この記事の要点

VPN ゲートウェイと専用線接続は、オンプレミスのネットワークとクラウドの VPC を安全につなぐ手段。 サイト間 VPN は、インターネット上に暗号化トンネルを張ってオンプレと VPC を結ぶ方式。安価で早く始められる。 専用線接続(AWS Direct Connect / Azure ExpressRoute)は、物理的な専用回線でクラウドへ直結する方式。 専用線はインターネットを経由しないため、低遅延・安定帯域・高セキュリティで、大量・恒常的な通信に向く。 オンプレとクラウドを統合して扱うハイブリッドクラウド構成の基盤が、これらの拠点間接続技術。 可用性のため、VPN トンネルや専用線は複数本用意して冗長化し、片方が落ちても通信を維持する。

概要

VPN ゲートウェイおよび専用線接続とは、オンプレミス(自社データセンターやオフィス)のネットワークと、クラウド上の VPC とを相互に接続するための仕組みです。クラウドへ全面移行せず、既存の社内システムとクラウドを併用するハイブリッドクラウド構成では、この拠点間接続が不可欠な土台になります。

接続方式は大きく 2 つあります。1 つはインターネット上に暗号化トンネルを張るサイト間 VPN、もう 1 つは物理的な専用回線でクラウドへ直結する専用線接続(AWS の Direct Connect、Azure の ExpressRoute、GCP の Cloud Interconnect など)です。コスト・速度・安定性・セキュリティのバランスが異なり、通信量や要件に応じて使い分けます。

仕組み

サイト間 VPNは、オンプレ側のルータ(カスタマーゲートウェイ)とクラウド側の VPN ゲートウェイの間に、IPsec などで暗号化された仮想的なトンネルを構築します。通信自体は公衆インターネットを通りますが、トンネル内は暗号化されるため、第三者には中身が読めません。

サイト間 VPN
[オンプレ LAN] ── ルータ ═══(暗号化トンネル / IPsec)═══ VPN GW ── [VPC]
                       └──── 公衆インターネット経由 ────┘
特徴: 安価・短期間で開通 / 遅延と帯域はインターネット品質に依存

専用線接続は、自社拠点(またはデータセンター)とクラウド事業者のネットワークを、通信事業者の専用回線で物理的に結びます。インターネットを経由しないため、遅延が小さく帯域が安定し、セキュリティ面でも有利です。

専用線接続 (Direct Connect / ExpressRoute)
[オンプレ LAN] ── 専用線 ───────────────────── クラウド ── [VPC]
                  (通信事業者の閉域網。インターネットを通らない)
特徴: 低遅延・安定帯域・高セキュリティ / 開通に時間と費用

ルーティングは、静的ルートを書く方法と、BGP(動的ルーティングプロトコル)でオンプレとクラウドが経路情報を自動交換する方法があります。BGP を使うと、複数の接続経路がある場合に経路の切り替えや冗長化を柔軟に行えます。

構成・実用例

専用線を主回線、サイト間 VPN をバックアップにした冗長構成の例です。専用線障害時に自動で VPN へ切り替わります。

            ┌──── 専用線 (主) ────┐
[オンプレ] ─┤                     ├─ [VPC]
            └─ サイト間VPN (副) ──┘
                                 │
         通常は専用線を使用。専用線断時は BGP で
         自動的に VPN 経路へフェイルオーバ

AWS CLI で VPN ゲートウェイを作成し、VPC へアタッチする流れの例です。

# 仮想プライベートゲートウェイを作成して VPC にアタッチ
aws ec2 create-vpn-gateway --type ipsec.1
aws ec2 attach-vpn-gateway --vpn-gateway-id vgw-xxxx --vpc-id vpc-xxxx

# カスタマーゲートウェイ(オンプレ側ルータ)を登録
aws ec2 create-customer-gateway --type ipsec.1 \
    --public-ip 203.0.113.1 --bgp-asn 65000

ハイブリッド構成では、機密性の高い基幹 DB はオンプレに残しつつ、フロントエンドやバースト的な計算処理をクラウドへ置く、といった役割分担が可能になります。拠点間接続がその通信路を支えます。

主な用途

• ハイブリッドクラウド — オンプレの既存資産とクラウドを統合し、段階的な移行や役割分担を実現します。
• クラウドへのデータ移行・同期 — 大量データのバックアップや定期同期を、安定した帯域で行います(専用線向き)。
• 社内システムからのクラウド利用 — 社内ネットワークの延長として VPC 上のシステムへ安全にアクセスします。
• 低遅延・高信頼が必要な基幹通信 — 金融・製造など、インターネット品質に左右されたくない通信に専用線を使います。

関連技術との比較

項目	サイト間 VPN	専用線接続(Direct Connect / ExpressRoute)
経路	公衆インターネット(暗号化トンネル)	通信事業者の閉域・専用回線
遅延・帯域	インターネット品質に依存(変動あり)	低遅延・安定帯域
セキュリティ	暗号化で確保(経路は公衆網)	そもそも公衆網を通らず高い
開通までの期間	短い(即日～数日)	長い(数週間～)
コスト	低い	高い(回線費用)
向く用途	小～中規模・スモールスタート・バックアップ	大量・恒常的・低遅延が要る基幹通信

注意点・落とし穴

• CIDR の重複 — オンプレと VPC で同じプライベートアドレス範囲(例: 10.0.0.0/16)を使っていると、ルーティングできません。接続前にアドレス設計を整理します。
• 単一経路はリスク — VPN トンネルや専用線を 1 本だけにすると、そこが落ちると全断します。複数本や VPN+専用線で冗長化します。
• 専用線は開通に時間がかかる — 物理回線の手配が必要なため、すぐには使えません。短期的にはまず VPN で始め、後から専用線へ移行する設計が現実的です。
• VPN の帯域・遅延はインターネット任せ — 大量データや低遅延が必須の用途で VPN を選ぶと、性能要件を満たせないことがあります。
• BGP/ASN の設定 — 動的ルーティングを使う場合、AS 番号や経路広告の設計を誤ると意図しない経路を選んだりループしたりします。

関連リンク

• クラウドネットワーク
• VPC
• サブネット(クラウド)
• セキュリティグループ
• クラウドロードバランサ
• クラウド・インフラ
• アドレッシング・識別子
• プライベートIPアドレス