サブネットマスクと /24・/16 の読み方 ― 社内IPアドレス設計の基本を中小企業情シス向けに解説
「ルーターの設定画面で 192.168.1.0/24 って書かれているけど /24って何?」「255.255.255.0 とどう違うの?」――社内ネットワークの設計図やUTMの管理画面を見て、**スラッシュ記法(CIDR表記)**に戸惑った経験のある情シスは多いはずです。
サブネットマスクは、社内のネットワークを設計する上で避けて通れない基礎概念です。本記事では、中小企業の情シスがネットワーク図を読み・設計できるようになる最低限の知識を、計算式に深入りせず実例ベースで整理します。
サブネットマスクとは
サブネットマスクは、IPアドレスの中で「ネットワーク部」と「ホスト部」を区切る役割を持ちます。
たとえば 192.168.1.10 というIPアドレスがあった場合、「ネットワーク部=どのネットワークに属しているか」「ホスト部=そのネットワーク内で何番目の端末か」を、サブネットマスクが決めます。
| IPアドレス | 192.168.1.10 |
|---|---|
| サブネットマスク | 255.255.255.0 |
| → ネットワーク部 | 192.168.1 |
| → ホスト部 | 10 |
/24 と 255.255.255.0 は同じ意味
サブネットマスクには2種類の表記があります。
| 表記 | 例 | 意味 |
|---|---|---|
| 10進表記 | 255.255.255.0 | 古典的な書き方 |
| CIDR表記(スラッシュ記法) | /24 | 「先頭から24bitがネットワーク部」 |
両者は完全に同じ意味です。192.168.1.0/24 と 192.168.1.0 mask 255.255.255.0 は等価です。
最近の機器・SaaS設定はほぼCIDR表記で統一されているので、情シスは /24・/16・/8 の感覚を持っておくことが重要です。
よく使うCIDRの早見表
中小企業のネットワーク設計で出会うCIDRは、ほぼ以下のパターンに集約されます。
| CIDR | 10進表記 | 収容可能ホスト数 | 主な用途 |
|---|---|---|---|
| /32 | 255.255.255.255 | 1台(特定ホスト指定) | ファイアウォールルール |
| /30 | 255.255.255.252 | 2台 | ルーター間の対向リンク |
| /29 | 255.255.255.248 | 6台 | 小規模拠点間VPN |
| /28 | 255.255.255.240 | 14台 | 小規模グループ |
| /27 | 255.255.255.224 | 30台 | サーバセグメント |
| /24 | 255.255.255.0 | 254台 | 標準的なオフィスLAN |
| /23 | 255.255.254.0 | 510台 | 大きめのオフィス |
| /22 | 255.255.252.0 | 1,022台 | 数百名規模 |
| /16 | 255.255.0.0 | 65,534台 | 全社包括(大企業) |
「収容可能ホスト数」は、ホスト部の全bit数からネットワークアドレスとブロードキャストアドレスの2つを引いた値です。/24なら 256 - 2 = 254 台です。
実務的には /24 が標準で、これだけ覚えておけば大半の現場で困りません。
プライベートIPアドレスの3つの範囲
社内ネットワークで使えるIPアドレス(インターネットに直接出ない範囲)は、RFC 1918で以下の3つが規定されています。
| クラス | 範囲 | 例 |
|---|---|---|
| クラスA | 10.0.0.0 〜 10.255.255.255(/8) | 大企業・データセンター |
| クラスB | 172.16.0.0 〜 172.31.255.255(/12) | 中堅企業・VPN拠点間 |
| クラスC | 192.168.0.0 〜 192.168.255.255(/16) | 中小企業・家庭用ルーター |
家庭用ルーターやUTMの初期設定では、ほぼ 192.168.0.0/24 か 192.168.1.0/24 が使われています。
中小企業の社内ネットワーク設計のベストプラクティス
よくないパターン(実際の現場でよく見る)
192.168.1.0/24(全社共通)
├─ サーバ(192.168.1.10〜)
├─ プリンタ(192.168.1.50〜)
├─ PC(192.168.1.100〜)
├─ Wi-Fi(192.168.1.150〜)
├─ ゲストWi-Fi(192.168.1.200〜)
└─ IoT機器(192.168.1.220〜)何が問題か:
- 254台しか収容できないため、社員30名超えで枯渇する
- ゲストや IoT が業務ネットワークと同じセグメントにいて、セキュリティリスクが高い
- 拠点が増えたとき、IPアドレスが重複してVPN接続できない
推奨パターン
10.0.0.0/16(本社全体、/24で16区画)
├─ 10.0.10.0/24 ― サーバセグメント
├─ 10.0.20.0/24 ― 業務PC(有線)
├─ 10.0.21.0/24 ― 業務PC(Wi-Fi)
├─ 10.0.30.0/24 ― プリンタ・複合機
├─ 10.0.40.0/24 ― IoT・複合機・電話
├─ 10.0.50.0/24 ― ゲストWi-Fi
└─ 10.0.99.0/24 ― 管理用(スイッチ・AP管理画面)
10.1.0.0/16(大阪支社)
10.2.0.0/16(福岡支社)ポイントは3つです。
① セグメント(/24)を用途別に分ける。 業務用、サーバ、プリンタ、ゲストでセグメントを分け、VLANで分離します。これによりブロードキャストドメインが小さくなり、セキュリティ事故の影響範囲も狭まります。
② 拠点ごとにネットワーク部を変える。 本社は10.0、大阪は10.1、福岡は10.2 のように分ければ、VPN接続時にIPアドレスが衝突しません。家庭用ルーターのデフォルトのまま 192.168.1.0/24 を全拠点で使うと、必ずVPN接続時に衝突します。
③ /16の枠で設計しておく。 将来100名規模になっても、/16(最大65,534台)の枠を確保しておけば、新セグメント追加で対応できます。最初から /24 一発で設計すると後で全面再設計が必要になります。
VLAN分割との関係
サブネット設計とVLAN分割はセットで考えます。
- 1つのVLAN = 1つのサブネット
- VLAN間の通信はL3スイッチまたはルーター/ファイアウォールで制御
- セキュリティポリシー(業務PCはサーバアクセスOK、ゲストはサーバアクセスNG等)はL3で適用
たとえば「ゲストWi-Fiの利用者が、社内ファイルサーバを覗けないようにする」ためには、ゲスト用VLAN(10.0.50.0/24)と業務VLANをVLAN分離した上で、ファイアウォールでサーバセグメント(10.0.10.0/24)への通信を遮断します。
サブネット計算の落とし穴
設計時に間違えやすい点を3つ挙げます。
① /23 や /22 など/24以外で設計する場合の境界。 /23 は 10.0.0.0/23 だと 10.0.0.0 〜 10.0.1.255 までで、10.0.2.0 ではないので注意。CIDRの境界は2の累乗でしか切れません。
② ルーターのDHCPプール範囲とインフラ機器の固定IP範囲の重複。 192.168.1.10〜200 をDHCPで配布しているのに、プリンタを 192.168.1.50 で固定設定すると、DHCPと衝突します。サーバ・プリンタ・APなどの固定IP機器は、DHCPプールの範囲外(例:1〜99)に集約してください。
③ デフォルトゲートウェイとブロードキャストの位置取り違え。 /24では .1(または.254)がゲートウェイ、.255 がブロードキャストとして使われます。ホストに .0 や .255 を割り当てないように注意。
まとめ
サブネットマスクは「ネットワーク部とホスト部の区切り」、CIDR表記の /24 は「255.255.255.0と同じ意味で、254台収容」が押さえるべき最低限です。社内設計では「/24で用途別にセグメント分割」「拠点ごとにネットワーク部を変える」「/16の枠で将来拡張に備える」の3点を意識すれば、後で再設計が必要になる事態を避けられます。
情シス365のProject365(ITプロジェクト支援)では、社内ネットワーク設計・VLAN分離・拠点間VPN構築をサポートしています。無料ヒアリングからお気軽にどうぞ。