Azure ExpressRoute は、企業のオンプレネットワークと Azure を専用線で接続するサービスで、エンタープライズグレードの SLA・帯域・レイテンシを実現する Azure の根幹インフラ機能です。 本記事では、ExpressRoute の構成要素・SKU 選定・暗号化オプション・導入手順・コスト構造を、設計担当者が即実務に活用できる形で網羅的に整理します。
| 項目 | ExpressRoute | VPN Gateway |
|---|---|---|
| 接続方式 | キャリア経由の専用線 | インターネット経由 + IPsec |
| SLA | 99.95-99.99% | 99.9-99.95% |
| 帯域 | 50 Mbps-100 Gbps | 100 Mbps-10 Gbps |
| レイテンシ | 低 (固定ルート) | 中 (インターネット経由) |
| 暗号化 | 標準なし (MACsec/IPsec オプション) | 標準 (IPsec) |
| 展開速度 | 2-4 ヶ月 (キャリア手配) | 数時間 |
| 月額コスト | 数十万-数百万円 | 数千-数万円 |
| 推奨シーン | SLA / 帯域 / レイテンシ重視・大容量 | コスト重視・低帯域・小規模 |
ExpressRoute は Circuit → Peering → Connection の 3 階層構造を持ちます。
Standard SKU では 1 Circuit あたり最大 10 Connection、Premium SKU では 100 Connection まで対応します。
| 項目 | Local | Standard | Premium |
|---|---|---|---|
| 接続範囲 | 同一メトロエリア | 同一大陸内 (Geopolitical Region) | グローバル |
| 最大帯域 | 10 Gbps | 10 Gbps | 10 Gbps (Direct で 100 Gbps) |
| Connection 数 | 10 | 10 | 100 |
| Global Reach | 不可 | 不可 | 可 |
| Microsoft Peering | 同リージョンのみ | 同リージョンのみ | 全リージョン |
| 適用シーン | 小規模・同一都市 | 日本国内ワークロード | グローバル企業・DR 構成 |
日本国内ワークロードなら Standard で十分、グローバル企業や Disaster Recovery で異リージョン接続が必要なら Premium 必須です。
Global Reach は、2 つの ExpressRoute Circuit を Microsoft バックボーン経由で相互接続する機能です。
例: 東京オフィスと東京 Azure を ExpressRoute で接続、ロンドンオフィスとロンドン Azure を別 ExpressRoute で接続、両者を Global Reach で繋ぐと、東京オフィスとロンドンオフィス間が Microsoft バックボーン経由で高速通信可能に。 従来のキャリア専用線 (例: 各拠点間の IP-VPN) の代替として、Microsoft バックボーンを WAN として活用する構成。 Premium SKU + Global Reach 課金 (月数万円) で利用可能、多拠点企業のグローバル WAN コスト削減ソリューションとして注目されています。
通常 ExpressRoute はサービスプロバイダ (NTT Communications・SoftBank・KDDI・Equinix・Megaport など) を介してキャリア回線経由で Microsoft Edge に接続。ExpressRoute Direct は、Microsoft Edge ルーターのポート (10 Gbps または 100 Gbps) を顧客が直接購入し、自社所有の専用線で Microsoft に直結する構成。
サービスプロバイダを介さず、超大容量 (100 Gbps × 2 = 200 Gbps) と Layer 2 アクセスを実現。料金は高額 (月数百万-1,000 万円以上) で、超大規模エンタープライズ (金融機関・大手 SI のコアシステム) や、サービスプロバイダ自身が使う構成。 MACsec 暗号化は ExpressRoute Direct でのみ利用可能です。
ExpressRoute は標準では暗号化されません。専用線接続のため『物理的に分離されているから暗号化不要』という考え方が伝統的でしたが、近年のゼロトラストアプローチでは暗号化が推奨されます。
コンプライアンス要件 (GDPR・HIPAA・PCI DSS) で End-to-End 暗号化が必須の場合は IPsec over ExpressRoute が定番パターンです。
標準的な導入手順は以下の通り、全工程で 2-4 ヶ月かかります。
ExpressRoute のコストは以下の要素から構成されます (1 Circuit・1 Gbps・Standard SKU・東京リージョン参考)。
| 項目 | 月額 | 備考 |
|---|---|---|
| Azure ExpressRoute Circuit (Metered) | 約 4-5 万円 | 1 Gbps Standard、データ転送従量課金 |
| Azure ExpressRoute Circuit (Unlimited) | 約 25-30 万円 | 1 Gbps Standard、データ転送無料 |
| キャリア回線費 (NTT Com 等) | 5-30 万円 | サービスプロバイダにより異なる |
| ExpressRoute Gateway (Standard) | 約 4.6 万円 | 1 Gbps 用 |
| ExpressRoute Gateway (UltraPerformance) | 約 50 万円 | 10 Gbps 用 |
| Global Reach | 月数万円 | Premium SKU + Global Reach 追加 |
| 標準構成 計 | 月 15-50 万円 | 初期費用 100 万円から |
本番環境では ExpressRoute の高可用性設計が必須です。
ExpressRoute 関連知識を体系的に学ぶには Microsoft 認定が最も効率的です。
詳細は Azure ネットワークエンジニア キャリアロードマップ を参照してください。
ExpressRoute と VPN Gateway の違いは?
ExpressRoute は<strong>専用線接続</strong> (キャリア経由) で、インターネットを経由せず Microsoft バックボーンに直接接続する仕組み。SLA 99.95-99.99%、帯域 50 Mbps-100 Gbps、低レイテンシ、大容量データ転送対応。料金は高め (月数十万-数百万円)。VPN Gateway はインターネット経由の IPsec 暗号化トンネル接続で、SLA 99.9-99.95%、帯域 100 Mbps-10 Gbps、コスト安、展開速い。判断軸: コストと展開速度重視 → VPN Gateway、SLA / 帯域 / レイテンシ重視 → ExpressRoute。両者を組み合わせて ExpressRoute をプライマリ + VPN をバックアップ (Failover) する高可用構成も標準パターンです。
ExpressRoute は標準で暗号化されますか?
標準では暗号化されません。専用線接続のため『物理的に分離されているから暗号化不要』という考え方が伝統的でしたが、近年のゼロトラストアプローチでは暗号化が推奨されます。Azure では以下のオプションで暗号化可能: 1) MACsec (Media Access Control Security): ExpressRoute Direct のみ対応、L2 レイヤ暗号化、2) IPsec over ExpressRoute: VPN Gateway を ExpressRoute 上に重ね、ExpressRoute Private Peering の上で IPsec トンネルを構成、3) Customer-managed encryption: アプリケーションレイヤで暗号化 (HTTPS / TLS)。コンプライアンス要件 (GDPR・HIPAA・PCI DSS) で End-to-End 暗号化が必須の場合は IPsec over ExpressRoute が定番パターンです。
ExpressRoute Circuit と Connection の関係は?
ExpressRoute Circuit はキャリアと契約する『物理回線』を Azure 上で表現するリソース。1 つの Circuit はサービスプロバイダ・帯域・SKU (Local / Standard / Premium)・課金タイプ (Metered / Unlimited) を持つ。Connection は『Circuit と VNet を接続するリソース』で、1 つの Circuit に複数の Connection (複数 VNet 接続) が可能 (Standard SKU: 10 接続まで、Premium SKU: 100 接続まで)。Peering 設定 (Private Peering: VNet 接続用・Microsoft Peering: Microsoft 365 / Azure PaaS 接続用) を Circuit 内で構成し、その上で Connection を作成する 3 階層構造です。
Local / Standard / Premium SKU の違いは?
Local SKU: 同一メトロエリア (例: 東京と大阪は別) の限定的な接続、最大 10 Gbps、コスト最安。Standard SKU: 同一大陸内 (Geopolitical Region) で接続可能 (日本国内は同一)、最大 10 Gbps、Connection 数 10。Premium SKU: グローバル接続可能 (リージョン跨ぎ・大陸跨ぎ)、最大 10 Gbps (ExpressRoute Direct なら 100 Gbps)、Connection 数 100、Microsoft Peering で複数 Azure リージョン接続、Global Reach 利用可。日本国内ワークロードなら Standard で十分、グローバル企業や Disaster Recovery で異リージョン接続が必要なら Premium 必須です。
ExpressRoute Global Reach って何ですか?
Global Reach は、2 つの ExpressRoute Circuit を Microsoft バックボーン経由で相互接続する機能。例: 東京オフィスと東京 Azure を ExpressRoute で接続、ロンドンオフィスとロンドン Azure を別 ExpressRoute で接続、両者を Global Reach で繋ぐと、東京オフィスとロンドンオフィス間が Microsoft バックボーン経由で高速通信可能に。従来のキャリア専用線 (例: 各拠点間の IP-VPN) の代替として、Microsoft バックボーンを WAN として活用する構成。Premium SKU + Global Reach 課金 (月数万円) で利用可能、多拠点企業のグローバル WAN コスト削減ソリューションとして注目されています。
ExpressRoute Direct と通常 ExpressRoute の違いは?
通常 ExpressRoute はサービスプロバイダ (NTT Communications・SoftBank・KDDI・Equinix・Megaport など) を介してキャリア回線経由で Microsoft Edge に接続。ExpressRoute Direct は、Microsoft Edge ルーターのポート (10 Gbps または 100 Gbps) を顧客が直接購入し、自社所有の専用線で Microsoft に直結する構成。サービスプロバイダを介さず、超大容量 (100 Gbps × 2 = 200 Gbps) と Layer 2 アクセスを実現。料金は高額 (月数百万-1,000 万円以上) で、超大規模エンタープライズ (金融機関・大手 SI のコアシステム) や、サービスプロバイダ自身が使う構成。MACsec 暗号化は ExpressRoute Direct でのみ利用可能です。
ExpressRoute の導入手順は?
標準的な導入手順: 1) サービスプロバイダ選定 (NTT Com・SoftBank・KDDI・Equinix・Megaport など、Azure リージョンと地理的に最も近い接続ポイントを選ぶ)、2) サービスプロバイダとキャリア回線契約 (リードタイム 4-12 週間、これが最大のボトルネック)、3) Azure Portal で ExpressRoute Circuit リソース作成 (Service Key 発行)、4) サービスプロバイダに Service Key を渡して回線開通、5) Circuit の Peering 設定 (Private Peering: VNet 接続・Microsoft Peering: M365 / Azure PaaS 接続)、6) ExpressRoute Gateway を Hub VNet の GatewaySubnet に展開、7) Circuit と Gateway を Connection で接続、8) ルーティング動作確認とフェイルオーバーテスト。全工程で 2-4 ヶ月、初期費用 100 万円から、月額数十万-数百万円の運用コストが標準です。
関連認定試験は?
AZ-700 (Network Engineer Associate) で ExpressRoute が深く問われ、Peering 設定・Routing・Connection・SKU 選定・FastPath などの設計判断が頻出。AZ-104 (Administrator) のドメイン 4 で ExpressRoute 基礎、AZ-305 (Solutions Architect Expert) でアーキテクト視点での選定 (VPN vs ExpressRoute vs Virtual WAN)。実務での ExpressRoute 設計力は、AZ-700 学習 + 実際のキャリア対応経験で身につくため、座学だけでは不十分。所属企業が ExpressRoute 案件を抱えているなら積極的に関与するのが最も効率的な学習法です。
関連記事・技術深掘り
Azure VPN Gateway 完全ガイド|SKU 選定・Site-to-Site/Point-to-Site・BGP・Active-Active【2026 年版】
Azure VPN Gateway の完全ガイド。SKU 選定 (VpnGw1-5)・Site-to-Site / Point-to-Site / VNet-to-VNet・BGP 動的ルーティング・Active-Active 高可用構成・Zone Redundant SKU・IKE Policy 強化・運用ベストプラクティス・関連認定試験 (AZ-700 / AZ-305) を日本語で網羅。
Azure NetApp Files (ANF) 完全ガイド|Service Level・Capacity Pool・SnapMirror・SAP HANA 認定【2026 年版】
Azure NetApp Files (ANF) の完全ガイド。Azure Files Premium との違い、Service Level (Standard/Premium/Ultra) 選定、Capacity Pool と Volume の階層構造、Snapshot・SnapMirror Cross-region Replication、Active Directory 統合、コスト最適化、関連認定試験 (AZ-104 / AZ-305 / AZ-120) を日本語で網羅。
Azure Application Gateway vs Front Door 完全比較|L7 ロードバランサーの選定ガイド【2026 年版】
Azure の L7 ロードバランサー Application Gateway と Front Door を完全比較。リージョン vs グローバル・WAF 機能・SKU 選定 (Standard / Premium)・コスト・適用シーンを表形式で整理。両方組み合わせる多層構成、Traffic Manager / Azure CDN との関係、関連認定試験 (AZ-700 / AZ-305) を日本語で網羅。
Azure Firewall 完全ガイド|Basic/Standard/Premium 選定・Rule 設計・Firewall Manager【2026 年版】
Azure Firewall の完全ガイド。Basic/Standard/Premium SKU 選定、Application Rule と Network Rule の使い分け、DNAT Rule、Firewall Manager と Firewall Policy、FQDN タグ、Forced Tunneling、NSG との使い分け、関連認定試験 (AZ-700 / SC-100) を日本語で網羅。
本記事の技術情報は Azure ExpressRoute Documentation に基づいています。 本記事は Microsoft Corporation の公式商品ではなく、いかなる提携・後援関係もありません。 Microsoft、Azure は Microsoft group of companies の商標です。 情報は 2026 年 5 月 24 日時点の公式公開資料に基づきます。最新情報は必ず公式ページをご確認ください。
NicheeLab編集部
データエンジニアリング・クラウド資格の専門家。Databricks・Snowflake等の認定資格を保有し、実務経験に基づいた問題作成・解説を行っています。NicheeLab運営。
AZ-900 完全ガイド|Microsoft Azure Fundamentals 出題範囲・学習リソース・合格戦略
Microsoft Azure Fundamentals (AZ-900) の 2026 年 1 月 14 日改訂版に対...
Azure 認定資格ロードマップ 2026 完全版|全 26 試験の体系と大型再編 (AI-901/AI-103/SC-500)
Microsoft Azure 認定資格 全 26 試験 (現行 23 + 退役 3) の 2026 年版ロードマップ。...
AI-901 完全ガイド|Azure AI Fundamentals 新試験
Microsoft Certified: Azure AI Fundamentals (AI-901) の出題範囲・Mi...
Microsoft Entra ID 入門|旧 Azure AD から学ぶ ID 管理 (AZ-900/SC-900/AZ-104 必須知識)
Microsoft Entra ID (旧 Azure Active Directory) の入門解説。2023 年 7...
DP-900 完全ガイド|Azure Data Fundamentals 出題範囲・学習リソース・合格戦略
Microsoft Azure Data Fundamentals (DP-900) の完全ガイド。4 ドメインの出題範...