top of page
ネットワーク構成図

Azure ネットワーク設計
― 可用性・セキュリティ・説明責任を見据えたネットワーク構成 ―

Azure におけるネットワーク設計は、
「つながるか」だけでなく、「説明できるか」「将来も守れるか」 が問われます。

山崎行政書士事務所では、
Azure Virtual Network(VNet)を基盤に、
Application Gateway(WAF)、Azure Firewall、NSG、VPN/ExpressRoute までを含めた
実運用と監査を見据えたネットワーク設計 を支援しています。

NSG
Vnet

 

 

Azure ネットワーク構成の全体像

以下は、当事務所でよく採用される ハブ&スポーク型ネットワーク構成 の一例です。

  • Azure Virtual Network(VNet)/Subnet 分割

  • Application Gateway(WAF)

  • Azure Firewall

  • Network Security Group(NSG)

  • VPN Gateway / ExpressRoute Gateway

  • オンプレミス環境との接続

※ 構成は組織規模・業種・規制要件により最適化します。

 
設計の考え方(はじめに)

Azure ネットワーク設計では、次の点を重視しています。

  • 将来拡張を見据えた IP アドレス設計

  • 入口(L7)・出口(L3/4/7)・内部通信の役割分離

  • Microsoft が定める非サポート構成を避ける設計順序

  • インシデント時に「なぜそうなったか」を説明できる構成

単に動く構成ではなく、
「運用・監査・説明責任まで含めた設計」 を前提にしています。

 
VNet/IP アドレス設計
CIDR 設計の基本

  • VNet 全体には、将来の拡張を見越した十分なアドレス空間を確保
    (例:10.0.0.0/16)

  • オンプレミスや他 VNet との アドレス重複は厳禁

  • サブネット追加・スケールアウトを前提に余裕を持たせます

 
サブネット設計(用途別分離)

用途ごとにサブネットを分離し、最小権限 を徹底します。

  • Application Gateway Subnet(専用)

  • Azure Firewall Subnet(専用)

  • GatewaySubnet(VPN/ExpressRoute 用)

  • Web / App / Data Subnet

  • 管理用(Bastion/Jumpbox)Subnet

※ 一部のサブネットは 名称・サイズが仕様上固定 されており、
 初期設計での見落としが後戻り不能になるケースもあります。

 

Application Gateway(WAF)設計のポイント

Application Gateway は、
Azure ネットワークの「入口」を担う最重要コンポーネント です。

  • 専用サブネット必須(他リソースの混在不可)

  • NSG/UDR に厳しい制約があるため、設計順序が重要

  • 本番環境では WAF を Prevention モード で運用

  • 証明書は Key Vault 連携を推奨

誤った NSG や UDR 設定により
正常性が Unknown になる、通信が不安定になる 事例も少なくありません。

 

Azure Firewall による出口制御

Azure Firewall は、
アウトバウンド通信の集約と制御 を担います。

  • ハブ VNet に集約配置

  • URL/FQDN/カテゴリ制御

  • IDPS・TLS 検査(Premium)

  • Spoke からの通信を UDR で明示的に集約

NAT Gateway との併用や優先順位を誤ると、
意図せず Firewall をバイパスする構成 になるため、
有効ルートでの検証を前提に設計します。

 

オンプレミス接続(VPN / ExpressRoute)

  • GatewaySubnet への NSG/UDR は非サポート

  • ハブ&スポーク構成でゲートウェイを集約

  • BGP 既定ルートの取り扱いに注意

特に ExpressRoute 環境では、
AppGW や Firewall の管理通信が遮断されない設計 が重要です。

 

ログ・監視・説明責任

ネットワークは「見えない」と事故が起きます。

  • Virtual Network Flow Logs

  • Application Gateway(WAF)ログ

  • Azure Firewall ログ

  • Log Analytics/Microsoft Sentinel で集約

通信を「後から説明できる」こと が、
インシデント対応・監査対応の質を大きく左右します。

 

よくある設計ミス(抜粋)

  • AppGW サブネットに 0.0.0.0/0 の UDR を適用している

  • GatewaySubnet に NSG を付与している

  • Firewall サブネットに NSG を設定している

  • NAT Gateway と Firewall の優先順位を誤認している

  • NSG Flow Logs の廃止動向を把握していない

「動いているから大丈夫」では済まないポイント です。

 

山崎行政書士事務所の支援スタンス

当事務所では、
Azure ネットワークを 技術だけでなく「責任構造」から設計 します。

  • SIer/運用ベンダーとの設計整理

  • 非サポート構成・責任空白の洗い出し

  • 監査・説明資料を前提とした設計レビュー

  • 契約・委託関係も含めた構成整理

「設計した人がいなくなっても説明できる Azure」
それが、私たちの目指すネットワーク設計です。

 

ご相談について

  • Azure ネットワーク設計のレビュー

  • 既存構成のリスク整理

  • AppGW/Firewall 導入検討

  • オンプレ接続・グローバル構成の整理

技術と法務の両面から、
静かに、確実に整える支援 を行っています。

Application Gateway
bottom of page