ハブ&スポーク構成 はぶあんどすぽーくこうせい
簡単に言うとこんな感じ!
自転車の車輪をイメージしてみて!中心にある「ハブ(hub)」と、そこから放射状に伸びる「スポーク(spoke)」の関係がそのまま名前になってるんだ。クラウドのネットワークを「中央の共有ネットワーク+各部門ネットワーク」でつなぐ設計のことだよ!
ハブ&スポーク構成とは
ハブ&スポーク構成(Hub and Spoke)とは、クラウドや企業ネットワークにおいて、中央集権型のネットワーク設計パターンのひとつです。「ハブ」と呼ばれる中心ネットワークに、複数の「スポーク」と呼ばれるネットワークを接続する構造で、自転車の車輪の形そのものに由来しています。
クラウド環境(AzureやAWS、Google Cloudなど)では、共有サービス(セキュリティ機器・VPN・DNSなど)をハブに集約し、各部門・システム・環境ごとのネットワーク(スポーク)を接続することで、管理の一元化とコスト最適化を両立できます。
システム発注・調達の現場では「ゼロトラスト移行」「マルチアカウント管理」「セキュリティの標準化」といった文脈でよく登場する設計思想です。クラウドベンダーの公式ベストプラクティスでも広く推奨されているため、提案書や設計書にこの言葉が出てきたら「王道の設計を選んでいるな」と判断する目安になります。
ハブ&スポーク構成の仕組み
ネットワークを「中心」と「枝」に分け、すべての通信を中心経由で行います。
| 役割 | 名称 | 配置されるもの |
|---|---|---|
| 中心ネットワーク | ハブ(Hub) | ファイアウォール、VPNゲートウェイ、DNS、監視基盤など共有サービス |
| 枝ネットワーク | スポーク(Spoke) | 開発環境、本番環境、各部門システム、外部公開サービスなど |
| 接続方式 | ピアリング / VPN | VNet Peering(Azure)、VPC Peering(AWS)など |
スポーク同士は直接つながらず、必ずハブを経由する点がこの構成の最大の特徴です。これにより通信をハブで一元的に検査・制御できます。
[開発スポーク]
|
[人事スポーク] -- [ハブ(共有サービス)] -- [本番スポーク]
|
[検証スポーク]覚え方:自転車の車輪
「ハブ」は車輪の中心軸、「スポーク」は中心から伸びる細い棒。自転車の車輪は、スポーク同士を直接つなぐのではなく、すべてハブ(中心)でまとめているから強度が出る。ネットワークも同じで「中心集約=強固で管理しやすい」って覚えよう!
フルメッシュ構成との比較
スポークが増えるほど「直接つなぐ(フルメッシュ)」方式との差が際立ちます。
| 比較項目 | ハブ&スポーク | フルメッシュ |
|---|---|---|
| 接続数 | スポーク数に比例(少ない) | スポーク数の二乗に比例(爆発的に増える) |
| セキュリティ制御 | ハブで一元管理しやすい | 各接続ごとに設定が必要 |
| 遅延 | ハブ経由の分だけ増える | 直接通信で最小 |
| 管理のしやすさ | ◎ 一か所を見れば把握できる | △ 接続が増えると複雑化 |
| コスト | 共有サービスを集約して削減できる | 機器・ライセンスが分散して増えやすい |
歴史と背景
- 1990年代〜2000年代初頭:航空会社のネットワーク戦略(主要空港を「ハブ」にして乗り継ぎを集中させる方式)として「ハブ&スポーク」という言葉が定着。IT業界もこのモデルを借用した
- 2010年代前半:オンプレミスのWAN設計(MPLS網など)でもハブ&スポーク型が主流に。本社を「ハブ」、拠点を「スポーク」として構成するケースが増加
- 2014年頃〜:MicrosoftのAzure、AWSが仮想ネットワーク(VNet/VPC)のピアリング機能を拡充。クラウド上でのハブ&スポーク構成が現実的になる
- 2017年:MicrosoftがAzure Hub-Spoke ネットワークトポロジを公式アーキテクチャパターンとして公開・推奨
- 2020年代〜:マルチクラウド・ゼロトラスト推進に伴い、Azure Virtual WAN(マネージドハブ)やAWS Transit Gatewayなど、ハブ機能をマネージドサービスとして提供する製品が普及
クラウド別の実装と比較
主要クラウドベンダーでは、それぞれ対応するサービスでハブ&スポーク構成を実現します。
| クラウド | ハブの実装 | スポークの接続方式 |
|---|---|---|
| Azure | Hub VNet または Azure Virtual WAN | VNet Peering |
| AWS | Transit Gateway または中央VPC | VPC Peering / Transit Gateway Attachment |
| Google Cloud | Shared VPC(Hub VPC) | VPC Peering |
| オンプレWAN | 本社・データセンター | MPLS / SD-WAN |
ハブに集約される主なサービス
- ファイアウォール / NVA(Network Virtual Appliance):すべての通信を検査
- VPN / ExpressRoute ゲートウェイ:オンプレミスとの接続
- Azure Bastion / ジャンプサーバー:安全な運用アクセス
- DNS サーバー:名前解決の統一
- 監視・ログ基盤:一元的なログ収集
関連する規格・RFC
| 規格・ドキュメント | 内容 |
|---|---|
| Azure Hub-Spoke トポロジ | Microsoftの公式アーキテクチャパターン解説 |
| AWS Transit Gateway ベストプラクティス | AWSにおけるハブ型ネットワーク設計の推奨事項 |
| NIST SP 800-125B | クラウドにおける仮想ネットワークセキュリティの基本設計ガイドライン |
関連用語
- VNet ピアリング — Azure上の仮想ネットワーク同士を接続する機能。スポークとハブをつなぐ基本技術
- Azure Virtual WAN — ハブ機能をMicrosoftがマネージドで提供するサービス。ハブの構築・運用を簡略化できる
- Transit Gateway — AWSにおけるハブ機能を担うマネージドサービス
- フルメッシュ構成 — すべてのネットワークを直接接続する方式。小規模では有効だが大規模になると管理が複雑化
- ゼロトラストネットワーク — すべてのアクセスを検証する考え方。ハブで一元的にトラフィックを検査するハブ&スポークと相性が良い
- MPLS — オンプレミスWANでよく使われる専用線技術。企業本社をハブにした広域ネットワーク設計に使われてきた