Azure VPN Gateway は、VNet とオンプレ環境または別 VNet を IPsec/IKE トンネル経由で接続する暗号化 VPN サービスです。 ExpressRoute (専用線) より敷居が低く、コスト安・展開速い・SLA 99.9-99.95% の特徴で、中小規模ハイブリッド接続から本番ミッションクリティカルまで幅広く活用されます。 本記事では、VPN Gateway の SKU 選定・接続タイプ・BGP・Active-Active 構成・運用ベストプラクティスを網羅的に整理します。
| タイプ | 対象 | 適用シーン | プロトコル |
|---|---|---|---|
| Site-to-Site (S2S) | オンプレネットワーク | 本番ハイブリッド環境 | IKEv1 / IKEv2 |
| Point-to-Site (P2S) | 個別 PC | リモートワーク・出張先管理 | IKEv2 / OpenVPN / SSTP |
| VNet-to-VNet | 別 Azure VNet | マルチリージョン接続 | IPsec |
本番運用では S2S (オフィス → Azure) + P2S (リモート PC → Azure) の組み合わせが標準パターンです。
| SKU | S2S 帯域 | トンネル数 | 月額 | 用途 |
|---|---|---|---|---|
| Basic (廃止予定) | 100 Mbps | 10 | 1 万円 | 新規利用なし |
| VpnGw1 | 650 Mbps | 30 | 1.5 万円 | 開発・小規模 |
| VpnGw2 | 1 Gbps | 30 | 4 万円 | 中規模本番 |
| VpnGw3 | 1.25 Gbps | 30 | 10 万円 | 大規模本番 |
| VpnGw4 | 5 Gbps | 100 | 18 万円 | 多拠点・高帯域 |
| VpnGw5 | 10 Gbps | 100 | 35 万円 | エンタープライズ |
AZ Suffix (VpnGw1AZ など) は Zone Redundant 対応、コスト約 30% 増加で SLA 99.95% (非 AZ は 99.9%)。 新規本番環境は VpnGw2AZ 以上推奨。
BGP (Border Gateway Protocol) を有効化すると、オンプレと Azure 間のルーティングを動的交換、Static Route 管理が不要になります。本番環境ではBGP 必須レベルです。
BGP 有効化にはオンプレ VPN 機器側の BGP サポートも必要。Cisco・Juniper・Fortinet・SonicWall・Sophos などの主要ベンダはほぼ対応。
| 項目 | Active-Standby | Active-Active |
|---|---|---|
| 動作 | 1 アクティブ + 1 Standby | 両方同時アクティブ |
| Public IP | 1 つ | 2 つ |
| 最大帯域 | SKU 上限 | SKU 上限 × 2 |
| SLA | 99.9% (99.95% with AZ) | 99.95% (99.99% with AZ) |
| Failover | あり (切り替え時間あり) | 瞬時 (両方稼働) |
本番ミッションクリティカルは Active-Active 推奨。設定: Azure Portal の Gateway 設定で『Active-active mode』Enable + 2 つ目の Public IP 追加。 オンプレファイアウォールも 2 つのトンネル受け入れに対応必要 (Cisco ASA・Fortinet FortiGate の場合は ECMP Routing 設定)。
| プロトコル | 対応 OS | 特徴 |
|---|---|---|
| IKEv2 (Native VPN) | Windows / Mac / Linux | OS 標準クライアント |
| OpenVPN | Windows / Mac / Linux / iOS / Android | SSL/TLS、Firewall 越えやすい |
| SSTP | Windows のみ | SSL/TLS、レガシー |
Microsoft Entra ID 認証 + OpenVPN + Conditional Access の組み合わせが現代的な P2S 構成のベストプラクティスです。
同一 VNet に VPN Gateway と ExpressRoute Gateway を共存可能 (Coexistence 構成)。
VPN Gateway とは?
Azure VPN Gateway は、VNet とオンプレ環境または別 VNet を IPsec/IKE トンネル経由で接続する暗号化 VPN サービス。Site-to-Site (S2S、オンプレ → Azure)・Point-to-Site (P2S、個別 PC → Azure)・VNet-to-VNet (Azure VNet 間) の 3 タイプ。コスト安・展開速い (数時間)・SLA 99.9-99.95% の特徴で、ExpressRoute (専用線) より敷居が低い。SKU は VpnGw1-5・VpnGw1AZ-5AZ (Zone Redundant 対応)・Basic (廃止予定)。展開時は GatewaySubnet (/27 以上必須・Azure 予約名) に Gateway を配置、Public IP と Local Network Gateway リソースが必要です。
SKU 選定 (VpnGw1-5) の基準は?
S2S 帯域とトンネル数で選定: VpnGw1 (650 Mbps・30 トンネル・月 1.5 万円)・VpnGw2 (1 Gbps・30 トンネル・月 4 万円)・VpnGw3 (1.25 Gbps・30 トンネル・月 10 万円)・VpnGw4 (5 Gbps・100 トンネル・月 18 万円)・VpnGw5 (10 Gbps・100 トンネル・月 35 万円)。AZ Suffix (VpnGw1AZ など) は Zone Redundant 対応、コスト約 30% 増加で SLA 99.95% (非 AZ は 99.9%)。新規本番環境は VpnGw2AZ 以上推奨、Basic SKU は機能制約多 (BGP 非対応・Static Routing のみ) で廃止予定のため新規利用なし。中規模オンプレ拠点接続 (1-3 拠点・帯域 1 Gbps 以下) なら VpnGw2 で十分、グローバル多拠点なら VpnGw4-5 や Virtual WAN への移行を検討。
Site-to-Site と Point-to-Site の違いは?
Site-to-Site (S2S): オンプレネットワーク全体 (CIDR 単位) を Azure VNet に接続、オンプレファイアウォール/VPN 機器とトンネル確立、IKEv1/IKEv2 サポート。常時接続、複数拠点対応 (Multi-Site)、本番ハイブリッド環境向け。Point-to-Site (P2S): 個別 PC (Windows・Mac・Linux) を Azure VNet に接続、ユーザーが VPN クライアントで個別接続、IKEv2 (Native VPN)・OpenVPN (SSL/TLS)・SSTP (Windows Only) プロトコル対応。リモートワーク・出張先からの管理アクセス向け。両者は併用可能で、本番運用では S2S (オフィス → Azure) + P2S (リモート PC → Azure) の組み合わせが標準パターンです。
Azure Virtual Network Gateway と Azure VPN Gateway の関係は?
用語の混乱が多い領域です。Virtual Network Gateway は Azure 上の VPN/ExpressRoute ゲートウェイリソースの総称で、Type プロパティで VPN または ExpressRoute を選択。VPN Type の Virtual Network Gateway を一般的に『VPN Gateway』と呼びます。一方、VPN Gateway のリソース種別は Microsoft.Network/virtualNetworkGateways で、Bicep/ARM テンプレートでは両者共通。混同しないポイントは: 同一 VNet に VPN Gateway と ExpressRoute Gateway を共存可能 (Coexistence 構成)、ただし両方が同じ GatewaySubnet を共有する必要あり (/27 では狭い、/26 推奨)。Azure Virtual WAN を使う場合は Virtual Hub 内に統合された Gateway を使うため、独立 VPN Gateway は不要です。
BGP は使うべきですか?
強く推奨。BGP (Border Gateway Protocol) を有効化すると、オンプレと Azure 間のルーティングを動的交換、Static Route 管理が不要に。本番環境では BGP 必須レベル。ASN (Autonomous System Number) を割り当て (Azure 側: 65515 デフォルト・オンプレ側: 65010 など、Private ASN 64512-65534 から選定)、Local Network Gateway で BGP Peer 設定。利点: 1) オンプレネットワーク追加時に Azure 側設定不要、2) 複数拠点接続でルート広告自動化、3) Failover シナリオで自動経路切り替え。注意: Basic SKU は BGP 非対応、VpnGw1 以上が必要。BGP 有効化には オンプレ VPN 機器側の BGP サポートも必要で、Cisco・Juniper・Fortinet・SonicWall・Sophos などの主要ベンダはほぼ対応しています。
Active-Active vs Active-Standby の違いは?
Active-Standby (デフォルト): 2 つの Gateway インスタンスのうち 1 つがアクティブ、1 つが Standby、Failover 時に切り替え。SLA 99.9-99.95%。Active-Active: 両方のインスタンスが同時アクティブ、2 つのトンネルでロードバランシング、最大帯域 2 倍・SLA 99.95-99.99%、両方の Public IP に別々の Tunnel 確立。本番ミッションクリティカルは Active-Active 推奨。設定: Azure Portal の Gateway 設定で『Active-active mode』Enable + 2 つ目の Public IP 追加。オンプレファイアウォールも 2 つのトンネル受け入れに対応必要 (Cisco ASA・Fortinet FortiGate の場合は ECMP Routing 設定)。コスト増加は Public IP 1 つ分のみで、可用性向上の費用対効果は高い構成です。
VPN Gateway の運用ベストプラクティスは?
重要な施策: 1) 本番は Active-Active + BGP の組み合わせ、2) Zone Redundant SKU (VpnGw1AZ-5AZ) で AZ 障害対応、3) GatewaySubnet は /26 推奨 (将来の ExpressRoute Coexistence や FastPath 対応のため)、4) Public IP は Standard SKU 必須 (Basic は Zone 非対応)、5) Diagnostic Logs を Log Analytics に送信して KQL 監視、6) Azure Monitor for VPN Gateway で Tunnel Health 監視、7) Connection Status の定期チェック (Connected / NotConnected の頻度確認)、8) IKE Policy のカスタマイズ (デフォルトは緩いため、AES-256 + SHA-256 強化)、9) 事前共有キー (PSK) のローテーション、10) オンプレ機器のファームウェア最新化。本番運用ではこれらの組み合わせが標準で、可用性とセキュリティを両立します。
関連認定試験は?
AZ-700 (Network Engineer Associate) で VPN Gateway が深く問われ、SKU 選定・S2S/P2S/VNet-to-VNet・BGP・Active-Active・トラブルシューティングが頻出。AZ-104 (Administrator) のドメイン 4 で基礎、AZ-305 (Solutions Architect Expert) でアーキテクト視点での選定 (VPN vs ExpressRoute)、AZ-800 / AZ-801 (Windows Server Hybrid) でハイブリッドネットワーク文脈、SC-100 (Cybersecurity Architect Expert) でゼロトラストネットワーク。Azure ネットワークエンジニアにとって VPN Gateway は ExpressRoute と並ぶハイブリッド接続の中核技術です。
関連記事・技術深掘り
Azure ExpressRoute 完全ガイド|専用線接続の設計・実装・運用ベストプラクティス【2026 年版】
Azure ExpressRoute の完全ガイド。VPN Gateway との違い、Circuit と Connection の階層構造、Local / Standard / Premium SKU 選定、Global Reach・ExpressRoute Direct・FastPath、MACsec / IPsec over ExpressRoute による暗号化、導入手順とコスト、関連認定試験 (AZ-700 / AZ-305) を日本語で網羅。
AZ-700 完全ガイド|Microsoft Azure Network Engineer Associate 出題範囲・学習リソース・合格戦略
Microsoft Certified: Azure Network Engineer Associate (AZ-700) の完全ガイド。5 ドメインの出題範囲、VNet / VPN Gateway / ExpressRoute / Azure Firewall / Application Gateway / Front Door / Private Link を網羅。必須実機演習、3-4 ヶ月の合格ロードマップ、AZ-305 や SC-500 へのキャリアパスを日本語で網羅。
Azure Application Gateway vs Front Door 完全比較|L7 ロードバランサーの選定ガイド【2026 年版】
Azure の L7 ロードバランサー Application Gateway と Front Door を完全比較。リージョン vs グローバル・WAF 機能・SKU 選定 (Standard / Premium)・コスト・適用シーンを表形式で整理。両方組み合わせる多層構成、Traffic Manager / Azure CDN との関係、関連認定試験 (AZ-700 / AZ-305) を日本語で網羅。
Azure Policy 完全ガイド|Effect・Built-in/Custom・Initiative・Remediation・コンプライアンス【2026 年版】
Azure Policy の完全ガイド。Effect 7 種類 (Deny/Audit/Modify/DeployIfNotExists/Append/AuditIfNotExists/Disabled) の使い分け、Built-in vs Custom Policy、Initiative (Policy Set)、Assignment Scope、Remediation、Microsoft Cloud Security Benchmark コンプライアンス活用、関連認定試験 (AZ-104 / SC-100 / AZ-305) を日本語で網羅。
本記事の技術情報は Azure VPN Gateway Documentation に基づいています。 本記事は Microsoft Corporation の公式商品ではなく、いかなる提携・後援関係もありません。 Microsoft、Azure は Microsoft group of companies の商標です。 情報は 2026 年 5 月 24 日時点の公式公開資料に基づきます。最新情報は必ず公式ページをご確認ください。
NicheeLab編集部
データエンジニアリング・クラウド資格の専門家。Databricks・Snowflake等の認定資格を保有し、実務経験に基づいた問題作成・解説を行っています。NicheeLab運営。
AZ-900 完全ガイド|Microsoft Azure Fundamentals 出題範囲・学習リソース・合格戦略
Microsoft Azure Fundamentals (AZ-900) の 2026 年 1 月 14 日改訂版に対...
Azure 認定資格ロードマップ 2026 完全版|全 26 試験の体系と大型再編 (AI-901/AI-103/SC-500)
Microsoft Azure 認定資格 全 26 試験 (現行 23 + 退役 3) の 2026 年版ロードマップ。...
AI-901 完全ガイド|Azure AI Fundamentals 新試験
Microsoft Certified: Azure AI Fundamentals (AI-901) の出題範囲・Mi...
Microsoft Entra ID 入門|旧 Azure AD から学ぶ ID 管理 (AZ-900/SC-900/AZ-104 必須知識)
Microsoft Entra ID (旧 Azure Active Directory) の入門解説。2023 年 7...
DP-900 完全ガイド|Azure Data Fundamentals 出題範囲・学習リソース・合格戦略
Microsoft Azure Data Fundamentals (DP-900) の完全ガイド。4 ドメインの出題範...