Azure

AZ-700 完全ガイド｜Microsoft Azure Network Engineer Associate 出題範囲・学習リソース・合格戦略

2026-05-24

NicheeLab編集部

Microsoft Certified: Azure Network Engineer Associate (AZ-700) は、Azure ネットワークの設計・実装・運用を専門とするエンジニア向けの Associate 認定です。 AZ-104 (Administrator) のネットワークドメインをさらに深掘りした内容で、VNet・VPN Gateway・ExpressRoute・Azure Firewall・Application Gateway・Front Door・Private Link といったネットワーク系サービス全般が出題対象。ネットワークエンジニア・SE・クラウドアーキテクトのネットワーク専門認定として確固たるポジションを持ち、日本国内のクラウドネットワーク求人で AZ-104 とセットで強く評価される 1 本です。本記事では、5 ドメインの出題範囲、必須実機演習、合格ロードマップ、合格後のキャリア展開を整理します。

AZ-700 の特徴はマルチプロトコル・マルチ層の幅広いカバレッジ。 L3 (Routing)・L4 (Load Balancer / NSG)・L7 (Application Gateway / Front Door / WAF) のすべての層と、IPsec VPN・BGP・MACsec・TLS といった複数プロトコルを横断的に問います。オンプレネットワークエンジニアからクラウドネットワーク領域への移行を考えている人にとって、知識を体系的に再構築する絶好の機会となる試験です。

AZ-700 の試験基本仕様

AZ-700 の試験仕様は Associate ティア共通です。100 分・40 ~ 60 問、合格点 700 / 1000、165 USD / 21,103 円、12 ヶ月有効 (renewal で更新可)。 Pearson VUE 経由で OnVUE オンラインまたはテストセンターで受験可能、日本語含む多言語対応。試験形式はネットワーク図を読んでトラフィックフローを答える問題、構成順序を並べるドラッグ&ドロップ問題が頻出します。

ドメイン 1: コアネットワーキングインフラ (20-25%)

Azure ネットワークの基盤となる VNet 設計を扱います。中心は VNet の CIDR 設計、Subnet 分割と Subnet Delegation (App Service や AKS 用)、Routing (System Route と User Defined Route [UDR]、Route Table 設定)、VNet Peering (リージョン内 / Global、Gateway Transit、Use Remote Gateways)、Service Endpoint による PaaS サービスへの最適化アクセス。本ドメインで最頻出なのが UDR の優先順位。System Route < User Defined Route < BGP Route という優先順位、そして「Subnet 単位で Route Table を割り当てる」というシンプルな原則が問われます。

ドメイン 2: ハイブリッドネットワーキング (20-25%)

オンプレと Azure の接続を扱うドメインで、AZ-700 の最も重要な領域の 1 つです。中心は VPN Gateway (Site-to-Site で拠点間接続、Point-to-Site でクライアント VPN、Active-Active や Zone Redundant 構成)、ExpressRoute (専用線、Circuit / Private Peering / Microsoft Peering の 3 層)、Virtual WAN (大規模 SD-WAN ハブアンドスポーク)。

重要なポイントは ExpressRoute は標準で暗号化されない (MACsec オプションは別途) こと。「専用線なので安全」というイメージから VPN Gateway と取り違える受験者が多いですが、機密データを ExpressRoute で送る場合はアプリケーション層 (TLS) または IPsec オーバーレイが必要、というのが正しい設計判断です。加えて ExpressRoute Global Reach によるオンプレ拠点間接続、FastPath による Gateway バイパスといった高度機能も出題範囲。

ドメイン 3: ルーティングとロードバランシング (20-25%)

Azure 上の Layer 4 / Layer 7 ロードバランサーを扱うドメイン。中心は Azure Load Balancer (L4、内部 / パブリック)、Application Gateway v2 (L7、URL ベースルーティング、SSL Offload、WAF v2 統合)、Azure Front Door (グローバル L7 CDN + WAF、Premium SKU で Private Link 対応)、Traffic Manager (DNS ベースの GLB)。

ロードバランサーの使い分けは頻出。「リージョン内の VM 群への分散は Load Balancer または Application Gateway、グローバル分散は Front Door または Traffic Manager」というシンプルな軸を押さえれば対応可能。 WAF (Web Application Firewall) は Application Gateway v2 と Front Door Premium の両方で利用可能、OWASP Top 10 / Bot Protection / Custom Rules といった共通機能を持ちます。

ドメイン 4: ネットワークセキュリティ (15-20%)

Azure ネットワークのセキュリティ機能を扱うドメイン。中心は Azure Firewall (Standard / Premium、Application Rule / Network Rule / NAT Rule の 3 種のルール)、DDoS Protection (Network Tier / IP Tier)、Network Security Group (NSG) と Application Security Group (ASG)、Azure Bastion (踏み台 SSH/RDP のマネージドサービス)。

Azure Firewall と NSG の使い分けは頻出ポイント。NSG は L4 のシンプルな ACL (送信元 IP / ポート / プロトコルベース)、Azure Firewall は L7 まで含むステートフルファイアウォール (FQDN ベースのフィルタリング、Threat Intelligence、TLS Inspection [Premium] など)。この棲み分けと、両方を併用する設計パターン (Hub VNet に Firewall、Spoke VNet に NSG) が問われます。

ドメイン 5: Private Access (15-20%)

Azure PaaS サービスへのプライベートアクセスを実現する機能を扱うドメイン。中心は Private Endpoint (Storage Account・SQL Database・Key Vault などに VNet 内のプライベート IP でアクセス)、Private Link Service (自社 PaaS サービスを他テナントから Private Endpoint 経由でアクセス可能にする)、Service Endpoint (旧来の VNet → PaaS 最適化アクセス、現在は Private Endpoint が推奨)。

本ドメインで頻出するのが Service Endpoint と Private Endpoint の使い分け。 Service Endpoint はトラフィックを Azure Backbone 経由にするだけ (Public IP のまま)、Private Endpoint は本当にプライベート IP を割り当てる。新規設計では Private Endpoint が原則推奨で、Service Endpoint はレガシー扱いに移行しつつあります。 Private Endpoint の DNS 設定 (Private DNS Zone との連携) も頻出。

3-4 ヶ月の合格ロードマップ

AZ-104 取得済み + ネットワーク実務経験ありを想定した 3 ヶ月プランです。Month 1: Microsoft Learn の AZ-700 学習パス (Core Networking + Hybrid) を消化、VNet Peering・VPN Gateway の実機構築。Month 2: Routing/Load Balancing と Network Security ドメインを学習、Application Gateway WAF v2 と Azure Firewall の実機演習。Month 3: Private Access ドメインと総仕上げ。Storage Account の Private Endpoint 構築、Private DNS Zone との連携を試す。公式 Practice Assessment 80% 反復で受験準備完了。ネットワーク未経験者はこれに 1-2 ヶ月追加、特に BGP やルーティング理論の補強が必要です。

AZ-700 の次に何を目指すか

AZ-700 は専門認定なので、合格後の展開は方向性が分かれます。ネットワーク純粋路線: Cisco CCNP・Juniper JNCIP・F5 LTM などのハードウェアベンダー資格と組み合わせて、純粋なネットワーク専門エンジニア路線。Azure アーキテクト路線: AZ-305 (Solutions Architect Expert) で Architect ティアへ。ネットワーク設計力を活かしたソリューションアーキテクトロール。セキュリティ路線: SC-200 / SC-300 や SC-500 (AZ-500 後継、2026 年 8 月 GA) でネットワークセキュリティ専門路線。マルチクラウドネットワーク路線: AWS Advanced Networking Specialty や GCP PCNE を併取し「マルチクラウドネットワーク戦略を語れる」希少人材へ。年収 1,000 万円超の上級アーキテクト職への階段になります。

よくある質問

AZ-700 はどんな試験ですか?

Microsoft Certified: Azure Network Engineer Associate (AZ-700) は、Azure ネットワークの設計・実装・運用を専門とするエンジニア向けの Associate 認定です。100 分・40-60 問・165 USD・700/1000 点合格・12 ヶ月有効・日本語含む多言語対応。VNet・VPN Gateway・ExpressRoute・Azure Firewall・Front Door・Application Gateway・Private Link といったネットワーク系サービス全般を深く問う設計で、AZ-104 のネットワークドメインをさらに深掘りした内容。ネットワークエンジニア・SE・クラウドアーキテクトのネットワーク専門認定として確固たるポジションを持ちます。

AZ-104 と AZ-700 はどちらを先に受けるべき?

AZ-104 を先に取るのが標準です。AZ-700 は AZ-104 のネットワーク領域をさらに深掘りした試験で、AZ-104 で学ぶ VNet / Subnet / NSG / VPN Gateway の基礎知識を前提として進めるため、AZ-104 経由の方が学習効率が高くなります。すでにオンプレネットワークエンジニアの経験がある人は AZ-104 を飛ばして AZ-700 から入ることも可能ですが、Azure 全体の構造 (Subscription / Resource Group など) の理解は別途必要なので、最低でも AZ-900 は併取しておくのが推奨されます。

出題ドメインと配点は?

5 ドメイン構成です。Core networking インフラストラクチャの設計・実装・管理 (20-25%) で VNet・Subnet・Routing・VNet Peering。Hybrid networking の設計・実装・管理 (20-25%) で VPN Gateway (Site-to-Site / Point-to-Site)・ExpressRoute・Virtual WAN。Routing・Load Balancing の設計・実装・管理 (20-25%) で Azure Load Balancer・Application Gateway (WAF v2)・Traffic Manager・Front Door (Premium)。Security の設計・実装・管理 (15-20%) で Azure Firewall・DDoS Protection・Network Security Group。Private Access to Azure Services の設計・実装・管理 (15-20%) で Private Endpoint・Private Link・Service Endpoint。

実機演習で必須なものは?

最低限の演習サイクル: 1) 2 つの VNet を作り Peering で接続、トラフィックフローを確認。2) Point-to-Site VPN を構成し自宅 PC から Azure VM に SSH/RDP 接続。3) Azure Firewall を立ててルール 5 種を設定 (Application Rule / Network Rule / NAT Rule)。4) Application Gateway WAF v2 を構成し HTTPS リスナーと URL ベースルーティングをセットアップ。5) Storage Account に Private Endpoint を作り Private Link 経由で接続。Azure 新規登録で 200 USD 無料クレジット範囲内で完了可能ですが、ExpressRoute は実費が高いので公式ドキュメントとシミュレータで補完するのが現実的です。

ExpressRoute は実機で試せないけど大丈夫?

問題ありません。ExpressRoute は専用線契約が必要で個人では試せませんが、本試験では概念理解とポータル上の設定画面の理解で答えられる問題がほとんどです。重要なのは: 1) ExpressRoute は MACsec オプション以外は標準で暗号化されないこと (VPN Gateway との重要な差異)、2) Circuit / Peering / Gateway の 3 層構造、3) Private Peering と Microsoft Peering の使い分け、4) FastPath による Gateway バイパス、5) ExpressRoute Global Reach によるオンプレ間接続。Microsoft Learn の AZ-700 学習パスに ExpressRoute 模擬画面が含まれているため、それで十分対応可能です。

学習時間と合格ロードマップは?

AZ-104 取得済み + ネットワーク実務経験ありで 80-120 時間、AZ-104 取得済み開発者寄りで 120-180 時間、ネットワーク未経験で 200 時間以上というのが日本人体験記の平均レンジ。3-4 ヶ月の集中学習が標準。Microsoft Learn の AZ-700 学習パス (約 50 時間)、公式 Practice Assessment、ハンズオン演習を組み合わせるのが王道。VNet Peering・VPN Gateway・Firewall・Application Gateway・Private Endpoint の最低 5 サービスは実機で 1 度は構築しておくのが必須です。

受験料と支払い方法は?

165 USD / 21,103 円(税込)、Pearson VUE 経由のクレジットカード払いが標準です。AZ-700 を含む Microsoft 公式コース完走特典のバウチャー、Microsoft Reactor のネットワーク特化ハンズオンイベント、企業契約の Microsoft Azure Pass などで割引・無料取得が可能。AZ-104 + AZ-700 のセットでネットワークエンジニア転職を狙うなら、合計 42,000 円弱の投資で年収 100-200 万円アップの転職を実現する事例も多く、ROI は極めて高いです。

AZ-700 の次に取るべき認定は?

ネットワーク方向を深めるならハードウェアベンダー資格 (Cisco CCNP・Juniper JNCIP・F5 LTM) と組み合わせて純粋なネットワーク専門エンジニア路線へ。Azure アーキテクトを志すなら AZ-305 (Solutions Architect Expert) で Architect ティアへ。セキュリティと組み合わせるなら SC-200 / SC-300 や SC-500 (AZ-500 後継、2026 年 8 月 GA) でネットワークセキュリティ専門路線。マルチクラウドネットワーク戦略を語れる人材になるには、AWS Advanced Networking Specialty や GCP PCNE を併取するのが究極のキャリア構築です。