サブネットやサブネットマスク、CIDR表記……どれも聞いたことはあるのに、「結局どういう意味で、どう設計すればいいのか」がモヤモヤしていませんか。
なんとなく設定して動いてはいるものの、IP枯渇や通信トラブルが起きるたびに「これ、サブネットの切り方が悪いのでは?」と不安になる方も多いはずです。
本記事では、サブネットの基礎から計算方法、設計・セキュリティ活用までを、現場目線でわかりやすく整理して解説します。
この記事は以下のような人におすすめ!
- サブネットとは何か知りたい人
- サブネットやサブネットマスクの違いがよくわからない
- どのサブネットサイズ(/24・/25・/26など)を選べばよいかが分からず、サブネット設計について知りたい
目次
サブネットとは何か
「サブネット」と聞くと、難しい専門用語に感じるかもしれません。しかし、サブネットの考え方はとてもシンプルで、「1つの大きなネットワークを、意味のある小さなグループに分ける仕組み」のことだと理解すると、ぐっとイメージしやすくなります。
たとえば、1つの会社に社員が100人いて、全員が同じネットワークにつながっている状態を想像してください。そのネットワークを「営業用」「開発用」「管理部門用」といったグループに分けるのが、まさにサブネットです。
つまりサブネットとは、IPアドレスの世界で「部屋分け」「ゾーン分け」をするための仕組みだと言えます。
この記事のこの章では、次の3つのポイントを押さえていきます。
- サブネットの定義と仕組み
- なぜサブネット化が必要なのか(背景・メリット)
- サブネットとサブネットマスクの違い
順番に、できるだけ専門用語をかみ砕きながら解説していきます。
1-1. サブネットの定義と仕組み
まずは「サブネットとは何か」をきちんと言葉で定義しておきましょう。
1-1-1. サブネットの定義
サブネットとは、
1つのIPネットワークを、論理的に分割した小さなネットワークの単位
のことです。
もう少しやさしく言い換えると、
- もともと1つだったネットワークを
- ルールに従っていくつかのグループに分割し
- それぞれを独立したネットワークとして扱えるようにしたもの
これがサブネットです。
1-1-2. 住所の例えでイメージするサブネット
サブネットをイメージしやすくするために、「住所」に例えてみましょう。
- 都道府県
- 市区町村
- 番地
- 建物番号・部屋番号
といったように、現実の住所も「大きい単位 → 小さい単位」へ分かれています。
同じように、IPアドレスも次のようなイメージで構成されています。
| 要素 | 例え | 役割 |
|---|---|---|
| ネットワーク部 | 市区町村レベル | どのネットワークかを示す |
| サブネット部 | 町名・丁目レベル | その中のどのグループかを示す |
| ホスト部 | 番地・部屋番号レベル | どの機器か(PCやスマホなど) |
つまり、サブネットとは「ネットワークの中の町名・丁目」のような役割を持っているイメージです。
このサブネットをうまく設計することで、ネットワークを整理し、管理しやすくできます。
1-1-3. サブネットはどのように識別されるのか
サブネットは、「IPアドレス」と「サブネットマスク」の組み合わせで識別されます。
例として、よく使われるプライベートIPアドレスを見てみましょう。
- IPアドレス:192.168.1.0
- サブネットマスク:255.255.255.0
この2つを組み合わせることで、「192.168.1.0~192.168.1.255の範囲が1つのサブネット」として扱われます。
このように、サブネットそのものは「目に見えない区切り」ですが、IPアドレスとサブネットマスクのルールに従って、どこまでが1つのサブネットかが決まる仕組みになっています。
1-2. なぜサブネット化が必要なのか(背景・メリット)
「サブネットという仕組みがあるのは分かった。でも、そもそもなぜサブネット化する必要があるのか?」
多くの人が最初に抱く疑問はここです。
実は、サブネットを使わずにネットワークをすべて「1つの大きなかたまり」のまま運用すると、さまざまな問題が起こりやすくなります。そこで、サブネットという考え方が重要になります。
ここでは、サブネット化の主なメリットを整理してみましょう。
1-2-1. ネットワークのパフォーマンス向上
1つの大きなネットワークに、PCやスマホ、サーバー、プリンタなど多くの機器が接続されていると、ネットワーク上の「余計な通信」も増えてしまいます。
特に、同じネットワーク内の全機器に一斉に届く「ブロードキャスト通信」が増えると、次のような影響が出ます。
- ネットワークが混雑しやすくなる
- 通信速度が落ちやすくなる
- サービスのレスポンスが悪く感じられる
そこで、サブネット化によってネットワークを分割すると、
- ブロードキャストが届く範囲がサブネットごとに区切られる
- その結果、1つのサブネット内のトラフィック量が抑えられる
という効果が期待できます。
つまり、サブネット化は「混雑を分散させて、ネットワークのパフォーマンスを保つための方法」とも言えます。
1-2-2. ネットワーク管理のしやすさ向上
サブネットをうまく設計すると、管理のしやすさも大きく変わります。例えば、以下のような分け方が可能です。
- 部署ごとのサブネット
- 営業部サブネット
- 開発部サブネット
- 管理部サブネット
- 用途ごとのサブネット
- 社内端末用サブネット
- サーバー用サブネット
- ゲストWi-Fi用サブネット
このようにサブネットで区切っておくと、
- どのサブネットに、どの機器が属しているのかが一目で分かる
- IPアドレスの管理や払い出しルールをサブネット単位で決めやすい
- 障害が起きた時に、問題のあるサブネットを特定しやすい
といったメリットがあります。
だからこそ、企業ネットワークではサブネット設計がとても重視されています。
1-2-3. セキュリティレベルの向上
さらに、サブネット化はセキュリティとも深い関係があります。
サブネットを使ってネットワークを分割すると、次のようなことが可能になります。
- 機密情報を扱うサーバーは、一般端末とは別サブネットに隔離する
- ゲストWi-Fi用サブネットからは社内サーバーにアクセスさせない
- 管理用サブネットからのみ、ネットワーク機器の設定変更を許可する
このように、サブネット単位でアクセス制御を行うことで、
- 不必要なアクセスを制限しやすくなる
- 万が一、1つのサブネットが侵害されても、被害をそれ以上拡大させにくくできる
という効果が期待できます。
したがって、サブネットは「セキュリティを考えたネットワーク設計」において欠かせない要素なのです。
1-2-4. サブネット化のメリットまとめ
最後に、サブネット化のメリットを表にまとめておきます。
| 観点 | サブネット化のメリット例 |
|---|---|
| パフォーマンス | ブロードキャストの範囲を分割し、混雑を軽減できる |
| 管理性 | 部署・用途ごとに分けることで、管理・運用がしやすい |
| セキュリティ | サブネット単位でアクセス制御ができ、被害拡大を防げる |
| 拡張性 | 将来的な増設や変更をサブネット単位で計画しやすい |
このように、サブネットは単なる「分け方」ではなく、「性能・管理・セキュリティ」をバランス良く保つための重要な仕組みだと言えます。
1-3. サブネットとサブネットマスクの違い
ここまで読むと、次のような疑問が出てくるかもしれません。
「サブネット」と「サブネットマスク」って、結局どう違うの?
どちらも似た言葉ですが、役割ははっきりと分かれています。
つまり、
- サブネット:分割されたネットワークそのもの
- サブネットマスク:どのように分割されているかを示す“ルールのマスク”
という違いがあります。
1-3-1. サブネットマスクとは何か
サブネットマスクとは、
IPアドレスのどこまでがネットワーク(サブネット)を表していて、どこからがホスト(機器)を表しているかを示す「マスク(覆い)」
です。
よく見かけるサブネットマスクの例としては、次のようなものがあります。
| サブネットマスク | CIDR表記 | おおよそのサブネットのイメージ |
|---|---|---|
| 255.255.255.0 | /24 | 小規模〜中規模ネットワークでよく使われる |
| 255.255.255.128 | /25 | /24をさらに半分に分けたサブネット |
| 255.255.255.192 | /26 | さらに細かく分割したサブネット |
サブネットマスクは、IPアドレスとセットで使うことで、
- どこまでが「ネットワーク(サブネット)」か
- どこからが「ホスト(機器)」か
を、機械にとっても人間にとっても明確にしてくれる役割を持っています。
1-3-2. サブネットとサブネットマスクの関係を例で見る
実際の例で、サブネットとサブネットマスクの関係を見てみましょう。
- IPアドレス:192.168.10.0
- サブネットマスク:255.255.255.0(= /24)
この場合、
- サブネット:192.168.10.0/24 という1つのサブネットを意味する
- サブネットマスク:255.255.255.0 が、そのサブネットの範囲を決めている
と理解できます。
もう少し踏み込むと、
- 192.168.10.0 ~ 192.168.10.255 の範囲が、1つのサブネットとして扱われる
- そのうち、実際に機器に割り当てられるIP(ホストアドレス)は、特定の範囲になる
といった形で、サブネットの「枠組み」を決めているのがサブネットマスクです。
1-3-3. 初心者が混同しやすいポイント
初心者の方がサブネットとサブネットマスクでよく混乱するのは、「どちらもネットワークの分割に関係している」からです。
そこで、次のように覚えると整理しやすくなります。
- サブネット
- 分割された「ネットワークそのもの」
- 例:192.168.10.0/24 という“1つのゾーン”
- サブネットマスク
- そのサブネットを形作る「ルール」
- 例:255.255.255.0 という“分割のマスク”
つまり、サブネットは「結果」、サブネットマスクは「その結果を生むためのルール」と考えると、違いがはっきり見えてきます。
サブネットの基本構成要素
前の章では、「サブネットとは何か」という全体像を見てきました。
ここからは、サブネットを理解するうえで欠かせない「基本パーツ」を1つずつ整理していきます。
サブネットは、ざっくり言うと次の3つの要素から成り立っています。
- ネットワーク部・ホスト部
- サブネットマスク
- CIDR表記(/24 や /25 のような書き方)
つまり、この3つの関係が分かれば、「このサブネットには何台の機器を収容できるのか」「どこまでが同じサブネットなのか」を自分で判断できるようになります。
2-1. ネットワーク部・ホスト部とは
サブネットを理解する最初のポイントが、「ネットワーク部」と「ホスト部」です。
この2つが分かると、IPアドレスとサブネットの関係が一気にクリアになります。
2-1-1. IPアドレスは「ネットワーク部」と「ホスト部」のセット
IPv4のIPアドレスは、例えば次のような数字で表されます。
- 192.168.1.10
- 10.0.0.5
- 172.16.100.25
これらは「32ビットの数字」を4つのブロック(オクテット)に分けて表示したものです。
そして、このIPアドレスは次の2つの部分に分かれます。
- ネットワーク部:どのネットワーク(サブネット)に属しているか
- ホスト部:そのネットワークの中の、どの機器か
住所に例えると、次のようなイメージです。
| 要素 | 現実のイメージ | 役割 |
|---|---|---|
| ネットワーク部 | 市区町村+丁目 | 「どのエリア(サブネット)か」を表す |
| ホスト部 | 番地・部屋番号 | 「そのエリアのどの家・部屋か」を表す |
つまり、サブネットは「ネットワーク部の単位」で区切られ、ホスト部はその中にぶら下がる機器たちを表している、という構造になっています。
2-1-2. 具体例で見るネットワーク部とホスト部
では、実際のサブネットの例を見てみましょう。
- サブネット:192.168.1.0/24
この場合、
- ネットワーク部:192.168.1
- ホスト部:最後の「0~255」の部分
とイメージすると分かりやすいです。
このサブネットには、192.168.1.1 や 192.168.1.50、192.168.1.200 といったIPアドレスを持つ機器が含まれます。
つまり、「192.168.1.×」という同じネットワーク部を持つ機器は、同じサブネットに所属しているということです。
2-1-3. なぜネットワーク部とホスト部を分けるのか
では、なぜわざわざネットワーク部とホスト部に分けて管理するのでしょうか。主な理由は次の通りです。
- ルーターが「どのサブネットにパケットを送るか」を判断しやすくするため
- サブネットごとにトラフィックやアクセス制御を分けるため
- ネットワークの設計・拡張を計画的に行うため
言い換えると、ネットワーク部・ホスト部を意識してサブネットを設計することで、
- ネットワークをムダなく分割できる
- 必要な台数分だけホスト部を確保できる
- 将来の増設や部署の追加にも対応しやすい
といったメリットが得られます。
2-2. サブネットマスク/CIDR表記の読み方
次に、サブネットを語るうえで必ず出てくるのが「サブネットマスク」と「CIDR表記」です。
どちらも、サブネットの「大きさ」や「範囲」を示すためのものですが、最初は少し取っつきにくく感じるかもしれません。
しかし、ポイントさえ押さえれば難しくありません。順番に見ていきましょう。
2-2-1. サブネットマスクの役割
サブネットマスクは、
IPアドレスのどこまでがネットワーク部で、どこからがホスト部なのかを示すマスク(覆い)
です。
よく使われるサブネットマスクには、次のようなものがあります。
| サブネットマスク | 読み方のイメージ |
|---|---|
| 255.255.255.0 | 最初の24ビットがネットワーク部 |
| 255.255.255.128 | 最初の25ビットがネットワーク部 |
| 255.255.255.192 | 最初の26ビットがネットワーク部 |
255 の部分は「ネットワーク部」、0 に近づくほど「ホスト部」が多い、とイメージすると覚えやすくなります。
つまり、サブネットマスクは「このサブネットはどれくらいの範囲までが同じネットワークですよ」という情報を機械に教えるための、非常に重要な情報です。
2-2-2. CIDR表記とは何か
CIDR表記(シーダー表記)は、サブネットマスクをよりシンプルに書くための表記方法です。
例えば、
- サブネットマスク:255.255.255.0
- CIDR表記:/24
このように、「/」の後ろに「ネットワーク部に使っているビット数」を書きます。
代表的なサブネットマスクとCIDR表記の対応表は次の通りです。
| CIDR表記 | サブネットマスク | ネットワーク部のビット数 |
|---|---|---|
| /24 | 255.255.255.0 | 24ビット |
| /25 | 255.255.255.128 | 25ビット |
| /26 | 255.255.255.192 | 26ビット |
| /27 | 255.255.255.224 | 27ビット |
サブネットの設計や説明では、「192.168.1.0/24」「10.0.0.0/16」のようにCIDR表記で書くことがほとんどです。
したがって、サブネットを扱うエンジニアや管理者は、このCIDR表記に慣れておくことが非常に重要です。
2-2-3. サブネットマスクとCIDR表記の読み方のコツ
サブネットマスク/CIDR表記の読み方に慣れるために、次のようなポイントを押さえると理解が進みます。
- /24 は「ホスト部が8ビット(32−24)」
- /25 は「ホスト部が7ビット」
- /26 は「ホスト部が6ビット」
この「ホスト部のビット数」が分かると、次の章のテーマである「利用可能なホスト数」が計算しやすくなります。
つまり、
- CIDR表記からホスト部のビット数を求める
- そのビット数からホスト数を計算する
という流れで、サブネットのサイズを感覚的につかめるようになっていきます。
2-3. 利用可能なホスト数とサブネットサイズの関係
最後に、サブネット設計で非常に重要になる「利用可能なホスト数」と「サブネットサイズ」の関係を整理します。
サブネットを分割しすぎると、1つのサブネットに収容できる端末数が足りなくなります。
逆に、大きすぎるサブネットだと、ブロードキャストが増えてネットワークが重くなる原因にもなります。
したがって、サブネットのサイズとホスト数の関係を理解することは、実用的なサブネット設計の第一歩です。
2-3-1. ホスト数は「ホスト部のビット数」で決まる
IPv4におけるサブネットのホスト数は、基本的に次の式で求められます。
- 利用可能なホスト数 = 2^(ホスト部のビット数) − 2
なぜ「−2」するかというと、
- 1つは「ネットワークアドレス」(サブネットそのものを表すアドレス)
- もう1つは「ブロードキャストアドレス」(そのサブネット内の全機器宛の特別なアドレス)
として予約されているためです。
たとえば、/24 のサブネットの場合、
- ホスト部のビット数:32 − 24 = 8ビット
- 利用可能なホスト数:2^8 − 2 = 256 − 2 = 254台
となります。
2-3-2. CIDRごとのホスト数早見表
よく使うサブネットサイズと、そのサブネットに収容できるホスト数を表にすると次のようになります。
| CIDR表記 | サブネットマスク | ホスト部ビット数 | 利用可能なホスト数の目安 |
|---|---|---|---|
| /24 | 255.255.255.0 | 8ビット | 254台 |
| /25 | 255.255.255.128 | 7ビット | 126台 |
| /26 | 255.255.255.192 | 6ビット | 62台 |
| /27 | 255.255.255.224 | 5ビット | 30台 |
| /28 | 255.255.255.240 | 4ビット | 14台 |
| /29 | 255.255.255.248 | 3ビット | 6台 |
| /30 | 255.255.255.252 | 2ビット | 2台 |
この表を見ると、CIDRの数字が大きくなるほど、
- サブネットが「細かく分割」される
- その代わりに、1つのサブネットに収容できるホスト数が少なくなる
という関係が見えてきます。
つまり、サブネット設計では、
- どれくらいの台数の機器を接続したいのか
- どれくらい細かくネットワークを分けたいのか
をバランスよく考えながら、CIDR(サブネットサイズ)を選ぶことが重要です。
2-3-3. 現場でよくあるサブネットサイズの使い分け
実際のネットワーク運用では、サブネットは次のように使い分けられることが多いです。
- /24(最大254台)
- 小〜中規模の部署ネットワーク、フロア単位のサブネットなど
- /25〜/27(30〜126台)
- 特定の部署・チーム単位、サーバー群、機器数が限定されるエリア
- /28〜/30(2〜14台)
- ルーター同士の接続、管理用ネットワーク、専用の小規模セグメント
このように、「サブネットサイズ(CIDR)」と「利用可能なホスト数」の関係を理解しておくと、
- 「このサブネットは /26 だから、最大で約60台くらいまでだな」
- 「この部署は端末が100台になりそうだから /25 は必要だ」
といった判断ができるようになります。
サブネットの具体的な計算方法
ここまでで、サブネットの基本用語や考え方はだいぶクリアになってきたはずです。
次のステップは、「実際にサブネットを計算できるようになること」です。
- どれくらいの大きさのサブネットにするか
- そのサブネットに何台のホスト(PC・サーバーなど)を収容できるか
- どこからどこまでが同じサブネットの範囲なのか
こうしたポイントを理解しておくと、サブネット設計やトラブルシューティングの精度が一気に上がります。
そこでこの章では、サブネットの具体的な計算方法を、IPv4を例にしながら丁寧に解説していきます。
3-1. IPv4におけるサブネットの計算手順
まずは、IPv4でサブネットを計算するための「全体の流れ」を押さえましょう。
3-1-1. サブネット計算の全体像
サブネットの計算は、基本的に次の2パターンがあります。
- 「CIDR表記(/24 など)」が決まっていて、そこからホスト数や範囲を求める
- 「必要なホスト数」が決まっていて、そこから最適なCIDR(サブネットサイズ)を決める
どちらのパターンでも、考え方の軸になるのは次の式です。
- 利用可能なホスト数 = 2^(ホスト部のビット数) − 2
ここで重要なのは、「ホスト部のビット数」とは何か、という点です。
IPv4は全部で 32ビットなので、
- ホスト部のビット数 = 32 − CIDRの値(/24 なら 32−24=8ビット)
となります。
つまり、サブネット計算は「CIDR」と「ホスト部のビット数」を行き来しながら考えるイメージです。
3-1-2. CIDR表記から利用可能ホスト数を求める
では、具体的に「CIDR表記 → ホスト数」の流れを見てみましょう。
例:192.168.1.0/24 のサブネット
- CIDR:/24
- ホスト部のビット数:32 − 24 = 8ビット
- 利用可能ホスト数:2^8 − 2 = 256 − 2 = 254台
同じように、/26 のサブネットなら次のようになります。
- CIDR:/26
- ホスト部のビット数:32 − 26 = 6ビット
- 利用可能ホスト数:2^6 − 2 = 64 − 2 = 62台
このように、サブネットのCIDR表記からホスト数を求めるステップは、慣れると暗算でもイメージできるようになります。
3-1-3. 必要なホスト数からサブネットを逆算する
実務では、「このサブネットには最低◯台は収容したい」といった要求が先に決まっているケースが多いです。
そのため、「必要ホスト数 → CIDR を決める」という逆方向の計算も重要です。
例えば、「最低50台のホストを収容できるサブネットが欲しい」という場合を考えます。
- 必要なホスト数:50台
- 2^n − 2 ≥ 50 を満たす最小の n を探す
- n=5 → 2^5 − 2 = 30(足りない)
- n=6 → 2^6 − 2 = 62(足りる)
- よって、ホスト部のビット数は 6ビット必要
- CIDR:32 − 6 = /26
つまり、「50台以上入れたいなら、/26 のサブネットにする」という判断になります。
このように、
- 「欲しいホスト数」
- 「2^n − 2」
- 「CIDR(/◯◯)」
を頭の中で行き来しながら、サブネット設計をしていくイメージです。
3-2. よく使われるサブネットマスク早見表/実例紹介
次に、サブネットの世界でよく登場する「定番のサブネットマスク」と、その使いどころを確認していきます。
サブネットの早見表を一度整理しておくと、「この規模なら /24 だな」「この接続は /30 だな」といった判断がしやすくなります。
3-2-1. 代表的なサブネットマスク早見表
IPv4のサブネットでは、次のようなサブネットマスクが頻繁に使われます。
| CIDR表記 | サブネットマスク | 利用可能ホスト数 | よくある用途のイメージ |
|---|---|---|---|
| /24 | 255.255.255.0 | 254台 | 部署単位・フロア単位のサブネット |
| /25 | 255.255.255.128 | 126台 | 中小規模の部署・チームネットワーク |
| /26 | 255.255.255.192 | 62台 | 特定用途のLAN(サーバー群など) |
| /27 | 255.255.255.224 | 30台 | 小規模チーム、機器の数が限られるエリア |
| /28 | 255.255.255.240 | 14台 | 管理用・監視用のネットワーク |
| /29 | 255.255.255.248 | 6台 | ルーター間接続、少数のサーバー用サブネット |
| /30 | 255.255.255.252 | 2台 | ルーター対向接続などポイントツーポイント |
この表を見ながらサブネット設計をすると、
「サブネットを細かくすればするほど、ホスト数が減る」という感覚が自然と身についていきます。
3-2-2. 中小企業ネットワークでのサブネット実例
次に、もう少し現場に近いイメージとして、「中小企業の社内ネットワーク」を例に考えてみましょう。
想定:
- 社員は約80人
- 営業部・開発部・管理部の3部署がある
- 社内LANとゲスト用Wi-Fiを分けたい
この場合、サブネットを次のように分けることが考えられます。
- 社内端末用サブネット(/25:126台)
- 例:192.168.10.0/25
- 営業・開発・管理部のPCや社用スマホなど
- サーバー用サブネット(/26:62台)
- 例:192.168.10.128/26
- ファイルサーバー、社内Web、業務システム用サーバーなど
- ゲストWi-Fi用サブネット(/27:30台)
- 例:192.168.10.192/27
- 来客用の端末のみ接続
このようにサブネットを分けることで、
- 社内端末とサーバーを別サブネットにしてセキュリティを高める
- ゲストWi-Fiを完全に別サブネットにして社内リソースを守る
といった「サブネットならではのメリット」を活かしやすくなります。
3-2-3. サーバー用サブネットとゲスト用サブネットの使い分け
サーバー用サブネットとゲスト用サブネットを分けるのは、サブネット設計の定番です。
例えば、次のようなイメージです。
- サーバー用サブネット:10.0.0.0/24
- 社内の重要なサービスが集まるサブネット
- ファイアウォールで厳しくアクセス制御
- ゲスト用サブネット:10.0.10.0/24
- 来客が接続するWi-Fi用サブネット
- インターネットには出られるが、サーバー用サブネットには届かないように設定
このように、サブネットを分けることで、
- 「どのサブネットから、どのサブネットへアクセスさせるか」を制御しやすくなる
- もしゲスト側から攻撃が来ても、サーバー用サブネットに直接届きにくくなる
という効果が生まれます。
つまり、サブネットのマスクだけでなく、「どんな目的のサブネットを作るか」を意識して設計することが重要です。
3-3. 範囲・ネットワークアドレス・ブロードキャストアドレスの求め方
次は、サブネットの「範囲」を具体的に計算するステップです。
同じサブネットに含まれるIPアドレスの範囲が分かれば、
- このIPアドレスは本当にこのサブネットに入るのか
- ネットワークアドレスとブロードキャストアドレスはどれか
- 実際にホストに割り当てていいのはどの範囲か
を判断できるようになります。
3-3-1. サブネット範囲を求める基本ルール
サブネットの範囲を求めるときの基本的な考え方は次の通りです。
- サブネットマスク(またはCIDR)から、「1つのサブネットがカバーするIP数」を求める
- ベースとなるアドレスから、その「IP数」ごとに区切っていく
- 各区切りの
- 最初のアドレス → ネットワークアドレス
- 最後のアドレス → ブロードキャストアドレス
- その間 → ホストに割り当て可能なアドレス
というルールです。
具体的には、最後のオクテット(4つ目の数字)に着目すると分かりやすくなります。
3-3-2. 具体例:192.168.10.0/26 の場合
実際の例で、サブネットの範囲を求めてみましょう。
例:192.168.10.0/26
- /26 はホスト部 6ビット
- IP数:2^6 = 64個(ネットワークアドレス+ブロードキャストアドレス含む)
- よって、「64個ずつ」IPアドレスが1つのサブネットになります。
最後のオクテット(4つ目の数字)だけを見ると次のように分割されます。
| サブネット | 範囲(最後のオクテット) | ネットワークアドレス | ブロードキャストアドレス | 利用可能なホスト範囲 |
|---|---|---|---|---|
| 第1サブネット | 0 ~ 63 | 192.168.10.0 | 192.168.10.63 | 192.168.10.1 ~ 192.168.10.62 |
| 第2サブネット | 64 ~ 127 | 192.168.10.64 | 192.168.10.127 | 192.168.10.65 ~ 192.168.10.126 |
| 第3サブネット | 128 ~ 191 | 192.168.10.128 | 192.168.10.191 | 192.168.10.129 ~ 192.168.10.190 |
| 第4サブネット | 192 ~ 255 | 192.168.10.192 | 192.168.10.255 | 192.168.10.193 ~ 192.168.10.254 |
このように、「どこからどこまでが1つのサブネットなのか」が、はっきりと数字で見えてきます。
同じ考え方で、/27 なら 32個ごと、/28 なら 16個ごと、と区切っていけば、サブネット範囲を計算できます。
3-3-3. よくあるつまずきポイントとチェック方法
サブネットの範囲やネットワークアドレス・ブロードキャストアドレスを計算していると、次のような「つまずき」がよく起こります。
- 1番目のアドレスと最後のアドレスを、ホストに割り当ててしまう
- 何個ずつ区切ればいいのかを忘れてしまう
- 別のサブネットに属するIPを同じサブネットだと思い込んでしまう
これを防ぐために、次のチェックポイントを意識してみてください。
- CIDRが /26 なら「64個ごと」と覚える(/27なら32個、/28なら16個)
- 各サブネットの
- 先頭:ネットワークアドレス(ホストに割り当てない)
- 末尾:ブロードキャストアドレス(ホストに割り当てない)
- ホストに割り当てられるのは、その“間のアドレス”だけ
このチェックを頭の中で繰り返していくことで、サブネットの計算に対する感覚がどんどん身についていきます。
サブネットをどこで使うか/設計と運用のポイント
ここまでで、サブネットの仕組みや計算方法はだいぶイメージできてきたと思います。
次のステップは、「そのサブネットを実際のネットワークでどう使うか」「どんな考え方で設計・運用すればよいか」です。
サブネットは、単にIPアドレスを分割するだけの技術ではありません。
小〜中規模ネットワークでも、
- 性能を保つため
- 管理しやすくするため
- セキュリティを高めるため
といった目的で、サブネット設計の良し悪しがそのまま運用のしやすさにつながります。
したがって、この章では「現場での使い方」という視点からサブネットを整理していきます。
4-1. 小〜中規模ネットワークにおけるサブネット設計の基本
小〜中規模ネットワークでも、サブネット設計をきちんとしておくかどうかで、後々の運用のラクさが大きく変わります。
ここでは、規模がそれほど大きくない環境でのサブネット設計の考え方を具体的に見ていきましょう。
4-1-1. まず「台数」と「用途」からサブネットを考える
サブネット設計で最初に考えるべきことは、難しい計算ではなく、次の2点です。
- そのネットワークには、どれくらいの機器がつながるのか(台数)
- そのネットワークは、どんな用途で使うのか(役割)
例えば、小〜中規模オフィスなら、次のような分類がよくあります。
- 社員PCや社用スマホなど「一般端末用サブネット」
- ファイルサーバーや業務システムなどの「サーバー用サブネット」
- 来訪者向けの「ゲストWi-Fi用サブネット」
このように、最初に「どのようなサブネットを作る必要があるか」を洗い出しておくと、その後のCIDR選びやIP設計がスムーズになります。
簡単な整理の例は次の通りです。
| サブネットの種類 | 主な機器 | 想定台数の目安 |
|---|---|---|
| 社内端末用サブネット | PC、社用スマホ、プリンタなど | 50〜150台 |
| サーバー用サブネット | ファイルサーバー、DB、Web等 | 10〜50台 |
| ゲスト用サブネット | 来訪者のスマホやPC | 10〜30台 |
この表をもとに、「どのサブネットにどのくらいのIPアドレスを割り当てるか」を決めていきます。
4-1-2. 小〜中規模で使いやすいサブネットサイズの目安
次に、「どのCIDR(サブネットサイズ)を選ぶか」の目安を見ていきます。
小〜中規模ネットワークでよく使われるサブネットサイズは、次のあたりです。
| 用途の例 | おすすめサブネットサイズ | 利用可能ホスト数の目安 |
|---|---|---|
| 部署・フロア単位 | /24 | 254台 |
| 小さめの部署・チーム | /25〜/26 | 126〜62台 |
| サーバー専用ネットワーク | /26〜/27 | 62〜30台 |
| ゲストWi-Fi | /27〜/28 | 30〜14台 |
例えば、社員端末が70台程度の部署なら、
- /26 のサブネット(62台)では少し足りないかもしれない
- /25 のサブネット(126台)なら余裕を持って収容できる
といった判断になります。
このように、サブネット設計は
- 現在の台数
- 近い将来の増加見込み
をあわせて考えながらCIDRを決めていくことがポイントです。
4-1-3. 物理構成とサブネット構成をゆるく合わせる
さらに、サブネット設計を考えるときは、「物理的なネットワーク構成」と「サブネット構成」をある程度そろえておくと、管理がしやすくなります。
例えば、
- フロアごとにL2スイッチが1台ずつある
- それぞれのフロアに約30〜40台の端末がある
という環境なら、
- フロアごとに1つのサブネット(例:192.168.1.0/26、192.168.1.64/26 など)を割り当てる
といった設計にすると、トラブル発生時にも
- 「このフロアのサブネットで問題が起きている」という切り分けが簡単になる
というメリットがあります。
4-2. 部署・用途別に分割するメリットと注意点
次に、「部署別」「用途別」にサブネットを分けることのメリットと注意点を整理します。
サブネットの分割は、単にアドレスを分けるだけでなく、セキュリティポリシーや運用方針とも深く関わってきます。
4-2-1. 部署・用途別サブネット分割の主なメリット
サブネットを部署や用途で分割することで、次のようなメリットがあります。
- トラフィックの分離
- 不要なブロードキャストやローカル通信をサブネット内に閉じ込められる
- セキュリティポリシーの分離
- 部署や用途ごとにファイアウォールルールを変えられる
- 障害切り分けのしやすさ
- 「どのサブネットで問題が起きているか」を早く特定できる
具体例を挙げると、次のような分け方が典型的です。
| サブネット | 主な用途 | 特徴 |
|---|---|---|
| 社員端末サブネット | 社内PC・社用スマホ | 社内システムへのアクセスを許可 |
| サーバーサブネット | 各種サーバー | 外部公開・内部アクセスを制御 |
| 管理用サブネット | ネットワーク機器の管理ポート | 管理者だけがアクセスできる |
| ゲスト用サブネット | 来訪者用Wi-Fi | インターネットのみアクセス許可 |
このように、サブネットごとに「役割」を決めておくと、設定を整理しやすくなります。
4-2-2. 分割しすぎることのデメリットと注意点
一方で、サブネットを細かく分けすぎると、次のような問題も起こります。
- サブネットの数が増えすぎて、ルーティング設定が複雑になる
- 運用担当者が「どのIPがどのサブネットか」を把握しづらくなる
- IPアドレスの余りが増えてしまい、全体として非効率になる
つまり、「とりあえず細かくサブネットを分ければ良い」というものではありません。
注意したいポイントをまとめると次の通りです。
- サブネットを増やすと、ルータの経路情報も増える
- ファイアウォールやACLのルールも複雑化しやすい
- 実際の運用担当者が、構成を理解しきれないとトラブル対応が遅れる
したがって、サブネットを部署・用途別に分けるときは、
- 「本当に別サブネットにする必要があるか」
- 「ポリシーや運用上の違いがあるか」
を意識して、分割しすぎないバランスが重要になります。
4-2-3. サブネット設計時に決めておきたいルール
サブネットを部署・用途別に分割する際は、事前に次のようなルールを決めておくと、後々の混乱を防げます。
- サブネットごとの役割を明文化する
- 例:192.168.10.0/24 は社内端末、192.168.20.0/24 はサーバー用、など
- IPアドレスの割り当てポリシーを決める
- 例:1〜50 は固定IP、51以降はDHCPで配布、など
- サブネット名と用途を一覧にして共有する
- ネットワーク図や表でサブネットと用途を整理しておく
このように、「サブネットの設計」と「運用ルールの整理」はセットで考えることが、サブネット運用を成功させるポイントです。
4-3. サブネット運用時に気をつけたいトラフィック・管理面の課題
最後に、サブネットを実際に運用していくうえで気をつけたい「トラフィック面」「管理面」の課題をまとめておきます。
サブネットは便利な仕組みですが、設計や運用を誤ると、かえってトラブルの原因にもなりかねません。
4-3-1. ブロードキャストとトラフィック量のバランス
サブネットを分ける大きな目的の1つは、「ブロードキャストの範囲を適切に区切ること」です。
しかし、次のようなバランスが重要になります。
- サブネットが大きすぎる
- ブロードキャストが広範囲に届く
- トラフィックが増えて、ネットワークが重く感じることがある
- サブネットが小さすぎる
- サブネットの数が増え、ルーティングが複雑になる
- 部署間の通信がすべてルーター経由になり、逆に負荷になる場合もある
つまり、サブネットは「小さければ小さいほど良い」わけではなく、トラフィック量とのバランスを見ながら設計することが大切です。
4-3-2. サブネットをまたぐ通信とセキュリティルールの複雑化
サブネットを増やすと、「サブネットをまたぐ通信」が必ず発生します。
例えば、次のようなケースです。
- 社員端末サブネット から サーバーサブネット への通信
- ゲスト用サブネット から インターネットへの通信
- 管理サブネット から 各サブネットの機器への管理アクセス
このとき、ルーターやファイアウォールでは、サブネットごとに通信ルール(ACLやセキュリティポリシー)を設定する必要があります。
その結果として、
- サブネットが増えれば増えるほど、ルールの数も増え、ミスが起こりやすくなる
- どのサブネットから、どのサブネットへ、どのポートが許可されているのか、把握が難しくなる
といった課題が生まれます。
したがって、サブネット運用では、
- 「よく使う通信パターン」をあらかじめ整理しておく
- サブネット間の通信ルールを一覧表にしておく
といった工夫が重要です。
4-3-3. ドキュメントと監視をセットにしたサブネット運用
サブネットを安定して運用するには、「ドキュメント」と「監視」をセットで考えることが欠かせません。
具体的には、次のようなポイントがあります。
- ドキュメント面
- サブネット一覧(CIDR・用途・担当部署など)を作成する
- IPアドレスの割り当て表(どの機器がどのIPか)を定期的に更新する
- ネットワーク図にサブネット境界を分かりやすく記載する
- 監視面
- サブネットごとのトラフィック量を監視する
- 異常な通信(特定サブネットからの大量アクセスなど)を検知できるようにする
- DHCPの利用状況やIPアドレス枯渇が近づいていないかをチェックする
このように、「設計したサブネットをきれいに保つ」という意識で運用していくことで、
- サブネット構成が徐々に崩れてカオスになる
- どのIPがどこに属しているのか分からない
といった状態を防ぐことができます。
サブネットのトラブル・実践的対応策
ここまでで、サブネットの設計や運用の「あるべき姿」を見てきました。
しかし、現場ではどうしてもサブネット設定ミスや設計上の問題が発生します。
その結果、
- なぜか通信できない
- 一気にIPアドレスが枯渇する
- サブネットを作り直したいのに怖くて手を出せない
といった悩みに直面しがちです。
そこでこの章では、サブネットに関する「よくあるトラブル」と「実践的な対応策」、そしてIPv6時代のサブネットの考え方までまとめて解説します。
5-1. サブネット設定ミスで起こる典型的な問題(通信できない、IP枯渇など)
サブネットは、設定を少し間違えるだけで「まったく通信できない」という事態を招きます。
まずは、小さなミスから大きなトラブルに発展しやすい典型パターンを整理しておきましょう。
5-1-1. サブネットマスクやデフォルトゲートウェイの設定ミス
サブネットで最も多いのが、クライアント側の設定ミスです。代表例は次の通りです。
- サブネットマスクの設定が間違っている
- デフォルトゲートウェイのアドレスが違うサブネットを指している
- IPアドレスだけ手動で変えて、マスクやゲートウェイをそのままにしてしまった
このようなミスがあると、次のような症状が出ます。
- 同じサブネット内の機器には通信できるが、別サブネットには出て行けない
- 一部の機器だけインターネットにつながらない
- 特定のサーバーにだけpingが届かない
確認の際は、次のポイントを順番にチェックすると切り分けがしやすくなります。
- IPアドレス
- サブネットマスク
- デフォルトゲートウェイ
- DNSサーバー設定
特に、「サブネットマスクが本当にそのサブネットに合っているか」は、サブネットトラブルの基本チェックポイントです。
5-1-2. サブネット設計が甘くて起こるIPアドレス枯渇
もう1つよくあるのが、「サブネットを小さくしすぎてIPアドレスが足りなくなる」パターンです。
例えば、
- ルーターのインターフェース用に /28(14台)で作ったサブネットに、いつのまにか機器が大量に増えてしまった
- 「この部署は20台くらい」と想定して /27(30台)でサブネットを切ったが、数年で40台を超えてしまった
といったケースです。
その結果として、
- DHCPサーバーがIPアドレスを配れなくなる
- 「新しい端末をつなぐとネットにつながらない」というクレームが出る
- 一部のIPで重複割り当てが発生し、不安定な状態になる
などの問題が起こります。
このようなIP枯渇を防ぐためには、サブネット設計時に次の点を意識しておくことが重要です。
- 現在の台数+将来の増加分を見込んでサブネットサイズを決める
- 一時的な検証機や増設を考えて、少し余裕を持たせる
- 定期的にDHCPの利用状況を確認し、アドレス枯渇の兆候がないかチェックする
5-1-3. VLANとサブネットの対応が崩れて起こるトラブル
サブネットは、現代のネットワークではVLANとセットで使われることが多くなっています。
ただし、VLANとサブネットの対応関係が崩れると、やっかいなトラブルが発生します。
典型的な例としては、
- VLAN10 は 192.168.10.0/24 のサブネット、VLAN20 は 192.168.20.0/24 と決めていたのに、誤ってVLAN20に192.168.10.◯◯のIPを設定してしまう
- あるスイッチだけVLAN設定が間違っていて、サブネット間のトラフィックが意図しない経路を通る
といったケースです。
症状としては、
- 同じサブネットのはずなのに、特定のポートだけ通信できない
- あるフロアからだけサーバーにアクセスできない
- ARPやブロードキャストの動きが一部おかしい
など、原因が見えづらいトラブルとして現れます。
そのため、サブネットを運用する際は、
- 「サブネット」と「VLAN ID」を1対1で対応させる
- ネットワーク図に「VLAN番号」と「サブネット」の対応表を必ず残す
- 構成変更を行ったときは、VLANとサブネットの整合性を再チェックする
といったルール作りが重要になります。
5-2. サブネットを変更・統合・分割するケースとその対応
サブネットは、一度決めたら終わりではありません。
組織の成長やシステム構成の変化に応じて、
- サブネットを拡大したい(統合したい)
- サブネットを追加で分割したい
- 既存のサブネットを別の範囲に移したい
といったニーズが必ず出てきます。
ここでは、具体的なケースと対応の考え方を整理します。
5-2-1. サブネットを「広げる/統合する」ケース
まず、「IPアドレスが足りなくなったのでサブネットを大きくしたい」というケースです。
例:
- 192.168.10.0/26 を2つ運用していたが、両方ともほぼ満杯になってきた
- そこで、192.168.10.0/25 に統合して、より多くのホストを収容したい
このような場合の対応ステップは、概ね次のようになります。
- 現状のサブネット構成を整理する
- どの機器がどのサブネットにいるか
- デフォルトゲートウェイはどこか
- 新しいサブネット(例:192.168.10.0/25)の設計とルーティング設定を準備する
- DHCPサーバーのスコープを新サブネットに合わせて変更する
- 可能なら夜間やメンテナンス時間に切り替え作業を行う
- 切り替え後、通信テストと経路確認を行う
このとき注意したいのは、
- サブネットマスクが変わるということは、「どこまでが同一サブネットか」という認識が変わるということ
- ルーターやL3スイッチのインターフェース設定も必ず合わせて変更する必要があること
です。
5-2-2. サブネットを「分割する」ケース
逆に、「1つのサブネットが大きすぎるので分割したい」というケースもよくあります。
例:
- 192.168.50.0/24 というサブネットがあり、そこに社内端末とサーバーが混在している
- セキュリティや管理の観点から、端末用とサーバー用にサブネットを分離したい
この場合の一般的な流れは次の通りです。
- 新しいサブネットを設計する
- 例:
- 端末用:192.168.50.0/25
- サーバー用:192.168.50.128/25
- 例:
- サーバーや重要機器から順に、新サブネット側へIPアドレスを振り直す
- ルーターやファイアウォールのルールを、新しいサブネット構成に合わせて変更する
- DNSや固定IP設定がある場合は、IP変更に伴う影響を洗い出しておく
サブネット分割で特に注意したいのは、次の点です。
- 既存システムに「IPアドレスを前提にした設定」がないか
- 例:ホストファイル、アクセスリスト、固定IPでの許可設定など
- サーバーやネットワーク機器は、可能な限りダウンタイムを短くして移行すること
計画的にサブネットの分割作業を行うことで、セキュリティと管理性を高めつつ、トラブルを最小限に抑えることができます。
5-2-3. サブネット変更時のチェックリスト
サブネットを変更・統合・分割するときに、最低限チェックしておきたい項目を整理しておきます。
- ルーター・L3スイッチ
- インターフェースのIPアドレスとサブネットマスク
- スタティックルートやダイナミックルーティングの設定
- DHCPサーバー
- スコープ範囲とサブネットマスク
- デフォルトゲートウェイ・DNS配布設定
- ファイアウォール/ACL
- サブネット単位で指定している許可・拒否ルール
- 各ホスト
- 固定IPを持つサーバーやネットワーク機器のIP/マスク/ゲートウェイ
- DNSやアプリケーション設定でIPをハードコードしていないか
このチェックリストを使って、サブネット関連の影響範囲を漏れなく洗い出すことが、トラブルを防ぐうえで非常に重要です。
5-3. IPv6時代におけるサブネットの違いと移行時のポイント
最後に、IPv6のサブネットについても触れておきます。
IPv4とIPv6は、アドレスの表記だけでなく、「サブネットの考え方」そのものが大きく異なります。
5-3-1. IPv6のサブネットは「/64」が基本単位
IPv4では、/24 や /25 のように、ホスト数に合わせて細かくサブネットを切るのが一般的でした。
しかし、IPv6のサブネットでは、
- 1つのサブネットは /64 が基本単位
- サブネットのサイズをホスト数で細かく調整するという考え方はあまりしない
という特徴があります。
つまり、IPv6では、
- 各サブネットに割り当てられるホストアドレスは、理論上ほぼ無限に近い
- 「ホスト数を節約するためにサブネットを小さくする」という発想は不要
という世界観になります。
その代わりに、IPv6のサブネットでは、
- 組織単位や拠点単位で /48 や /56 などのプレフィックスをもらい
- その中を /64 単位でサブネットに切っていく
という、「階層的なプレフィックス設計」が重要になります。
5-3-2. IPv6サブネットではブロードキャストがない
もう1つ大きな違いとして、IPv6には「ブロードキャスト」が存在しない、という点があります。
代わりに、
- マルチキャスト
- ネイバー探索(NDP)
などの仕組みを使って、同じサブネット内の機器同士がやり取りをします。
そのため、
- IPv4のように「ブロードキャストストームでサブネットが重くなる」といった問題は減る
- しかし、マルチキャストやNDPの動き方を理解しておく必要がある
といった違いがあります。
5-3-3. IPv6への移行時に意識したいサブネット設計のポイント
IPv4からIPv6に移行していくとき、サブネットの観点では次のようなポイントが重要です。
- デュアルスタック運用を前提にする
- 当面は「IPv4サブネット」と「IPv6サブネット」が共存する
- それぞれでサブネット設計やアドレス管理が必要になる
- IPv6側のプレフィックス設計をしっかり行う
- /48 や /56 単位で「拠点」「用途」「部署」などに分ける
- その中を /64 でサブネット化していく
- IPv6サブネットでも、用途ごとの分割は有効
- 社員端末用サブネット(IPv4/IPv6)
- サーバー用サブネット(IPv4/IPv6)
- ゲスト用サブネット(IPv4/IPv6)
つまり、アドレスの枯渇という悩みからは解放されますが、
「サブネットをどう分けて、どう管理するか」という設計思想は、IPv6になっても重要なままです。
セキュリティ視点から見たサブネットの活用
ここまで見てきたように、サブネットは「ネットワークを分ける仕組み」として、性能や管理の面で大きなメリットがあります。
しかし、実はサブネットは「セキュリティ対策」としても非常に強力な武器になります。
なぜなら、サブネットをうまく設計することで、
- 攻撃の広がりをサブネット内に封じ込める
- 不要な通信をサブネット単位でブロックできる
- 重要なサーバーや機密情報を、他の端末から隔離できる
といった効果が期待できるからです。
ここでは、セキュリティの観点から「サブネットの活用方法」と「ゼロトラスト時代におけるサブネット設計の重要性」を整理していきます。
6-1. サブネットでネットワークを分割することによるセキュリティ強化のメリット
まずは、「サブネットでネットワークを分割すると、セキュリティ的に何がうれしいのか」を具体的に見ていきましょう。
6-1-1. サブネット分割は「被害の広がりを止める防火壁」のような役割
サブネットをセキュリティ視点で考えると、それはまるで「防火壁で区切られたビル」のようなものです。
1つの大きなネットワークにすべての端末が混在していると、次のようなリスクがあります。
- 1台のPCがマルウェアに感染すると、同じネットワーク内の多くの端末に一気に広がる
- 不正アクセスを受けた端末が、サーバーや他部署のPCに自由にアクセスできてしまう
一方、サブネットでネットワークを分割しておけば、
- 被害は、基本的にはそのサブネット内で完結しやすくなる
- サブネット間の通信にファイアウォールやアクセス制御を挟みやすくなる
という形で、「被害の広がりを抑える壁」として機能します。
つまり、サブネットは「攻撃の横移動(ラテラルムーブメント)」を抑えるための重要な仕組みと言えます。
6-1-2. サブネットごとにセキュリティポリシーを細かく設定できる
サブネットを分けることで、サブネットごとに異なるセキュリティポリシーを適用しやすくなります。例えば、次のような分け方が考えられます。
| サブネット | 主な用途 | セキュリティポリシーの例 |
|---|---|---|
| 社員端末サブネット | 社内PC・社用スマホ | インターネット+一部社内サーバーへのアクセス可 |
| サーバーサブネット | 重要システム・データベース | 外部からのアクセスはWAFやVPN経由のみに制限 |
| 管理用サブネット | ネットワーク機器の管理端末 | 管理者のみ接続、インターネットは原則禁止 |
| ゲスト用サブネット | 来訪者端末 | インターネットアクセスのみ許可 |
このように、サブネット単位で「許可する通信」「禁止する通信」を分けることで、
- 社員端末は自由度を確保しつつ、サーバーを直接さわれないようにする
- 管理サブネットは極力閉じておき、攻撃に狙われにくくする
- ゲスト用サブネットから社内資産には一切アクセスできないようにする
といった柔軟なセキュリティ設計が可能になります。
6-1-3. サブネットを使った「重要資産の隔離」の考え方
サブネットをセキュリティに活かすうえで特に重要なのは、「重要な資産を別サブネットに隔離する」という発想です。
隔離したい代表的なものとしては、次のようなものがあります。
- 顧客情報や個人情報を扱うデータベースサーバー
- 社外秘のソースコードや設計データを保存しているサーバー
- ネットワーク機器(ルーター・スイッチ・ファイアウォールなど)の管理インターフェース
これらを一般の社内端末と同じサブネットに置いてしまうと、万が一端末が乗っ取られたときに、重要資産への攻撃が容易になってしまいます。
だからこそ、「重要なものは別サブネットで守る」という考え方が大切です。
実際の構成イメージ:
- 社員端末サブネット(192.168.10.0/24)
- 機密データベースサブネット(192.168.20.0/24)
- このサブネットに直接アクセスできるのは、特定のアプリケーションサーバーだけ
- 管理用サブネット(192.168.30.0/24)
- 管理者の端末+ネットワーク機器の管理IPのみ
このようにサブネットを切り分けることで、攻撃者が簡単に重要サーバーにたどり着けない構造を作ることができます。
6-1-4. インシデント対応時にもサブネット情報が役立つ
サイバー攻撃やマルウェア感染などのインシデントが起きたとき、サブネットの設計情報は「被害範囲の特定」に大きく役立ちます。
- どのサブネットで異常なトラフィックが発生しているか
- 感染端末はどのサブネットに属しているか
- そのサブネットから、どのサブネットに通信できるようになっているか
これらが分かると、
- 「このサブネットだけ一時的に遮断する」といった判断がしやすくなる
- サブネット単位で流量を落としたり、通信を制限したりできる
その結果、被害を最小限に抑えたうえで調査・復旧を進めやすくなります。
6-2. ゼロトラスト/内部ネットワークでもサブネット設計が重要な理由
次に、「ゼロトラスト」の時代になっても、なぜサブネット設計が重要なのかを見ていきます。
クラウドやリモートワークが当たり前になった現在でも、「サブネットをどう切るか」は変わらず重要なテーマの1つです。
6-2-1. ゼロトラストは「内部だから安全」という前提を捨てる考え方
ゼロトラストの基本的な考え方は、
内部ネットワークだから安全、という前提を持たず、すべてのアクセスを検証する
というものです。
一見すると、「それならサブネットなんて関係ないのでは?」と感じるかもしれません。
しかし、実際にはサブネットは、ゼロトラストの考え方を現実のネットワークに落とし込むうえで、非常に重要な役割を持っています。
なぜなら、サブネットがあることで、
- 「どのサブネットからのアクセスか」を条件にポリシーを設定しやすくなる
- サブネットごとにセグメントを分けて、ゼロトラストのレベルを段階的に導入できる
といったメリットがあるからです。
6-2-2. ゼロトラストでも「サブネットごとの分離」は有効
ゼロトラストでは、ユーザーや端末の認証・認可が非常に重要になりますが、それと同時に「ネットワークの分離」も依然として有効です。
サブネット設計が活きるシーンとして、例えば次のようなものがあります。
- 社内からクラウドサービスへのアクセスを、サブネット単位で制限・監査する
- 特定サブネットからのアクセスだけ、追加の多要素認証を要求する
- 管理用サブネットからのアクセスには、より強いゼロトラストポリシーを適用する
つまり、ゼロトラストは「何でもかんでもクラウド任せにする」ということではなく、
サブネットによるネットワーク分割と組み合わせることで、より堅牢な構成を作ることができます。
6-2-3. 内部ネットワークの「信頼ゾーン」をサブネットで整理する
ゼロトラストでは「内部=信頼できる」という考え方は捨てるべきですが、それでも現実には「リスクの高低」は存在します。
そこで、サブネットを使って「リスクレベルの異なるゾーン」を整理しておくと、運用しやすくなります。
例として、内部ネットワークを次のようなゾーンに分ける考え方があります。
| ゾーン種別 | サブネット例 | リスクレベルのイメージ |
|---|---|---|
| 管理ゾーン | 10.0.0.0/24 | 最も厳しく守るべきゾーン |
| サーバーゾーン | 10.0.10.0/24 | 高い保護が必要なゾーン |
| 社員端末ゾーン | 10.0.20.0/23 | 一般的な社内利用のゾーン |
| ゲスト/IoTゾーン | 10.0.40.0/24 | 信頼度が低めと前提のゾーン |
このようにサブネット単位で「ゾーン」を作っておくと、
- ゾーンごとにゼロトラストポリシーの強度を変えられる
- ゾーン間の通信は必ず検査・制御を通す、といった方針を取りやすい
その結果、「すべてを一律に厳しくする」といった非現実的な運用ではなく、
現場にあったバランスの良いゼロトラスト運用がしやすくなります。
6-2-4. クラウド時代のサブネット設計(オンプレ+クラウドのハイブリッド)
クラウド環境(例:仮想ネットワークやVPC)でも、サブネットは欠かせない概念です。
オンプレミスとクラウドをつなぐ構成では、次のようなポイントを意識したサブネット設計が重要になります。
- オンプレ側のサブネットと、クラウド側のサブネットでIP帯が重複しないようにする
- クラウド上のサーバー群専用のサブネットを作り、アクセス経路を限定する
- VPNや専用線で接続するサブネットを明確に分ける
つまり、オンプレ/クラウドを問わず、「どこにどのサブネットがあり、どうつながっているか」を明確にしておくことが、
セキュリティ上も運用上も非常に重要です。
IT資格を取りたいけど、何から始めたらいいか分からない方へ
「この講座を使えば、合格に一気に近づけます。」
- 出題傾向に絞ったカリキュラム
- 講師に質問できて、挫折しない
- 学びながら就職サポートも受けられる
独学よりも、確実で早い。
まずは無料で相談してみませんか?
