クラウドVPNゲートウェイ くらうどぶいぴーえぬげーとうぇい
VPNクラウド接続IPsecサイト間VPNオンプレミス連携トンネリング
クラウドVPNゲートウェイについて教えて
簡単に言うとこんな感じ!
会社のオフィスとクラウドの間に「専用の秘密トンネル」を掘ってくれる出入り口のことだよ!インターネットを使いながらも、外から中身が見えないように暗号化してつないでくれるんだ。クラウドへの「安全な抜け道」ってイメージ!
クラウドVPNゲートウェイとは
クラウドVPNゲートウェイとは、企業のオンプレミス(自社内)ネットワークとクラウド上の仮想ネットワークを、暗号化された安全な通信経路(VPNトンネル)で結ぶための出入口となる装置・機能のことです。AWS・Azure・Google Cloudなどの主要クラウドサービスがマネージドサービスとして提供しており、物理的なルーターやVPN装置をクラウド側に置くイメージです。
従来、拠点間を安全につなぐには専用線(閉域網)を引くのが主流でしたが、コストが高く開通までに時間がかかるのが難点でした。クラウドVPNゲートウェイを使えば、一般のインターネット回線を活用しながら、通信内容を暗号化することで専用線に近いセキュリティレベルを低コストで実現できます。
特にシステムをクラウドへ移行する際、「社内の既存システムとクラウド上の新システムを安全につなぎたい」という場面で広く使われています。発注・選定の現場では「オンプレとクラウドのハイブリッド構成を作るための橋渡し役」として理解しておくと実務で役立ちます。
クラウドVPNゲートウェイの仕組みと構成要素
クラウドVPNゲートウェイは複数のコンポーネントが組み合わさって動作しています。
| 構成要素 | 役割 | 例 |
|---|---|---|
| クラウド側VPNゲートウェイ | クラウド仮想ネットワークの出入口 | AWS Virtual Private Gateway / Azure VPN Gateway |
| オンプレ側VPN装置(カスタマーゲートウェイ) | 自社ネットワーク側の出入口 | ルーター・UTM・専用VPN機器 |
| VPNトンネル | 両者を結ぶ暗号化された通信経路 | IPsecトンネル |
| ルーティング設定 | どのネットワーク宛の通信をトンネルに流すか | スタティックルート / BGP |
通信の流れ(イメージ)
社内PC → 社内ルーター(カスタマーGW)
↓ 暗号化(IPsec)
インターネット(トンネル内を通過)
↓ 復号
クラウドVPNゲートウェイ → クラウド上のサーバー覚え方:「出入口・トンネル・鍵」の三点セット
- 出入口(ゲートウェイ)がクラウドと自社の両端に必要
- その間をトンネルでつなぐ(外から見えない)
- 通信は暗号化(鍵)で守られている
「関所を両端に立てて、暗号の地下通路でつなぐ」と覚えると忘れにくいです。
接続方式の分類
| 接続タイプ | 説明 | 向いているケース |
|---|---|---|
| サイト間VPN(Site-to-Site) | 拠点ネットワーク同士を常時接続 | 本社↔クラウドの恒常的な連携 |
| クライアントVPN(Client-to-Site) | 個人PCからクラウドへ接続 | テレワーク・外出先からのアクセス |
| クラウド間VPN | 異なるクラウド同士を接続 | マルチクラウド構成 |
歴史と背景
- 1990年代後半 — IPsec(暗号化プロトコルの標準)が策定され、拠点間VPNが企業に普及し始める
- 2000年代 — 専用VPN機器(Cisco・Juniper等)が主流。拠点間接続の主役は依然として専用線
- 2006年 — AWSがEC2・S3を一般公開。クラウドへの注目が急速に高まる
- 2009年頃 — AWSがVirtual Private Gateway(VGW)を提供開始。クラウドとオンプレを安全につなぐニーズが顕在化
- 2010年代 — Azure・Google Cloudも相次いでVPNゲートウェイサービスを提供。クラウド移行の「橋渡し」として定番化
- 2020年代 — テレワーク急増によりクライアントVPN需要も爆増。ゼロトラスト思想の広がりとともにVPN以外の接続手段(SD-WAN・プライベート接続)との使い分けも議論されるようになる
主要クラウドのVPNゲートウェイ比較と関連技術
主要3社の比較
| クラウド | サービス名 | 最大帯域 | 冗長構成 | 特徴 |
|---|---|---|---|---|
| AWS | Virtual Private Gateway / AWS VPN | 1.25 Gbps程度(トンネル単位) | アクティブ/スタンバイ | Transit Gatewayと組み合わせ多拠点化が容易 |
| Azure | Azure VPN Gateway | 最大10 Gbps(SKUによる) | アクティブ/アクティブ対応 | ExpressRouteとの併用が多い |
| Google Cloud | Cloud VPN | 最大3 Gbps(トンネル単位) | HA VPNで冗長化 | BGPによる動的ルーティングが標準的 |
クラウドVPNゲートウェイとプライベート接続の違い
関連するプロトコル・技術
| 技術名 | 役割 |
|---|---|
| IPsec | VPNの暗号化・認証を行う標準プロトコル群 |
| IKE(IKEv2) | IPsecのトンネル確立・鍵交換プロトコル |
| BGP | 動的ルーティングプロトコル。経路情報を自動交換する |
| GRE | IPsecと組み合わせて使われるカプセル化プロトコル |
| SD-WAN | VPNをより高度に制御・最適化する技術 |
関連する規格・RFC
| 規格・RFC番号 | 内容 |
|---|---|
| RFC 4301 | IPsecアーキテクチャの定義 |
| RFC 7296 | IKEv2(鍵交換プロトコル)の仕様 |
| RFC 4303 | ESP(Encapsulating Security Payload)=IPsecの暗号化部分 |
| RFC 4271 | BGP-4(動的ルーティングプロトコル)の仕様 |
関連用語
- VPN — 仮想プライベートネットワーク。暗号化トンネルで安全な通信路を作る技術
- IPsec — VPN通信の暗号化・認証に使われるプロトコル群
- 仮想プライベートクラウド(VPC) — クラウド上に作る論理的に分離されたプライベートネットワーク
- AWS Direct Connect / Azure ExpressRoute — VPNの代わりに使う専用の物理回線接続サービス
- SD-WAN — VPNを含む複数の回線を束ねて最適化するネット