トレンド解説

DHCPとは? 役割・仕組み・機能をわかりやすく解説

アイキャッチ
目次

私たちの日常生活は、インターネットに接続された様々なデバイスによって支えられています。スマートフォン、パソコン、テレビ、これらがネットワークに接続し通信を始めるためには、IPアドレスを含むネットワーク設定が適切に設定されている必要があります。企業だけでなく、一般家庭でも複数のデバイスがネットワークに接続され、その数は増え続けてきました。

これらの多様なデバイスがスムーズに通信を行うために、裏方として重要な役割を果たす技術があります。それがDHCP(Dynamic Host Configuration Protocol)です。目立つ存在ではありませんが、我々のデバイスがインターネットに接続するためには必要不可欠なサービスであり、ほとんどの人々が気づかぬうちに利用している可能性が高いものです。

本コラムでは、このDHCPについて詳しく解説していきます。概要からその誕生の背景、標準化規格と主な利用シーン、通信シーケンスと技術的優位点、利用時の注意点などを、幅広く紹介していきます。ネットワーク管理の現場で役立つ知識を深める一助になれば幸いです。

それでは、まずはDHCPの概要から見ていきましょう。

DHCPとは

ネットワークに接続するデバイスにIPアドレスを自動的に割り当てるためのプロトコルがDHCP(Dynamic Host Configuration Protocol)です。この技術は、IPアドレスをはじめ、サブネットマスク、デフォルトゲートウェイ、DNSサーバーのアドレスなど、通信に必要な情報を端末に割り当てます。英語表記を直訳すると、「動的ホスト設定プロトコル」になります。

インターネットプロトコル(IP)に基づく通信では、各デバイスを一意に識別するためにIPアドレス、MACアドレス、ポート番号の3つが利用されます。MACアドレスは端末ごとに固有のもので、製造業者が設定します。ポート番号は、通信を行うアプリケーションやサービスを特定するためのもので、通信を行うソフトウェアが自動的に割り当てます。そして、IPアドレスは、デバイスがネットワーク上で一意に識別されるための番号で、これを動的に割り当てるのがDHCPの役割です。

DHCPの力を借りることで、ネットワーク管理者は各デバイスのネットワーク設定を手作業で行う手間を省くことができます。また、利用者は新たなデバイスをネットワークに接続する際に、特別な設定を行うことなく、自動的にインターネットにアクセスすることが可能となります。

DHCPは目立たない存在ですが、私たちがインターネットを利用する上で欠かせない技術なのです。

次に、このDHCPがどのような背景で生まれ、どのような問題を解決するために開発されたのかについて見ていきましょう。

DHCPが生まれた背景

DHCPの登場するまえの1980年代後半。インターネット黎明期には、IPアドレスの管理は主に手作業で行われていました。ネットワーク管理者が各デバイスに固定的にIPアドレスを手動設定し、その情報を台帳管理していたのです。しかし、ネットワークが大規模化し、デバイスの数が増加するにつれ、この作業は非常に煩雑で時間のかかるものとなりました。

そんな状況の中、1993年に提唱されたRFC 1531で、IPアドレスの自動割り当てを行う新たなプロトコルとしてDHCPが初めて登場しました。これは、前身であるBootstrap Protocol(BOOTP)を拡張したもので、IPアドレスだけでなく、デフォルトゲートウェイやDNSサーバーなど、ネットワークに接続するための設定情報全てをデバイスに動的に割り当てることができました。

DHCPが提供するIPアドレスの自動割り当て機能は、それまでの手作業によるIPアドレスの設定と管理を大幅に効率化すると共に、誤った設定によるネットワークの障害を防ぐのに有用でした。加えて、DHCPはIPアドレスを時間限定で割り当てる「リース」概念を導入することで、IPアドレスの効率的な再利用を可能にしました。

これらのDHCPの機能は、大規模なネットワークの管理を簡素化し、デバイスのネットワーク接続を迅速化することで、ネットワークの運用コストを大幅に削減することに大いに寄与しました。そしてこれにより、インターネットの急速な普及と拡大を支える一翼を担うこととなりました。

次に、DHCPがどのように標準化され、バージョンが進化していったのかを詳しく見ていきましょう。

DHCPの標準化規格

DHCPは、Internet Engineering Task Force(IETF)により標準化されています。IETFは、インターネット技術の標準を決定する国際的な組織で、その規格は"RFC"(Request For Comments)という形で公表されます。ここでは、DHCPの主要なバージョンとその変更点について解説します。

RFC 1531(1993年)

DHCPの最初の規格で、先述した通りBOOTPの拡張として開発されました。IPアドレスの動的な割り当てやリース概念を導入しました。

RFC 1541(1993年)

RFC 1531の若干の修正版です。具体的な変更点は、特定の問題に対するクラリフィケーションと、文書内のエラー修正が含まれます。

 RFC 2131(1997年)

DHCPの最新版であり、現在広く使われている規格です。このバージョンでは、DHCPの動作や通信シーケンスの詳細を明確に定義し、DHCPサーバーとクライアントの役割、通信タイミングなどについて詳細なガイダンスを提供しています。また、DHCPのオプション拡張についても規定し、より柔軟なネットワーク設定が可能となりました。

RFC 3315(2003年)

これがDHCPv6の最初の規格です。IPv6の普及に伴い、128ビットのIPv6アドレスを扱うことができる新たなDHCP、つまりDHCPv6が導入されました。DHCPv6は、IPv6アドレスの動的割り当てを実現するためのプロトコルであり、IPv4用のDHCPとは別に設計されています。主な特徴として、IPv6ネイティブの環境で動作するよう設計されており、IPv6の特性をフルに活用するための機能が多数追加されています。これにより、大規模なIPv6ネットワークでも効率的にアドレス管理を行うことが可能となりました。

RFC 8415(2018年)

これが現在のDHCPv6の規格です。ここでは、RFC 3315とそれ以降に発行された多数の更新RFCを統合し、DHCPv6の最新の仕様をまとめています。具体的には、新たなDHCPv6オプションの追加、セキュリティ強化、通信の信頼性向上など、DHCPv6の機能を大幅に強化しています。

以上のように、DHCPの標準化規格は時代のニーズに応じて進化を続け、IPv4からIPv6へと移行する現代のインターネット環境においても、効率的なIPアドレス管理を可能としています。

DHCPの仕組み

家庭内などで使うWi-Fi/有線ルーターには通常、「DHCPサーバー機能」が搭載されています。IPアドレスなどの情報は、このDHCPサーバー機能によって割り当てられます。一方、企業などのネットワークの場合では、独立したサーバーをDHCPサーバーとして使用することも多いでしょう。

IPアドレスの割り当て方法には静的と動的の2種類があります。このうち、DHCPが割り当てるのは動的IPアドレスです。動的IPアドレスはIPアドレスが変動する可能性がある割当方式であり、DHCPサーバーによって管理されているIPアドレスプールのなかから、誰にも利用されていないIPアドレスが割り振られます。IPアドレスと併せて、サブネットマスク・デフォルトゲートウェイも自動的に設定される点が特徴です。

DHCPによって割り当てられるIPアドレスは常に同一とは限らず、ネットワークへの切断・接続を繰り返すたびに変わる可能性があります。厳密には、割り当てられるIPアドレスには「リース期間」が存在しており、IPアドレスが利用できる期間が定められているのです。リース期間の期限を迎えた時点でDHCPは割り当てられたIPアドレスが今も利用されているかどうかを確認し、利用されていない場合は割当可能なIPアドレスとしてプールします。

これに対し、静的IPアドレスは固定IPアドレスとも呼ばれ、特定のネットワークの範囲から手動で設定するその端末専用のIPアドレスです。再接続した際も常に同一のIPアドレスを使用することになります。静的IPアドレスを使用するのであればDHCPは必要ありません。

DHCPの構成要素

DHCPについてより深く理解するために、DHCPの構成要素について理解しておきましょう。基本はDHCPサーバーとDHCPクライアントの2つですが、それらをつなぐDHCPリレーエージェントについても知っておくと理解が深まります。

DHCPの基本構成としては、DHCPサーバーとDHCPクライアントが主要な要素となります。

DHCPサーバー

DHCPサーバーは、ネットワーク上のデバイスに対して、IPアドレス、サブネットマスク、デフォルトゲートウェイ、DNSサーバー情報など、ネットワークに接続するための必要な情報を動的に提供します。その際、サーバーはDHCPプロトコルに基づいて情報を割り振ります。一つのネットワークには原則として一つのDHCPサーバーが存在します。複数のDHCPサーバーが同一ネットワーク内に存在する場合、IPアドレスプールの管理やIPアドレスの重複割り当てといった問題が発生する可能性があります。

汎用サーバーに導入するDHCPソフトウェア

こちらは、汎用的なサーバーに導入できるDHCPソフトウェアの形式を指します。一般的にLinuxやWindows ServerなどのOS上にインストールし、設定することでDHCPサーバーとして機能させることができます。IDC DHCPやProDHCPといった製品がこれに該当します。大規模ネットワークや複雑なネットワーク環境では、このタイプのDHCPソフトウェアを利用して柔軟にネットワーク環境を構築・管理することが可能です。


商用DHCPでインターネット回線の安定化を実現。「ProDHCP」 開発の背景や従来のDHCPとの違いに迫る|NetAttest20周年特別企画 | ネットアテスト

パソコンやスマートフォンが普及し、インターネットサービスの活用が当たり前のものとなった今日では、いつでもどこでも素早くネットワークに接続できる環境が必要不可欠です。快適なインターネットサービスの利用には、高性能なネットワーク機器を導入するだけではなく、端末の通信を補助する様々なサ...

netattest.com

og_img

ネットワーク製品に付随する機能

無線AP、ルーター、UTM(Unified Threat Management)などのネットワーク機器には、多くの場合、DHCPサーバー機能が組み込まれています。これは主に小規模なネットワークやSOHO(Small Office/Home Office)、家庭内ネットワークなどで活用されます。設定は機器の管理画面から行うことができ、専用のDHCPサーバーを設置するよりも手軽にDHCP環境を構築できます。

専用のアプリアンス製品

これはDHCPサービス専用のハードウェア製品を指します。一般に大規模ネットワークや、高度なセキュリティ・信頼性が求められる環境で利用されます。これらの製品は、DHCPだけでなくDNSやIPアドレス管理(IPAM)といった機能を組み合わせて提供するものもあります。専用製品は、一般的に高度な監視機能やセキュリティ対策、高いパフォーマンスを提供しますが、それらの機能を利用するための専門的な知識が必要になることがあります。


DHCP/DNSサーバーアプライアンス NetAttest D3 | ネットワークソリューション | ソリトンシステムズ

NetAttest D3(ディースリー)はDHCPサーバー、DNSサーバー、DynamicDNSサーバーの機能を搭載したアプライアンス製品です。D3はMACアドレスに基づいたIPアドレス割当て制御によって不正PCの接続を防止するなど、セキュリティ面を強化したDHCP/DNSサーバーです。

soliton.co.jp

og_img

DHCPクライアント

DHCPクライアントは、ネットワークに接続するために必要な情報(IPアドレスなど)をDHCPサーバーから割り当てられるデバイスを指します。DHCPサーバーとの関係は1対多であり、ネットワーク上には複数のDHCPクライアントが存在します。

パーソナルコンピューター

企業や家庭のネットワークに接続するノートパソコンやデスクトップパソコンもDHCPクライアントです。

オフィス内の複合機

ネットワークに接続されているプリンターやスキャナーなどの複合機もDHCPクライアントとなります。

スマートフォン

スマートフォンはWi-Fiに接続する際に、DHCPサーバーからIPアドレスを取得します。

 IoT機器

家庭内のスマートスピーカーやセキュリティカメラ、スマート家電などのIoTデバイスも、ネットワーク接続に際してDHCPサーバーからIPアドレスを取得します。

これらのデバイスは、ネットワークに接続する際に自動的にIPアドレスや他のネットワーク情報を取得するためにDHCPを使用します。これにより、ネットワーク管理者が手動で各デバイスにIPアドレスを割り当てる必要がなくなり、大幅な効率化とエラー削減が可能となります。

DHCPリレーエージェント

DHCPリレーエージェントとは、DHCPサーバーとDHCPクライアントをつなぐ存在、あるいはつなぐための機能です。基本的なネットワーク構成であれば、DHCPサーバーとDHCPクライアントは同一ネットワーク内に存在しており、DHCPリレーエージェントは必要ありません。

しかし、DHCPサーバーとDHCPクライアントが異なるネットワークにある場合、両者をつなぐ存在が必要になります。例えば、DHCPサーバーをネットワークAに配置し、DHCPクライアントに割り当てるIPアドレスがネットワークBのものだとすると、橋渡し役が必要です。

ネットワークAとネットワークBという異なるネットワーク間で通信するためには、ルーターが必要です。そして、DHCPを実現するためにはルーターがDHCPリレーエージェントになる必要があります。

もう少し詳しく解説すると、DHCPサーバーとDHCPクライアントは“ブロードキャスト”と呼ばれる通信方法でお互いにやり取りを行います。しかし、ブロードキャストは異なるネットワーク間をまたぐことができません。そのため、ルーターなどの機器でDHCPのブロードキャストを受け取り、橋渡し(リレー)するのです。

異なるネットワーク間の橋渡し役としては、ルーターやL3スイッチ、ファイアウォールなどのネットワーク機器が該当します。ネットワークを超えたDHCPを実現したい場合には、これらの機器にDHCPリレーエージェント機能が備わっているか確認することが重要です。

DHCPの通信シーケンス

以下に、DHCPがネットワーク内でIPアドレスを割り当てる際の通信手順を詳細に説明します。基本的には、DHCPクライアントからDHCPサーバーへの4つの通信ステップで構成されています。

  1. DHCPDISCOVER
    DHCPクライアントがネットワークに接続すると、最初にブロードキャストによりDHCPDISCOVERメッセージを送信します。このメッセージは、"どこにDHCPサーバーがいるのか?"を問い合わせるものです。この時点ではまだIPアドレスを持っていないので、送信元IPアドレスは0.0.0.0、送信先IPアドレスは255.255.255.255となります。
  2. DHCPOFFER
    DHCPサーバーはDHCPDISCOVERメッセージを受け取ると、自身が管理するIPアドレスプールから1つのIPアドレスを選び、それをDHCPクライアントに提供するためのDHCPOFFERメッセージをブロードキャストで返します。このメッセージには提供するIPアドレスやネットマスク、リース時間などのネットワーク情報が含まれます。
  3. DHCPREQUEST
    DHCPクライアントは複数のDHCPサーバーからDHCPOFFERメッセージを受け取った場合、1つを選びそのIPアドレスの割り当てをリクエストするDHCPREQUESTメッセージをブロードキャストします。このメッセージには、選択したDHCPOFFERのIPアドレスとその提供元のDHCPサーバーの情報が含まれます。
  4.  DHCPACK
    DHCPサーバーはDHCPREQUESTメッセージを受け取ると、選択されたIPアドレスを正式に割り当て、その確認としてDHCPACKメッセージをDHCPクライアントに送信します。これにより、IPアドレスの割り当てが完了します。

以上が基本的なDHCPの通信シーケンスですが、ここにDHCPリレーエージェントが加わる場合もあります。これは、DHCPクライアントとDHCPサーバーが異なるネットワークに存在する場合に必要となります。その場合、リレーエージェントはDHCPクライアントからのDHCPDISCOVERやDHCPREQUESTメッセージを受け取り、そのままでは異なるネットワークに到達できないブロードキャストを、ユニキャストに変換してDHCPサーバーへ転送します。同様に、DHCPサーバーからのレスポンスもリレーエージェントが受け取り、DHCPクライアントへと転送します。

このような、緻密な通信プロセスを通じてネットワークに接続する各デバイスへのIPアドレス割り当てを自動化しています。この自動化により、ネットワーク管理者は膨大な数のデバイスを手動で管理する必要がなくなり、大幅な作業効率化が実現しています。

DHCPで払い出される情報

DHCP(Dynamic Host Configuration Protocol)は、ネットワーク上のデバイスに自動的にIPアドレスやその他のネットワーク設定を提供するプロトコルです。以下に、DHCPで払い出される主な情報とその意味を20個列挙します:

設定概要
IPアドレスネットワーク上でデバイスを識別するための一意のアドレスです。
サブネットマスクネットワークとホスト部分を分離するためのビットマスクです。
デフォルトゲートウェイデバイスがローカルネットワーク外へ通信する際のデフォルトの経路です。
DNSサーバードメイン名をIPアドレスに変換するサーバーのアドレスです。
ドメイン名デバイスが所属するドメイン名です。
NTPサーバーネットワークタイムプロトコルを提供するサーバーのアドレスです。
リース時間DHCPによって割り当てられたIPアドレスの有効期限です。
DHCPサーバー識別子IPアドレスを割り当てたDHCPサーバーを識別します。
ブートサーバーネットワークブートをサポートするサーバーのアドレスです。
タイムオフセットクライアントがある地域の標準時からのオフセットを示します。

これらの他にも、ベンダー固有情報やスタティックルート、SLPサービススコープ、ディレクトリエージェント、リソースロケーションサーバーなど、特定の状況や用途に応じた情報を払い出すことが可能です。これらの設定は通常、ベンダーまたは特定のシステム管理者によって定義されます。これらのオプションを使用することで、DHCPはネットワークの管理を大幅に簡素化し、デバイスの接続を迅速かつ効率的に行うことができます。

DHCP環境で端末のIPアドレスが固定されるケース

リースの延長

DHCPで割り当てられたIPアドレスは、無期限で利用するわけではなく、あらかじめ定められた一定期間(リース期間)だけ使用することができます。そのため、DHCPクライアントがDHCPサーバーからIPアドレスを取得したときには、「リース情報」が与えられます。リース情報には、IPアドレスやその有効期限(リース期間)などが記録されています。

リース期間が過ぎると、DHCPクライアントはそのIPアドレスを使用することができなくなります。しかし、リース期間が半分経過した時点で、DHCPクライアントは自動的にDHCPサーバーに対してリースの更新(リース延長)をリクエストします。これにより、DHCPクライアントが継続してネットワーク接続を維持できます。もしDHCPサーバーからの応答がない場合、リース期間が残り1/8となった時点でリクエストの再送を行います。

このようにリース期間と更新を通じてIPアドレスの管理が行われるため、DHCPクライアントのIPアドレスは半ば固定的になります。同一のDHCPクライアントがネットワークに接続し続ける限り、同じIPアドレスが割り当てられ続けることが多いです。

固定アドレスの設定

しかし、一部のデバイス(例えば、プリンターや内部サーバーなど)では、IPアドレスを完全に固定したい場合があります。そのような場合には、「固定アドレス(fixed address)」の設定を利用します。

固定アドレスは、DHCPサーバーの設定で、特定のデバイス(通常はMACアドレスで指定)に対して常に同じIPアドレスを割り当てるようにします。これにより、そのデバイスはネットワークに接続するたびに同じIPアドレスを得ることができます。

この固定アドレスの設定は、内部のサーバーなど、特定のIPアドレスでアクセスされることが前提となっているデバイスに対して有用です。それにより、ネットワーク内の他のデバイスからそのサーバーに対する接続を一貫して維持することができます。

これらの仕組みを理解することで、DHCPがネットワークの複雑さをどのように緩和し、管理を容易にするかを理解できます。

DHCP環境で端末のIPアドレスが変更されるケース

DHCPクライアントが以前に使用していたIPアドレスから変更されるケースについて詳しく見ていきましょう。以下にその主なシナリオをいくつかご紹介します。

異なるネットワーク環境への移動

クライアントが異なるネットワークに接続する場合、新たにDHCPサーバーからそのネットワークで使えるIPアドレスを割り当てられます。例えば、ユーザーがオフィスの有線LANから、会議室の無線LANに接続すると、それぞれのネットワークにあわせてDHCPサーバーから異なるIPアドレスが割り当てられることになります。

リース期間経過後の再接続時

DHCPクライアントが一度ネットワークから切断し、その間にリース期間が完全に経過してしまった場合には、新たなIPアドレスが割り当てられる可能性があります。特に、その間に割り当てられていたIPアドレスが他のデバイスに割り当てられてしまった場合には、クライアントが再接続した時には異なるIPアドレスが割り当てられます。

DHCPサーバーの設定変更時

DHCPサーバーの管理者が、DHCPサーバーの設定を変更した場合にも、クライアントのIPアドレスが変更されることがあります。例えば、IPアドレスプール(割り当て可能なIPアドレスの範囲)が変更された場合などが該当します。

以上のように、クライアントの接続状況やネットワーク環境、DHCPサーバーの設定によって、クライアントのIPアドレスは変更されることがあります。これらの状況を理解することで、ネットワークの運用やトラブルシューティングに役立てることができます。

IPアドレスの重複を回避する仕組み

DHCPはIPアドレスの重複割り当てを防ぐためにいくつかの工夫がされています。主な手法としては、DHCPサーバーがIPアドレスの「リース情報」を管理し、クライアントに対して一度割り当てられたIPアドレスが他のクライアントに割り当てられないようにすることです。また、さらなる保証として、以下の手段が一般的に取られます。

GARP (Gratuitous ARP)による存在確認

GARPは一種のARP(Address Resolution Protocol)で、主にIPアドレスとMACアドレスの対応関係を確認したり、ネットワーク内の他のデバイスに対して自分のIPアドレスとMACアドレスを通知するために使用されたりします。DHCPクライアントが新たにIPアドレスを取得した際、自身のIPアドレスが他のデバイスと重複していないかを確認するためにGARPを送信します。これにより、ネットワーク内の他のデバイスが同じIPアドレスを持つクライアントを識別し、IPアドレスの重複を防ぐことができます。

ICMP(Ping)による存在確認

DHCPサーバーは、新たにIPアドレスをクライアントに割り当てる前に、「ピングテスト」を行うことがあります。このテストでは、DHCPサーバーが割り当てる予定のIPアドレス宛にICMP Echo(一般に「ピング」と呼ばれる)を送信し、応答があるかどうかを確認します。もし応答があった場合、そのIPアドレスは既に他のデバイスが使用している可能性があると判断し、別のIPアドレスを割り当てます。

これらの手法により、DHCPはIPアドレスの重複割り当てを防ぎ、ネットワークの安定運用を支えます。

DHCP環境で行われる攻撃手法の例

DHCPはネットワーク上のデバイスが通信を行うための重要なプロトコルですが、その一方で、悪意ある攻撃者からの標的となり得ます。以下に攻撃手法の一例をあげて説明します。

DHCPスプーフィング (DHCP Spoofing)

DHCPスプーフィングとは、攻撃者が偽のDHCPサーバーを立て、ネットワーク内のクライアントに対して偽のIPアドレスを割り当てることで、トラフィックを自身にリダイレクトさせたりする攻撃手法です。英語表現の"DHCP Spoofing"は直訳すると"DHCPの偽装"となります。

この攻撃によって脅かされるのはネットワーク内の通信の秘匿と完全性です。攻撃者は偽のDHCPサーバーを通じ通信を捻じ曲げ、ユーザーの通信内容を傍受したり、通信を改ざんしたり、フィッシングサイトなどに誘導させたりします。

対策としては、ネットワーク上に存在するDHCPサーバーと、その正当性を常に把握することが大事です。この時、DHCPスヌーピング(DHCP snooping)というセキュリティ技術を使うと効果的です。この機能に対応するスイッチがDHCPサーバーからのレスポンスを検査し、信頼できるDHCPサーバーからのレスポンスのみを許可(通過)させます。

DHCPスターベーション (DHCP Starvation)

DHCPスターベーションは、偽のDHCPクライアントから大量の払出し要求を送出しすることで、正規のDHCPサーバーが管理する全てのIPアドレスを埋め尽くします。その結果、正当なクライアントがIPアドレスを取得できなくなる攻撃手法です。"DHCP Starvation"は直訳すると"DHCPの飢餓"となります。

この攻撃によって、ネットワークに新たに接続しようとするデバイスはIPアドレスを取得できず、ネットワークサービスが利用できなくなる可能性があります。これはサービス拒否(DoS)攻撃の一形態と考えることができます。

また、正規のDHCPサーバーを沈黙させ、偽のDHCPサーバー(後述の、ローグDHCPサーバー)からの払出しに誘導させやすくします。

対策としては、一つのクライアントが要求できるIPアドレスの数を制限したり、特定のMACアドレスからの異常な要求を検出するシステムを設けたりすることが考えられます。

ローグDHCPサーバーアタック (Rogue DHCP Server Attack)

ローグDHCPサーバーアタックは、攻撃者がネットワーク上に不正なDHCPサーバーを設置し、クライアントに対して偽のネットワーク設定を配布する攻撃手法です。"Rogue"は直訳すると"ならず者"または"不正"を意味します。

この攻撃によって、クライアントは攻撃者がコントロールするネットワークに接続することになり、通信内容が傍受されたり、フィッシングサイトやマルウェアに感染する危険なサイトへ誘導されたりする可能性があります。

対策としては、ネットワーク内で稼働するDHCPサーバーを管理し、不正なDHCPサーバーが動作していないか定期的にチェックすることが有効です。また、既述のDHCPスヌーピングを用いて、信頼できるDHCPサーバーからの応答のみを許可することも一つの方法です。

これらの例から明らかなように、DHCPは多くの脅威にさらされています。そのため、DHCPを適切に保護し、それを攻撃する可能性のある脅威からネットワークを守ることは、情報セキュリティを確保する上で極めて重要です。

DHCPサーバーの重要性

一般家庭のネット回線はほとんどの場合、動的IPアドレスが使われます。一方、社内LANでは従来、固定IPアドレスを使用するのが主流でした。WEBサーバーを設置したり、クラウドサービスへのアクセス制限をしたりすることができますし、リモートアクセスやVPN通信をする際にも固定IPアドレスのほうが適していたからです。

しかし、近年ではオフィス環境でもノートPCを使う機会が増え、スマホやタブレットなど業務用モバイル機器も多く使われるようになり、より柔軟なネットワーク環境を整備する必要性が出てきました。そのため企業も動的IPアドレスに移行する、あるいは固定IPアドレスと動的IPアドレスを併用するケースが増えています。

ネットワークの運用コストを低減してくれる便利なDHCPですが、もしサーバーに不調があった場合、IPが適切に割り当てられなくなり、ネットワークが利用できなくなるなどの問題が発生してしまいます。また、セキュリティ面でも十分な対策が必要です。信頼性の高いネットワーク環境を必要とする企業環境では、DHCPサーバーにはより高い機能が求められます。大量のさまざまな機器にIPを割り振ることができる性能や、ワイヤレスアクセスにもワイヤードアクセスにも対応できる柔軟さなどです。

既存のルーターやWindowsサーバーに付属しているDHCP機能だけでは、こうした環境に対応するのが難しく、負荷にも耐えられない可能性があります。

そこで例えば、「NetAttest D3」のようなDHCPとDNSサービスを提供するアプライアンス製品も登場しています。NetAttest D3は、万一の障害時にもDHCPサービスを止めずに迅速な復旧が可能な機能などを持つ、法人向けの高速DHCPサーバーです。


DHCP/DNSサーバーアプライアンス NetAttest D3 | ネットワークソリューション | ソリトンシステムズ

NetAttest D3(ディースリー)はDHCPサーバー、DNSサーバー、DynamicDNSサーバーの機能を搭載したアプライアンス製品です。D3はMACアドレスに基づいたIPアドレス割当て制御によって不正PCの接続を防止するなど、セキュリティ面を強化したDHCP/DNSサーバーです。

soliton.co.jp

og_img

DHCPは普段あまり意識されることがない技術ですが、とくに企業内で利用する場合には非常に大きな役割を担うことになります。DHCPについて理解し、適切な環境を構築しましょう。

まとめ

これまで様々な視点から解説してきました。DHCPとは、ネットワークに接続したデバイスに対して、IPアドレスなどのネットワーク情報を動的に割り当てるためのプロトコルです。

DHCPの成り立ちは、手動でのIPアドレスの管理から自動化を目指す中で生まれました。DHCPはその後、時代とともに標準化され、IPv6のサポートなどの改良を経て現在の形に至りました。

その機能にはDHCPサーバー、DHCPクライアント、そしてDHCPリレーエージェントという3つの主要な要素が関わっており、これらは一連の通信シーケンスを経てIPアドレスを割り当てます。そして、割り当てられたIPアドレスは「リース」と呼ばれる期間によって管理され、一定の期間が過ぎると更新や変更が行われます。

しかし、ネットワーク環境や時間の経過、そしてネットワークへの接続形式によっては、クライアントのIPアドレスが変わることもあります。その際、IPアドレスが他のデバイスと重複しないようにするための工夫や、固定的にIPアドレスを割り当てたい場合の設定方法なども確認しました。

また、DHCPの提供形態はさまざまで、汎用サーバーに導入するソフトウェア形式から、ネットワーク製品の付随機能、専用のアプリアンス製品まで、それぞれの利用シーンや要件によって選択できます。

DHCPはネットワーク環境の自動化と効率化に欠かせない重要な技術です。その理解と適切な利用は、安定したネットワーク環境を構築し、運用する上で非常に重要となります。このコラムを通じて、DHCPの基礎的な知識と深い理解を得られたことを願います。

ご参考


【ウェビナー】企業ネットワークの必須要件 ~重要インフラの信頼性を高めてくれるNWサービスを運用する方法~ | ネットアテスト

netattest.com

og_img


記事を書いた人

ソリトンシステムズ・マーケティングチーム