Azure の大規模ネットワーク設計には 2 つの代表的なアーキテクチャパターンがあります。Hub-Spoke (DIY 型) と Virtual WAN (マネージド型) で、両者は設計思想・コスト・運用負荷・適用シーンが大きく異なります。 本記事では、両者の構成・選定基準・移行戦略を多角的に比較し、自社環境での最適パターンを判断する材料を提供します。
| 項目 | Hub-Spoke | Virtual WAN |
|---|---|---|
| 分類 | 自前構築 (DIY) | マネージド SD-WAN |
| Hub の数 | 1-3 個 (中-小規模向け) | 多リージョン対応 (10+ Hub) |
| ブランチ接続 | 個別 VPN/ExpressRoute | SD-WAN 統合 (Branch Connect) |
| セキュリティ | Azure Firewall / NVA を Hub に配置 | Secured Virtual Hub に統合 |
| 柔軟性 | 高 (フルカスタマイズ) | 中 (Microsoft マネージドの制約) |
| 運用負荷 | 高 (Peering 管理・ルーティング設計) | 低 (自動メッシュ・Routing Intent) |
| NVA 対応 | あらゆる NVA (Palo Alto・Check Point・Cisco) | 対応 SaaS Firewall のみ |
| コスト (中規模) | 月 15-25 万円 | 月 15-30 万円 |
| 推奨規模 | Branch 1-10・リージョン 1-3 | Branch 10+・リージョン 5+ |
Hub-Spoke は『中央の Hub VNet + 複数の Spoke VNet』の論理構成で、エンタープライズ Azure 環境の標準パターンとして広く採用されています。
Virtual WAN は Microsoft マネージドのSD-WAN サービスで、世界中の Microsoft バックボーンを活用した自動メッシュ構成を提供します。
Secured Virtual Hub は、Virtual WAN の Virtual Hub に Azure Firewall または互換 SaaS Firewall (Check Point Cloud Guard・Palo Alto Cloud NGFW など) を統合した構成。 Virtual Hub 自体がファイアウォール機能を持ち、Spoke VNet 間トラフィック・Branch-to-Cloud トラフィック・Cloud-to-Internet トラフィックを横断的にフィルタリング可能。
Azure Firewall Manager 経由でセキュリティポリシーを集中管理でき、エンタープライズスケールでのセキュリティ統制を効率化。Virtual WAN の最大の差別化機能の 1 つで、Azure Firewall を組織横断で適用したい場合の標準パターンです。
簡易判断フロー:
判断に迷う場合は、まず Hub-Spoke で始めて成長に応じて Virtual WAN 移行を検討するのが現実的なアプローチです。
既存 Hub-Spoke から Virtual WAN への移行は可能ですが、計画的な移行が必要です。基本的な手順:
重要な注意点として、Virtual WAN への移行は事前検証で 1-2 ヶ月の PoC を推奨。Microsoft 提供の移行ガイドと、Azure サポートチケットでの相談が安全です。
実際のコストは規模によって大きく変動しますが、参考レンジは以下の通りです (1 リージョン構成、Standard SKU 想定)。
| 項目 | Hub-Spoke | Virtual WAN |
|---|---|---|
| Hub / Virtual Hub | VNet 自体は無料 | 0.25 USD/h ≈ 月 27,000 円 |
| Routing Infrastructure Unit (RIU) | - | 0.25 USD/h/RIU (1 RIU から開始、自動スケール) |
| Azure Firewall (Standard) | 1.25 USD/h ≈ 月 13.5 万円 | 同左 (Secured Hub 内) |
| VPN Gateway (VpnGw2) | 0.36 USD/h ≈ 月 3.9 万円 | S2S VPN: 0.05 USD/h × 接続数 |
| ExpressRoute Gateway | Standard: 0.43 USD/h ≈ 月 4.6 万円 | ER: 0.05 USD/h × 接続数 |
| VNet Peering / Connection | 0.01 USD/GB (同リージョン) | VNet Connection: 0.005 USD/h × 接続数 + データ転送 |
| 1 リージョン中規模 計 | 月 15-25 万円 | 月 15-30 万円 |
基本的にコスト差は小さく、規模が大きくなると Virtual WAN のほうがスケール経済が効きやすい傾向。10 Branch 以上で Virtual WAN がコスト面でも優位になることが多いです。
Hub-Spoke と Virtual WAN の知識を体系的に学ぶには Microsoft 認定が最も効率的です。
詳細は Azure ネットワークエンジニア キャリアロードマップ を参照してください。
Hub-Spoke と Virtual WAN は何が違いますか?
Hub-Spoke は自分で VNet と Azure Firewall / VPN Gateway を組み合わせて構築する『カスタムアーキテクチャ』、Virtual WAN は Microsoft マネージドの『SD-WAN サービス』。Hub-Spoke は柔軟性が高くカスタマイズ自由だが、設計と運用の負荷が高い。Virtual WAN は世界中の Microsoft バックボーンを活用した自動メッシュ構成で、ブランチオフィスとクラウドの大規模接続が容易、ただし Azure Firewall などのマネージド機能を Virtual WAN Hub 内に統合する設計に縛られる。中-小規模 (Hub 1-3 個) なら Hub-Spoke、グローバル多拠点 (Branch 10+) なら Virtual WAN が推奨です。
Hub-Spoke はどんな構成ですか?
Hub-Spoke は『中央の Hub VNet + 複数の Spoke VNet』の論理構成。Hub VNet には共有サービス (Azure Firewall・VPN Gateway・ExpressRoute Gateway・DNS Server・Bastion) を配置し、Spoke VNet (Dev / Stage / Prod や事業部別) は Hub と VNet Peering で接続。Spoke 同士の通信は Hub の Azure Firewall を経由 (Spoke-to-Spoke transit ルーティング)、オンプレ通信も Hub の VPN/ExpressRoute Gateway を経由します。中央集約による統制と Spoke の独立性を両立する設計で、エンタープライズ Azure 環境の標準パターンとして広く採用されています。
Virtual WAN はどんなときに使うべきですか?
Virtual WAN は以下のケースで威力を発揮: 1) グローバル多拠点 (10+ ブランチオフィス) を Azure に接続するハブとして、2) 既存 SD-WAN ベンダ (Cisco Meraki・VMware Velocloud・Silver Peak など) との統合接続、3) 多リージョン (5+ 領域) で Azure Firewall / ExpressRoute を統合管理、4) Site-to-Site VPN / Point-to-Site VPN / ExpressRoute / Branch-to-Branch をすべて 1 つのサービスで管理したい、5) Azure Firewall Manager 経由でセキュリティポリシーを横断管理。逆に、Hub 1-3 個の中-小規模なら Hub-Spoke のほうがコスト・柔軟性で優位。
Hub-Spoke から Virtual WAN への移行は可能ですか?
可能ですが、計画的な移行が必要です。基本的な手順は: 1) Virtual WAN を新規作成し Virtual Hub を構成、2) Azure Firewall を Virtual Hub 内に Secured Hub として再展開、3) 既存 Spoke VNet を Virtual Hub に Connect (VNet Peering の置き換え、ダウンタイム最小)、4) 既存 Hub-Spoke の VPN/ExpressRoute Gateway を Virtual Hub の Gateway に置き換え、5) ルーティング動作を Virtual Hub の Routing Intent でカスタマイズ、6) 旧 Hub VNet を削除。重要な注意点として、Virtual WAN への移行は事前検証で 1-2 ヶ月の PoC を推奨。Microsoft 提供の移行ガイドと、Azure サポートチケットでの相談が安全です。
コスト比較は?
Hub-Spoke: Azure Firewall (Standard) 月額約 12 万円 + Gateway 月額数万円 + Peering 課金。総額月 15-25 万円程度から。Virtual WAN: Virtual Hub 月額 0.25 USD/h × 730h = 約 27,000 円 + Routing Infrastructure Unit 0.25 USD/h/RIU + Connection 課金 (S2S VPN 0.05 USD/h・ExpressRoute 0.05 USD/h・VNet 0.005 USD/h) + Azure Firewall (Standard を Virtual Hub 内で使う場合) 月額約 12 万円。総額月 15-30 万円程度から。基本的にコスト差は小さく、規模が大きくなると Virtual WAN のほうがスケール経済が効きやすい傾向。10 Branch 以上で Virtual WAN がコスト面でも優位になることが多いです。
Secured Virtual Hub って何ですか?
Secured Virtual Hub は、Virtual WAN の Virtual Hub に Azure Firewall または互換 SaaS Firewall (Check Point Cloud Guard・Palo Alto Cloud NGFW など) を統合した構成。これにより Virtual Hub 自体がファイアウォール機能を持ち、Spoke VNet 間トラフィック・Branch-to-Cloud トラフィック・Cloud-to-Internet トラフィックを横断的にフィルタリング可能。Azure Firewall Manager 経由でセキュリティポリシーを集中管理でき、エンタープライズスケールでのセキュリティ統制を効率化。Virtual WAN の最大の差別化機能の 1 つで、Azure Firewall を組織横断で適用したい場合の標準パターンです。
選定フローチャートは?
簡易判断フロー: 1) ブランチオフィスが何拠点ある? → 10+ なら Virtual WAN、3 以下なら Hub-Spoke。2) リージョンは何個? → 5+ なら Virtual WAN、3 以下なら Hub-Spoke。3) 既存 SD-WAN ベンダがある? → ある場合は Virtual WAN (CPE 統合)、ない場合は Hub-Spoke も可。4) 高度な NVA (Palo Alto・Check Point) を Hub に置きたい? → ある場合は Hub-Spoke (Virtual WAN は対応 SaaS Firewall のみ)、ない場合は Virtual WAN OK。5) 全社で Azure Firewall を統一適用したい? → どちらも対応可能だが Virtual WAN の Firewall Manager 統合が便利。判断に迷う場合は、まず Hub-Spoke で始めて成長に応じて Virtual WAN 移行を検討するのが現実的です。
関連認定試験は?
AZ-700 (Network Engineer Associate) で Hub-Spoke と Virtual WAN の両方が深く問われ、設計判断問題が頻出。AZ-305 (Solutions Architect Expert) のドメイン 4 でアーキテクト視点での選定判断、AZ-104 (Administrator) のドメイン 4 で VNet Peering 基礎。Azure ネットワークエンジニアの王道ルート (AZ-900 → AZ-104 → AZ-700 → AZ-305) を進めれば、Hub-Spoke / Virtual WAN の理解は段階的に深まります。
関連記事・技術深掘り
Azure Application Gateway vs Front Door 完全比較|L7 ロードバランサーの選定ガイド【2026 年版】
Azure の L7 ロードバランサー Application Gateway と Front Door を完全比較。リージョン vs グローバル・WAF 機能・SKU 選定 (Standard / Premium)・コスト・適用シーンを表形式で整理。両方組み合わせる多層構成、Traffic Manager / Azure CDN との関係、関連認定試験 (AZ-700 / AZ-305) を日本語で網羅。
Azure ネットワークエンジニア キャリアロードマップ|AZ-104 → AZ-700 → シニアネットワークアーキテクトへの道【2026 年版】
Azure ネットワークエンジニアになるための認定取得ロードマップ完全版。AZ-900 → AZ-104 → AZ-700 の王道ルート、Hub-Spoke / Virtual WAN / ExpressRoute / Azure Firewall / Front Door の実装、Cisco CCNP / AWS Advanced Networking との二刀流、9-12 ヶ月の学習プラン、年収レンジまで日本語で網羅。
AZ-104 vs AZ-204 完全比較|Microsoft Azure Administrator vs Developer Associate の違いと選び方【2026 年版】
Microsoft Azure の 2 大 Associate 認定 AZ-104 (Administrator) と AZ-204 (Developer) を完全比較。対象ロール・出題範囲・難易度・学習時間・受験料・キャリアパスを表形式で整理。AZ-204 2026 年 7 月リタイア後の判断材料、両方取る価値、次の認定への進路まで日本語で網羅。
Azure Architect キャリアロードマップ|AZ-900 → AZ-305 → SC-100 シニアアーキテクトへの道【2026 年版】
Azure Solutions Architect になるための認定取得ロードマップ完全版。AZ-900 → AZ-104 → AZ-305 の王道ルート、AZ-400 / SC-100 / AZ-700 との二刀流 / 三刀流戦略、マルチクラウド対応 (AWS / GCP)、未経験から 7-12 ヶ月の学習プラン、年収レンジまで日本語で網羅。
本記事の技術情報は Azure Virtual WAN Documentation およびHub-Spoke Reference Architecture に基づいています。 本記事は Microsoft Corporation の公式商品ではなく、いかなる提携・後援関係もありません。 Microsoft、Azure は Microsoft group of companies の商標です。 情報は 2026 年 5 月 24 日時点の公式公開資料に基づきます。最新情報は必ず公式ページをご確認ください。
NicheeLab編集部
データエンジニアリング・クラウド資格の専門家。Databricks・Snowflake等の認定資格を保有し、実務経験に基づいた問題作成・解説を行っています。NicheeLab運営。
AZ-900 完全ガイド|Microsoft Azure Fundamentals 出題範囲・学習リソース・合格戦略
Microsoft Azure Fundamentals (AZ-900) の 2026 年 1 月 14 日改訂版に対...
Azure 認定資格ロードマップ 2026 完全版|全 26 試験の体系と大型再編 (AI-901/AI-103/SC-500)
Microsoft Azure 認定資格 全 26 試験 (現行 23 + 退役 3) の 2026 年版ロードマップ。...
AI-901 完全ガイド|Azure AI Fundamentals 新試験
Microsoft Certified: Azure AI Fundamentals (AI-901) の出題範囲・Mi...
Microsoft Entra ID 入門|旧 Azure AD から学ぶ ID 管理 (AZ-900/SC-900/AZ-104 必須知識)
Microsoft Entra ID (旧 Azure Active Directory) の入門解説。2023 年 7...
DP-900 完全ガイド|Azure Data Fundamentals 出題範囲・学習リソース・合格戦略
Microsoft Azure Data Fundamentals (DP-900) の完全ガイド。4 ドメインの出題範...