第9回：クラウド時代のネットワーク基礎

オンプレミス中心だったネットワーク設計も、クラウドの台頭により大きく変化しています。

特にAWSやAzureなどのパブリッククラウド環境でのネットワーク構成は、設計・提案の現場でも必須の知識になりつつあります。

本記事では、クラウド時代におけるネットワークの基本として、VPC、VPN、Direct Connect、ハイブリッド構成などをわかりやすく解説します。

クラウドネットワークの基礎：VPCとは？

VPC（Virtual Private Cloud）とは？

VPCは、クラウド上で仮想的に構築されるプライベートなネットワーク空間です。

オンプレのLANに相当し、IPアドレス空間・ルーティング・ACLなどを自分で定義できます。

主な構成要素（AWSの場合）

構成要素	役割
VPC	仮想ネットワークの単位（CIDRブロック指定）
サブネット	VPCを複数に分割（AZ単位）
ルートテーブル	サブネットごとの通信経路定義
インターネットゲートウェイ	インターネットとの接続
NATゲートウェイ	プライベートサブネット→外部通信（戻りは遮断）
セキュリティグループ	インスタンス単位のファイアウォール
NACL	サブネット単位のパケット制御（L3/L4）

オンプレとの接続：VPNとDirect Connect

クラウドは単体で完結せず、オンプレミスと安全に接続する構成（ハイブリッド構成）が一般的です。

VPN接続

• IPSecベースの暗号化トンネル
• インターネット経由で比較的安価
• 構築が手軽、スモールスタート向き

特徴	内容
専用線不要	インターネットがあれば構築可
帯域は不安定	インターネット経由なので品質は保証外
BGP連携可	動的ルーティング対応で自動経路制御も可能

AWS Direct Connect / Azure ExpressRoute

• クラウドとオンプレを専用線で接続
• 高帯域・低遅延・高信頼性
• 費用はかかるが、ミッションクリティカル用途向き

サブネット設計とセキュリティの考え方

クラウドでは、サブネットの分離とセキュリティグループ/NACLの使い分けが重要です。

パブリック vs プライベートサブネット

種類	特徴
パブリックサブネット	IGW経由で外部通信可。Webサーバ等に
プライベートサブネット	IGWなし。外部にはNAT経由でのみ通信可能。DBなどに適用

セキュリティグループとNACLの違い

項目	セキュリティグループ	NACL
適用単位	インスタンス単位	サブネット単位
状態追跡	ステートフル	ステートレス（双方向で設定要）
主な用途	アプリレベルの通信制御	ネットワークレベルの遮断

「両方使って多層防御」が基本

よくあるハイブリッド構成パターン

プリセールス視点：クラウドネットワークの提案ポイント

観点	チェックすべきこと
ネットワーク要件	セグメント分割、IP設計、CIDR重複の有無
通信要件	社外公開の有無、VPN or Direct Connect必要か
セキュリティ	セキュリティグループ/NACLポリシーの粒度
スケーラビリティ	VPCとサブネットの将来拡張を想定
運用体制	ネットワーク変更の頻度、権限管理の明確化

トラブルあるある：クラウド時代ならではの課題

ケース1：VPC間通信できない

• 原因：ルートテーブル未設定 or セキュリティグループ不一致
• → 解決：サブネット間通信にはルートとSGの両方が必要

ケース2：オンプレとクラウドのIP帯が重複

• 原因：CIDRブロックを適当に割り振った
• → 解決：設計初期にIP重複チェックを！

まとめ

クラウドの導入が進む中で、ネットワーク設計も仮想化・分散・可視化を前提としたものへと進化しています。

• VPCとその構成要素
• VPN / 専用線の選択と設計
• セキュリティグループ / NACLの多層防御
• オンプレとのハイブリッド構成

プリセールスとしては、「オンプレと同じように考える」のではなく、「クラウドならではの構成と制約」を踏まえて提案できるかが差別化のポイントです。