- ブロードキャスト削減:ブロードキャスト通信をマルチキャストに置き換え、不要なトラフィックを抑制します。
- トラフィック管理の強化:プレフィックス単位でアクセス制御やルーティング、ファイアウォール設定を適用しやすくなります。
- 優れた拡張性:企業やISPにおいて整理された階層型サブネット設計を可能にし、将来のネットワーク拡張を容易にします。
よくある問題とベストプラクティス
設計が不適切なサブネットは、通信速度の低下や接続エラー、さらにはセキュリティリスクを招く可能性があります。ここでは、よく発生する問題と、安全なサブネットを構築・運用するためのベストプラクティスを解説します。
誤設定によるサブネットとIP競合
代表的なサブネットおよびIPアドレスの問題は次のとおりです。
- サブネットの重複:複数のサブネットで同じIPアドレス範囲を使用すると、ルーティングが混乱し、通信できないホストが発生します。例えば、2つの拠点が192.168.3.0/24を使っている場合、ルーターは正しく振り分けられません。
- IPアドレスの重複:人為的ミスやDHCPの設定不備により、同一IPが複数デバイスに割り当てられ、接続不良や断続的な通信障害が起こることがあります。
- サブネットマスクの不一致:デバイスのサブネットマスクがネットワーク全体と一致していないと、通信エラーやIP設定の失敗(IP configuration failures)を引き起こします。
安全なサブネット設計のベストプラクティス
サブネットを安全に運用するためのポイントは次のとおりです。
- IPアドレス設計を事前に計画する:明確で階層的な構成を設計し、拠点やVPN間でアドレス範囲を使い回さないようにします。
- アクセス制御を徹底する:ルーターやファイアウォールを活用し、許可されたサブネットのみが重要なシステムやリソースに到達できるようにします。
- VLANとサブネットを併用する:物理ネットワークを複数のVLANに分割し、それぞれに専用サブネットを割り当てることで、トラフィック分離を強化します。
- サブネットの利用状況を監視する:IP管理やネットワーク監視ツールを用い、不正デバイスや不審なルーティング挙動などの兆候を早期に検知します。
FAQ:サブネットに関するよくある質問
/24にはいくつのサブネットがありますか?
/24ネットワーク(/24 network)には256個のIPアドレスがあります。そのままでは1つのサブネットとなり、利用可能なホスト数は254です(先頭と末尾のアドレスはネットワーク用とブロードキャスト用に予約されています)。さらに分割すると、/30を使って最大64個のサブネットを作成でき、各サブネットには4つのIPアドレスが含まれます。このうち、実際にデバイスに割り当てられるのは2つだけです。
サブネット化はどのようにネットワークセキュリティを高めますか?
サブネット化はネットワークセキュリティを強化します(Subnetting can strengthen network security)。ネットワークを小さな区分に分け、重要なデータやデバイスを分離できるため、万が一侵入されても被害の拡大を抑えられます。また、人事情報などの機密データに対して、特定の部署だけがアクセスできるよう制御することも可能です。
VPNはサブネットをどのように使いますか?
VPNは、暗号化された通信を管理・ルーティングするためにサブネットを利用します。VPNに接続すると(When you connect to a VPN)、ローカルネットワークとは別のVPN専用サブネットから仮想IPアドレスが割り当てられます。このIPアドレスによって、VPNサーバーはプライベートネットワーク内でデバイスを識別し、安全に通信を中継できます。
サブネット、VPN、VLANの違いは何ですか?
サブネットはIPネットワークを論理的に分割する仕組みです(subnet is a logical division of an IP network)。VPNは、IPアドレスを変更し通信を暗号化することで、オンライン活動を保護するサービスです。VLANは、同じLANやスイッチ上のデバイスを論理的に分離し、ネットワークの整理やセキュリティを高める仕組みです。
サブネットはサイバー攻撃対策になりますか?
はい。攻撃対象領域を減らす(they reduce the attack surface)ことで効果を発揮します。ネットワークを分割することで、攻撃者が侵入後に自由に移動するのを防ぎやすくなります。また、脅威の検知や封じ込めが迅速になり、機密データへのアクセス制御も徹底できます。
サブネット化とスーパーネット化の違いは何ですか?
サブネット化(subnetting)は1つの大きなネットワークを小さく分割するのに対し、スーパーネット化は複数の小さなネットワークを1つにまとめます。スーパーネット化はIPアドレスを効率的に使えるため、特にIPv4で重要です。また、ルーティング情報を集約することで、ネットワーク運用の効率化にもつながります。
ネット上で身を守るための第一歩を踏み出しましょう。リスクなしでExpressVPNをお試しください。
ExpressVPN を入手
