Azure の PaaS サービス (Storage Account・SQL Database・Cosmos DB・Key Vault など) を VNet 内のリソースから安全にアクセスするためのパターンには Private Endpoint と Service Endpoint の 2 つがあります。 本記事では、両者の動作原理・コスト・セキュリティ特性・適用シーンを比較し、近年のベストプラクティスとなった Private Endpoint の正しい使い方を整理します。
| 項目 | Service Endpoint | Private Endpoint |
|---|---|---|
| 分類 | VNet からの送信トラフィック制御 | PaaS を VNet 内に Private IP として配置 |
| Public エンドポイント | 残る (FW で VNet 経由のみ許可) | Disable 可能 (完全 Private 化) |
| IP 種類 | PaaS は Public IP のまま | Private IP (VNet 内アドレス) |
| 料金 | 無料 | 0.01 USD/h ≈ 月 700 円 + データ転送 |
| 名前解決 | 標準 Public DNS | Private DNS Zone 必須 |
| オンプレからの利用 | 不可 (VNet 内からのみ) | 可 (VPN/ExpressRoute 経由) |
| NSG 適用 | 適用可 | 適用可 (Network Policy 有効化必要) |
| コンプライアンス | 限定的 | 強い (データ非露出) |
| 推奨度 (2026 年) | 低 (レガシーシナリオ) | 高 (ベストプラクティス) |
Service Endpoint は、VNet 内の Subnet から特定の Azure PaaS サービスへの送信トラフィックを、Azure バックボーン経由でルーティングする機能。PaaS サービス側では、ファイアウォールルールで『特定 VNet 経由のトラフィックのみ許可』と設定することで、PaaS の Public エンドポイントは残しつつ実質的なネットワーク分離を実現します。
Private Endpoint は、Azure PaaS サービスをVNet 内に Private IP として配置する機能。PaaS サービスが VNet のメンバーになる仕組みで、内部的には Microsoft が運用する Private Link Service を経由して PaaS リソースに接続されます。
Private Endpoint の名前解決は、専用の Private DNS Zone を使って実現します。サービスごとに決まったゾーン名があります。
| サービス | Private DNS Zone 名 |
|---|---|
| Storage (Blob) | privatelink.blob.core.windows.net |
| Storage (File) | privatelink.file.core.windows.net |
| Storage (Data Lake Gen2) | privatelink.dfs.core.windows.net |
| Azure SQL Database | privatelink.database.windows.net |
| Cosmos DB (NoSQL) | privatelink.documents.azure.com |
| Key Vault | privatelink.vaultcore.azure.net |
| App Service | privatelink.azurewebsites.net |
| Container Registry | privatelink.azurecr.io |
| Azure AI Search | privatelink.search.windows.net |
Private Endpoint 作成時に『Integrate with private DNS zone』オプションを Yes にすると、対応する Private DNS Zone が自動作成・VNet リンク・A レコード登録されます。複数 VNet で同じ Private DNS Zone を共有する場合は Hub VNet に集約配置する設計が標準です。
オンプレ環境から Private Endpoint にアクセスする場合、DNS 解決の経路を構成する必要があります。
Private Endpoint への NSG 適用は、2021 年から段階的にサポート開始 (現在は全 GA リージョンで利用可能)。
2026 年現在、Azure の主要 PaaS サービスのほぼすべてが Private Endpoint 対応です。
2026 年の新規プロジェクトでの選定指針:
Private Endpoint と Service Endpoint の違いは?
Service Endpoint は『VNet から PaaS サービスへの送信トラフィックを Azure バックボーン経由にする』機能で、PaaS サービスは Public エンドポイントを保持したまま VNet 経由のアクセスのみ許可するファイアウォールルール。Private Endpoint は『PaaS サービスを VNet 内に Private IP として配置する』機能で、PaaS サービスが VNet のメンバーになる仕組み。Service Endpoint は無料・シンプル・PaaS の Public エンドポイントは残る。Private Endpoint は有料 (約 0.01 USD/h・約 700 円/月 + データ転送)・Private IP 化・Public エンドポイントを Disable 可能。近年は Private Endpoint がベストプラクティスで、Service Endpoint はレガシーシナリオ向けという位置付けです。
なぜ Private Endpoint が推奨されるのですか?
セキュリティ・コンプライアンス・運用の 3 つの観点から Private Endpoint が優位だからです。1) セキュリティ: PaaS サービスを VNet 内の Private IP として完全分離、Public エンドポイントを Disable してインターネット露出ゼロに。2) コンプライアンス: GDPR・HIPAA・PCI DSS などで『データが組織のネットワークから出ない』ことを証明可能。3) 運用: オンプレからのアクセスも VPN/ExpressRoute 経由で Private Endpoint に直接到達、ハイブリッド環境でシームレス。Microsoft も Private Endpoint を推奨しており、新規プロジェクトでは Private Endpoint をデフォルト選択にするのが業界標準です。
Private Endpoint の名前解決はどうなりますか?
Private Endpoint を作成すると、対応する Azure サービスの Public DNS 名 (例: <strong>mystorageaccount.blob.core.windows.net</strong>) が Private IP に解決される必要があります。これを実現するのが Private DNS Zone (例: <strong>privatelink.blob.core.windows.net</strong>) で、Private Endpoint 作成時に自動構成可能。VNet と Private DNS Zone をリンクすることで、VNet 内の DNS クエリは Private Endpoint の Private IP に解決されます。オンプレからのアクセスは、オンプレ DNS サーバーで Conditional Forwarder を Azure DNS (168.63.129.16) に設定 + Azure DNS Private Resolver の Inbound Endpoint 経由で Private DNS Zone を解決する構成が標準パターンです。
どの Azure サービスが Private Endpoint に対応していますか?
2026 年現在、Azure の主要 PaaS サービスのほぼすべてが Private Endpoint 対応。代表例: Azure Storage (Blob / File / Queue / Table / Data Lake)・Azure SQL DB・Azure SQL Managed Instance・Cosmos DB・Key Vault・Azure App Service (App Service Plan)・Azure Functions・Azure Container Registry・Azure AI Search・Azure Synapse Analytics・Azure Data Factory・Microsoft Purview・Azure Backup・Azure Site Recovery・Azure Event Hub・Azure Service Bus・Azure Cache for Redis・Azure App Configuration・Azure Monitor (Private Link Scope)・Azure Machine Learning・Azure OpenAI・Microsoft Fabric。Microsoft はほぼすべての新規 PaaS サービスを Private Endpoint 対応として GA させており、Private Endpoint 対応有無の事前確認は必須です。
Private Endpoint と NSG / Firewall の関係は?
Private Endpoint への NSG 適用は、2021 年から段階的にサポート開始 (現在は全 GA リージョンで利用可能)。Subnet レベルで NSG を適用することで、Private Endpoint へのトラフィックも IP / Port / Protocol ベースで制御可能。Azure Firewall を経由してアクセスログを取りたい場合は、Hub VNet の Firewall を経由するルーティング設計 (UDR で Private Endpoint への Next Hop を Firewall に向ける) が必要。Application Gateway や Front Door 経由で Private Endpoint にアクセスする場合は、Private Link Service による組み合わせも可能で、近年のゼロトラスト設計で重要なパターンです。
Private Endpoint の制約は?
主な制約: 1) Private Endpoint は VNet 内に Private IP を占有 (1 サービスあたり 1-3 IP)、IP アドレス計画に影響。2) ある Subnet に Private Endpoint を配置すると、その Subnet の NSG / UDR 動作の一部に特殊ルールが適用される。3) Subnet で Network Policy (Private Endpoint Network Policies) を有効化しないと NSG / UDR が Private Endpoint に適用されない (デフォルト無効、明示的に有効化必要)。4) Private Endpoint は一度作成すると別 Subnet への移動不可、削除→再作成が必要。5) サービスによっては『接続要求の承認』ワークフローがあり、PaaS リソースオーナーの承認を待つ必要 (Manual Approval 設定の場合)。6) コスト: 0.01 USD/h × 730h ≈ 月 700 円 + データ転送料。多数の Private Endpoint を作る場合は累積コストに注意。
Service Endpoint はいつ使うべきですか?
Service Endpoint がまだ有効なシナリオ: 1) コスト最小化が最優先 (Private Endpoint の月 700 円 × サービス数を避けたい)、2) PaaS サービスの Public エンドポイント残しが許容できる (ファイアウォールで VNet 経由のみ許可)、3) Private Endpoint 未対応のレガシーサービス、4) 既存 Service Endpoint 構成の保守。新規プロジェクトでセキュリティ・コンプライアンス要件が厳しい場合は Private Endpoint 一択ですが、コスト重視の中小規模プロジェクトでは Service Endpoint も依然として有効な選択肢です。Microsoft 自身も Service Endpoint を廃止予定とは公表しておらず、両者は並行運用が続きます。
関連認定試験は?
AZ-700 (Network Engineer Associate) で Private Endpoint と Service Endpoint が深く問われ、設計判断・名前解決・NSG 統合などのトピックが頻出。AZ-104 (Administrator) のドメイン 4 で基礎概念、AZ-305 (Solutions Architect Expert) でアーキテクト視点での選定、SC-300 (Identity Admin) で ID 統合シナリオ、DP-300 (DBA) で SQL DB / MI への Private Endpoint 適用、SC-100 (Cybersecurity Architect Expert) でゼロトラストネットワーク設計の文脈。Azure を扱うエンジニアにとって Private Endpoint / Service Endpoint の理解は必須スキルです。
関連記事・技術深掘り
Azure DNS / Private DNS Zones / Private Resolver 完全ガイド|ハイブリッド DNS 設計【2026 年版】
Azure DNS (Public)・Private DNS Zones・Azure DNS Private Resolver の完全ガイド。3 サービスの使い分け、Private Endpoint との統合、Conditional Forwarding、オンプレからの解決パターン、DNSSEC、設計の落とし穴、関連認定試験 (AZ-700 / AZ-305) を日本語で網羅。
Azure Managed Identity vs Service Principal 完全比較|認証パターンの選定と実装ベストプラクティス【2026 年版】
Azure の認証エンティティ Managed Identity と Service Principal を完全比較。System-assigned / User-assigned の使い分け、Client Secret vs Certificate vs Workload Identity Federation の選定、AKS Workload Identity、Azure サービス対応状況、関連認定試験 (SC-300 / AZ-204 / AZ-400) を日本語で網羅。実装パターン集付き。
Azure Architect キャリアロードマップ|AZ-900 → AZ-305 → SC-100 シニアアーキテクトへの道【2026 年版】
Azure Solutions Architect になるための認定取得ロードマップ完全版。AZ-900 → AZ-104 → AZ-305 の王道ルート、AZ-400 / SC-100 / AZ-700 との二刀流 / 三刀流戦略、マルチクラウド対応 (AWS / GCP)、未経験から 7-12 ヶ月の学習プラン、年収レンジまで日本語で網羅。
Azure セキュリティエンジニア キャリアロードマップ|SC-900 → SC-200/300/400 → SC-100 シニアへの道【2026 年版】
Azure セキュリティエンジニアになるための認定取得ロードマップ完全版。SC-900 → SC-200/300/400 のいずれか → SC-100 / SC-500 の王道ルート、ロール別の優先順序、CISSP との二刀流戦略、SC-500 (旧 AZ-500 後継、2026-09 GA 予定) の動向、10-15 ヶ月の学習プラン、年収レンジまで日本語で網羅。
本記事の技術情報は Azure Private Link Documentation に基づいています。 本記事は Microsoft Corporation の公式商品ではなく、いかなる提携・後援関係もありません。 Microsoft、Azure は Microsoft group of companies の商標です。 情報は 2026 年 5 月 24 日時点の公式公開資料に基づきます。最新情報は必ず公式ページをご確認ください。
NicheeLab編集部
データエンジニアリング・クラウド資格の専門家。Databricks・Snowflake等の認定資格を保有し、実務経験に基づいた問題作成・解説を行っています。NicheeLab運営。
AZ-900 完全ガイド|Microsoft Azure Fundamentals 出題範囲・学習リソース・合格戦略
Microsoft Azure Fundamentals (AZ-900) の 2026 年 1 月 14 日改訂版に対...
Azure 認定資格ロードマップ 2026 完全版|全 26 試験の体系と大型再編 (AI-901/AI-103/SC-500)
Microsoft Azure 認定資格 全 26 試験 (現行 23 + 退役 3) の 2026 年版ロードマップ。...
AI-901 完全ガイド|Azure AI Fundamentals 新試験
Microsoft Certified: Azure AI Fundamentals (AI-901) の出題範囲・Mi...
Microsoft Entra ID 入門|旧 Azure AD から学ぶ ID 管理 (AZ-900/SC-900/AZ-104 必須知識)
Microsoft Entra ID (旧 Azure Active Directory) の入門解説。2023 年 7...
DP-900 完全ガイド|Azure Data Fundamentals 出題範囲・学習リソース・合格戦略
Microsoft Azure Data Fundamentals (DP-900) の完全ガイド。4 ドメインの出題範...