サブネット
Subnet
1つの大きなIPネットワークを、セキュリティの向上や管理の効率化を目的として、ルーティング可能な複数の独立した小さなネットワークへ分割したグループのこと。
🐾 猫で例えると?
同じ絨毯の上にいながら、まるで目に見えない境界線があるかのようにお互いそっぽを向いているアメショと茶トラ。家という1つの大きなネットワークの中にいながら、干渉し合わない独立した小さなセグメント(領域)を作り出している状態は、まさに「サブネット」の分割そのものです。物理的な空間は同じでも、論理的なグループを切り離すことで独自の規律を保っています。
🐾 猫あるある:IT現場の日常
- リビングと寝室という領域分割:用途やアクセス権限に応じてブロードキャストドメインを分けるネットワーク設計。
- 1匹ずつのケージという独立:外部からの不要なトラフィックや干渉を遮断して安全性を高めた隔離セグメント。
- コタツの中という秘匿空間:インターネットからの直接接続を拒否する完全プライベートな非公開領域。
💻 インターネットとクラウドにおける「サブネット」とは?
インフラ設計やクラウド(AWSやGCPなど)の構築において、サブネットの分割はセキュリティとネットワークパフォーマンスを担保するための基本中の基本です。1つの大きなネットワーク(例えば社内LAN全体)にすべてのPCやサーバーを混在させてしまうと、どこか1台で発生したネットワークの混雑(ブロードキャストストーム)が全体に波及してしまいます。また、機密データを扱うサーバーに誰でもアクセスできてしまうため、防犯上も極めて危険です。
そこで、ネットワークアドレスを「サブネットマスク」と呼ばれるビット列を用いて細かく分割し、営業部用、開発部用、あるいはサーバー用といった小さなグループに仕分けます。これにより、不要な通信の広がりを抑え、グループ間の境界線にルーターやファイアウォールを配置して通信を厳密に制御できるようになります。
⚠️ サブネットの仕組みと注意点
サブネットを設計する際は、インターネットから直接アクセスできる「パブリックサブネット」と、外部から遮断された安全な「プライベートサブネット」に明確に切り分けるのが鉄則です。Webサーバーは前者に、顧客データなどを格納するデータベースサーバーは後者に配置します。
CIDR表記によるサブネットマスク指定の例
以下は、プライベートIPアドレスのネットワークを、サブネットマスク「24ビット(255.255.255.0)」で区切って特定のサブネット空間を定義する際の、一般的なネットワーク設定のイメージです。
// クラウド環境(VPC)などでのサブネットネットワーク定義
{
"vpc_cidr_block": "10.0.0.0/16",
"subnets": [
{
"subnet_id": "subnet-public-2a",
"cidr_block": "10.0.1.0/24",
"type": "Public",
"gateway": "igw-0123456789abcdef0"
},
{
"subnet_id": "subnet-private-2a",
"cidr_block": "10.0.2.0/24",
"type": "Private",
"gateway": "nat-0abcdef0123456789"
}
}10.0.1.0/24 と 10.0.2.0/24 は、同じ大きなネットワークの中に作られた別々のサブネットです。この2つの間を通信させるには、ルーター(あるいはクラウド内のルートテーブル)を仲介させる必要があります。
🛠️ サブネットを賢く使うためのポイント
実務でサブネットの設計や運用を行う際は、将来の拡張性やネットワークアドレスの枯渇問題に十分配慮しなければなりません。
- ホスト数の見積もりと切り出し: 各サブネットに接続するデバイスの最大数を想定し、適切なCIDRサイズ(/24や/26など)を選択します。
- 予約アドレスの存在を忘れない: 各サブネット内には、ネットワークアドレス、ブロードキャストアドレス、ルーター用など、システム側で自動的に予約されて使えないIPアドレスが数個存在します。
- ルートテーブルの厳格な管理: プライベートサブネットからインターネットへの片道通信(アップデートなど)を許可する場合は、NATゲートウェイを経由するルートを正しく設定します。
お互いにそっぽを向いて完璧な距離感を保つアメショと茶トラのように、役割ごとにネットワークの境界線をパキッと美しく切り分けて、安全で快適なインフラ環境を構築していきましょう。