サブネット
サブネット とは何ですか?
サブネット共通のプレフィックスを持つ連続した IP アドレス範囲で、ネットワーク内の 1 つのブロードキャストドメインとルーティング境界を定義する。
サブネット(subnetwork)は、アドレスの上位ビットを共有する IP アドレスを 1 つのレイヤー 3 ネットワークにまとめたものです。サブネット化は RFC 950(1985)で正式に定められ、硬直的なクラス A/B/C 方式を、サブネットマスクによって定義されるネットワーク部とホスト部に分割しました。その後 RFC 4632 がこれを一般化し、/24 や /27 のような任意のプレフィックス長を使えるクラスレスな CIDR としました。また RFC 1918 は 10.0.0.0/8、172.16.0.0/12、192.168.0.0/16 をプライベート利用向けに予約しました。同じサブネット内のホストは ARP または IPv6 の Neighbor Discovery を介して直接通信し、他のサブネット宛のトラフィックはルーター経由で転送されます。可変長サブネットマスク(VLSM)を使うと、1 つのプレフィックスを適切なサイズのブロックに切り分けてアドレスを節約できます。
セキュリティアーキテクチャにおいて、サブネットは VLAN、ACL、ファイアウォールルール、マイクロセグメンテーションの自然な境界であり、ARP スプーフィングのようなレイヤー 2 攻撃の影響範囲を限定します。こうした攻撃はルーティング境界を越えられないためです。フラットで過大なサブネットは、侵害レポートで繰り返し根本原因として挙げられます。攻撃者がいったん 1 台のホストに足場を築くと、セグメント化されていない /16 は自由なスキャンとピボットを許してしまいます。2013 年の Target の侵害は教科書的な事例です。ネットワークがベンダー向けゾーンとカード処理ゾーンの間でセグメント化されていなかったため、攻撃者は決済システムに到達しました。信頼境界をまたいでつないでしまう、重複したり誤ってルーティングされたりしたサブネットも、同様によくある横移動のリスクです。
flowchart TB R[Router / Layer-3 firewall] R --> A[10.1.10.0/24<br/>Production servers] R --> B[10.1.20.0/24<br/>User workstations] R --> C[10.1.30.0/24<br/>Build agents] A -.ACL denies.- C B -.ACL denies.- A
● 例
- 01
10.1.20.0/24 という /24 サブネットには 256 アドレスがあり、10.1.20.255 はブロードキャストとして予約されている。
- 02
本番サーバは 10.1.10.0/24 に、ビルドエージェントは 10.1.30.0/24 に分離して配置する。
● よくある質問
サブネット とは何ですか?
共通のプレフィックスを持つ連続した IP アドレス範囲で、ネットワーク内の 1 つのブロードキャストドメインとルーティング境界を定義する。 サイバーセキュリティの ネットワークセキュリティ カテゴリに属します。
サブネット とはどういう意味ですか?
共通のプレフィックスを持つ連続した IP アドレス範囲で、ネットワーク内の 1 つのブロードキャストドメインとルーティング境界を定義する。
サブネット からどのように防御しますか?
サブネット に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
サブネット の別名は何ですか?
一般的な別名: サブネットワーク, IP サブネット。