【AZ-900試験対策&無料問題付き】Azureネットワーク基礎(VNet・NSG・VPNなど)を徹底解説
作成日: 2025年12月14日 / 更新日: 2025年12月14日
【AZ-900試験対策&無料問題付き】Azureネットワーク基礎(VNet・NSG・VPNなど)を徹底解説
Microsoft Azureの認定資格であるAZ-900(Microsoft Azure Fundamentals)の試験対策において、 「Azureのアーキテクチャとサービス」の分野(試験全体の35〜40%を占める)の理解は、合格のために不可欠です。 特に、クラウド環境の土台となるネットワークサービスについて問われることが多く、 Virtual Network (VNet)、Network Security Group (NSG)、VPN Gatewayなどの基礎概念を正確に把握しておく必要があります。
この記事では、AZ-900合格を目指す方が確実に押さえるべきAzureネットワークのコアコンポーネントを、 その機能と役割、そしてサービス間の違いに焦点を当てて徹底的に解説します。
目次
1. AZ-900試験対策の核となるネットワークサービス
AZ-900試験では、クラウドの概念、Azureのアーキテクチャとサービス、セキュリティ管理とガバナンスの3つの主要な範囲の知識が求められます。 ネットワークサービスは「Azureのアーキテクチャとサービス」の範囲に含まれ、以下の目的や概念を理解していることが重要です。
- Azure Virtual Network (VNet)
- Azure 仮想サブネット
- ピアリング
- Azure DNS
- Azure VPN Gateway
- ExpressRoute
これらのサービスは、クラウドにおけるリソースの接続性、セキュリティ、そしてハイブリッド環境の実現を担っています。
2. Azure Virtual Network (VNet):クラウドのプライベートネットワークの土台
Azure Virtual Network (VNet) は、Azure環境におけるプライベートネットワークの基本的な構成要素を提供するサービスです。 VNetを利用することで、仮想マシン (VM) などのAzureリソースは、互い、インターネット、そしてオンプレミスネットワークと安全に通信できるようになります。
VNetが提供する利点は、従来のデータセンターで使用されていたネットワークの概念を維持しつつ、 Azureインフラストラクチャのスケール、可用性、および分離の利点を提供することです。
VNetの主な機能と構成
- Azureリソース間の通信: VNet内にVM、Azure Kubernetes Service (AKS)、Azure Virtual Machine Scale SetsなどのAzureリソースをデプロイし、安全に通信させることができます。
- サブネットによる分割: VNetは、ユーザーのニーズに合わせて自由に構築でき、それを複数のサブネットに分割することが可能です。サブネットに分割することで、異なる用途やアクセスレベルを持つネットワークエリアを設定し、情報セキュリティと効率性を高めることができます。複数のサブネットを作成する場合、ネットワーク内での通信の混乱を防ぐため、それぞれ異なるアドレス範囲を持つように設定しなければなりません。
- ルーティング: Azure Virtual Networkでは、サブネット間のルーティングが自動的に行われます。ユーザーはカスタムルートを作成し、特定のトラフィックのルーティングをカスタマイズすることも可能です。
VNetの接続とコスト
VNetは基本的に単一リージョン内での利用に限定されており、異なるリージョン間での直接的なネットワーク接続はできません。 異なるリージョン間で接続が必要な場合は、Global VNet Peeringなどを検討する必要があります。
Azure Virtual Networkの利用自体は無料であり、コストはかかりません。ただし、仮想ネットワーク内で使用されるパブリックIPアドレスや、 VPN Gateway、Application Gatewayなどのネットワーク機器は課金対象となります。
3. Network Security Group (NSG):仮想ネットワークの門番
Network Security Group (NSG) は、Azureの仮想ネットワーク上でファイアウォールの役割を果たすサービスです。 NSGは、仮想ネットワーク内のAzureリソースが送受信するトラフィックを制御するために使用されます。
セキュリティ規則の仕組み
- 適用範囲: 作成したNSGは、仮想ネットワークのサブネット、または仮想マシンのNIC(ネットワークインターフェイス)のいずれか、または両方に関連付けて適用できます。ただし、予期しない問題が発生する可能性があるため、サブネットかNICのどちらか一方に関連付けることが推奨されます。
- セキュリティ規則: NSGではトラフィックを評価するためのルールを「セキュリティ規則」と呼び、受信(外部から内部へ)と送信(内部から外部へ)それぞれで設定できます。
- 規則のプロパティ: 規則には、ソース/宛先のIPアドレス、ポート範囲、プロトコル、アクション(許可または拒否)などを設定します。
- 優先度: 規則は優先度順に処理され、100~4096の数値で設定されます。数値が小さいほど優先順位が高くなり、トラフィックが規則に一致すると処理が停止するため、優先度の低い(数値が大きい)規則は処理されません。
- 既定の規則: NSGを作成すると既定のセキュリティ規則が設定されますが、これらは削除できません。ただし、カスタム規則を作成し、既定の規則よりも高い優先順位(小さい数値)を与えることで、オーバーライドできます。
NSGは無償で利用できます。
4. ハイブリッド接続:VPN GatewayとExpressRoute
オンプレミス環境や外部のクライアントをAzureに接続し、ハイブリッド環境を構築するためのサービスもAZ-900の学習において重要です。
Azure VPN Gateway
Azure VPN Gatewayは、パブリックネットワークを経由してAzureの仮想ネットワークとオンプレミスのトラフィックを暗号化し、安全性を確保するためのサービスです。
- サイト間 VPN (Site-to-Site / S2S): 仮想ネットワーク環境とオンプレミス環境を接続する構成です。IPsec/IKE VPNトンネルを経由して接続を確立し、ハイブリッド構成に対応できます。
- ポイント対サイト VPN (Point-to-Site / P2S): 個々のクライアントコンピュータからセキュリティが確保された状態でAzure上の仮想ネットワークに接続します。在宅勤務中など、社外から社内ネットワークにアクセスしたい場合に利用されます。
- VNet 間接続 (VNet-to-VNet): 異なる仮想ネットワーク同士を接続します。VPNゲートウェイを使用してIPsec/IKEを用いた安全性の高いネットワークを確保します。
VNetピアリングとの違い: VNetピアリングは、特定の条件を満たせば仮想ネットワークゲートウェイを使用せずにVNet間接続を確立でき、 トラフィックはパブリックインターネットを経由せずにMicrosoftのバックボーンネットワーク上に保持されます。
VPN Gatewayの料金は、基本的に利用時間に応じた課金体系を採用しており、データ転送コストも別途課金されます。
Azure ExpressRoute
ExpressRouteは、接続プロバイダーが提供するプライベート接続を経由して、オンプレミスのネットワークをMicrosoftクラウドに拡張する方法です。
- 特徴: ExpressRouteのトラフィックはパブリックインターネットを経由しません。このため、通常のサイト間VPN接続よりも高い安全性と安定的な通信を確保できるというメリットがあります。
- 共存接続: サイト間VPNとExpressRouteを併用することで、さらに高度なセキュリティを確保することも可能です。
5. 主要なAzureネットワークサービスの比較(AZ-900対策)
AZ-900試験では、各サービスの機能、利用シーン、およびコスト(無料か有償か)を区別することが重要です。 特にNSGとAzure Firewall、VPN GatewayとExpressRouteの違いを理解しましょう。
| サービス名 | 種類 | 主な機能/目的 | 適用範囲/場所 | 料金体系(AZ-900観点) |
|---|---|---|---|---|
| Virtual Network (VNet) | ネットワーク基盤 | Azure内のプライベートネットワークの土台構築。 | Azureリージョン内。 | 利用自体は無料。 |
| Network Security Group (NSG) | ネットワークセキュリティ | ファイアウォールとして機能し、送受信トラフィックを許可/拒否する。 | サブネットまたはNICに適用。 | 無償で利用可能。 |
| Azure Firewall | ネットワークセキュリティ | VNetとインターネットの境界で機能し、仮想ネットワーク全体を保護する高度なファイアウォール。 | 仮想ネットワーク全体。 | 有償のオプションサービス。 |
| VPN Gateway | ハイブリッド接続 | パブリックネットワークを経由して、オンプレミスや他のVNetと暗号化された安全な接続(S2S, P2S)を確立する。 | VNetにデプロイされるゲートウェイ。 | 利用時間に応じた課金(データ転送コストも別途課金)。 |
| ExpressRoute | ハイブリッド接続 | 接続プロバイダーを経由したプライベート接続。インターネットを経由せず、高い安全性と安定性を提供。 | VNetとオンプレミス間の専用線接続。 | 帯域幅に基づく従量制プランまたは定額プラン。 |
| Azure DDoS Protection | ネットワークセキュリティ | DDoS攻撃に対する保護。 | VNetリソース。 | Basic版は無償、Standard版は有償。 |
6. AZ-900 ネットワーク基礎 模擬問題
AZ-900の試験対策は、問題集ファーストで進めることが推奨されており、知識の定着と弱点の把握に役立ちます。 以下の模擬問題を通じて、学習内容の確認を行ってください。
問題 1(NSGと優先度)
Network Security Group (NSG) のセキュリティ規則の処理に関する記述として、正しいものを選んでください。
- セキュリティ規則の優先度は100~4096の数値で設定され、数値が大きいほど優先順位が高くなる。
- カスタム規則は、既定の規則よりも優先順位が低く設定され、既定の規則の後に処理される。
- トラフィックが規則に一致し処理された場合、それ以降の優先順位の低い規則は処理されない。
- 受信トラフィックを許可する規則を設定した場合、その応答のための送信規則も必ず定義する必要がある。
回答と解説を開く
A: 優先度は100~4096で設定され、数値が小さいほど優先順位が高くなります。
B: 既定のセキュリティ規則には、カスタム規則が常に先に処理されるように、優先順位が最も低い(最も高い数)が与えられます。
C: 規則は優先度順に処理され、トラフィックが規則に一致すると処理が停止します。
D: NSGはステートフルであるため、受信トラフィックが許可されていれば、そのトラフィックへの応答のための送信規則は定義する必要がありません。
問題 2(セキュリティ制御の比較)
Azureのネットワークセキュリティ機能に関する次のうち、無償で利用可能であり、かつサブネットまたは仮想マシンのNICに適用できるファイアウォール機能はどれですか。
- Azure Firewall
- Azure DDoS Protection Standard
- Network Security Group (NSG)
- Azure Web Application Firewall (WAF)
回答と解説を開く
C: NSGはサブネットまたはNICに適用され、無償で利用できるファイアウォール機能です。
A: Azure Firewallは仮想ネットワーク全体を保護する有償のオプションサービスです。
B: Azure DDoS ProtectionのBasic版は無償ですが、Standard版は有償です。また、これはファイアウォールではなくDDoS攻撃からの保護サービスです。
D: WAFはWebアプリケーション保護機能であり、Application GatewayやFront Doorと組み合わせて使用されます。
問題 3(ハイブリッド接続)
オンプレミスのネットワークをAzure仮想ネットワークに接続する際、パブリックインターネットを経由しない、プライベート接続オプションはどれですか。
- サイト間 VPN (S2S)
- ポイント対サイト VPN (P2S)
- Azure ExpressRoute
- 仮想ネットワーク ピアリング
回答と解説を開く
ExpressRouteは、接続プロバイダーが提供するプライベート接続を経由し、トラフィックはインターネットを経由しません。
A (S2S) および B (P2S) は、パブリックインターネット上の暗号化されたトンネル(IPsec/IKE)を経由します。
D (仮想ネットワーク ピアリング) は、Azure内の異なる仮想ネットワーク同士を接続する機能であり、オンプレミス接続の手段ではありません。
7. まとめと試験対策のヒント
Azureネットワークの基礎知識は、AZ-900の「アーキテクチャとサービス」セクションを攻略するために必須です。
| ネットワークサービス | 役割 |
|---|---|
| VNet | プライベートネットワークの土台。 |
| NSG | サブネット/NICに適用する無償のファイアウォール。 |
| VPN Gateway | インターネット経由の暗号化接続 (S2S/P2S)。 |
| ExpressRoute | インターネットを経由しないプライベート専用接続。 |
AZ-900試験の難易度は、クラウドやAzureの経験がない人にとってはやや高めとされています。 対策期間は、未経験者であれば約2か月、他クラウド経験者で約1か月、Azure業務経験者で約2週間が目安です。
効率的に学習を進めるためには、まずMicrosoft Learnで基礎知識を体系的に学んだ後、問題集で実践的な対策を行うという流れが一般的ですが、 筆者の経験からは、問題集を先に解くことで知識不足の単元を効率的に把握できる「問題集ファースト」が推奨されています。 インフラストラクチャの管理経験がある方は、Azure Virtual Networksの概念を直感的に理解しやすいため、学習時間を短縮できる可能性があります。AZ-900の試験対策をしっかりされたい方は、StepStudyで模擬問題を解いてみましょう! 7日間の無料トライアルでまずはお試しを!