WEB問題集
解説
【正解: A】の理由
VPN Gateway は Azure VNet とオンプレ拠点や個人端末を VPN プロトコル経由で接続するゲートウェイ サービスです。Site-to-Site VPN は IPsec/IKE で常時接続、Point-to-Site VPN は個人 PC から一時接続でき、すべて公衆インターネット経由のためコスト効率に優れます。
【他選択肢が違う理由】
- B. 専用線接続: ExpressRoute の領域で、VPN とは仕組みが異なります
- C. L7 ロード バランサ: Application Gateway / Front Door の役割で、VPN Gateway は接続専用です
- D. ブラウザ越しの RDP/SSH: Azure Bastion の機能で、VPN Gateway は管理アクセス専用ではありません
解説
【正解: A】の理由
ExpressRoute は接続プロバイダーを介してオンプレ拠点と Microsoft Edge ルーターを直結する専用回線で、インターネットを一切経由しません。VPN Gateway は公衆インターネット経由で IPsec 暗号化により接続するため、コストは低いものの帯域とレイテンシが回線品質に依存します。
【他選択肢が違う理由】
- B. 両者は同義: 接続方式 / コスト / SLA がいずれも異なり、置換可能ではありません
- C. 説明が逆: VPN がインターネット経由、ExpressRoute が専用線で記述が反対です
- D. プラットフォーム限定: どちらも Azure とオンプレを接続する役割で、適用範囲は同じです
解説
【正解: A】の理由
Azure Firewall はマネージド型のクラウド ネイティブ ステートフル NGFW で、L3-L4 と L7 (FQDN / Application Rule) のフィルタリングを提供します。Microsoft Threat Intelligence と連動した脅威ブロックや、Premium SKU では TLS 検査 / IDPS も統合されています。
【他選択肢が違う理由】
- B. OS レベル FW: Windows Defender Firewall / iptables の領域で、Azure Firewall はネットワーク層サービスです
- C. WAF と同義: WAF は L7 Web アプリ層保護で Application Gateway / Front Door に統合され、別カテゴリです
- D. 物理装置販売: Azure Firewall はマネージド クラウド サービスで物理アプライアンスではありません
解説
【正解: A】の理由
Azure DDoS Protection は L3/L4 のボリュメトリック攻撃を常時自動で検知 / 緩和します。Network Protection は VNet 全体保護に詳細メトリクス / 24x7 サポート / SLA / コスト保護を付与し、IP Protection は個別 Public IP 単位で安価に保護を提供します。
【他選択肢が違う理由】
- B. L7 攻撃を完全防御: SQL Injection / XSS は WAF の領域で、DDoS Protection は L3/L4 に特化します
- C. VM 内マルウェア検知: Defender for Servers の役割で、DDoS Protection はネットワーク攻撃緩和専用です
- D. 存在しない: Azure の主要セキュリティ サービスとして実在し、すべての Public IP に Basic 保護が無償組込です
解説
【判定: いいえ】の理由
Site-to-Site VPN Gateway は公衆インターネットを経由するため、「インターネットを経由したくない」という要件と直接衝突します。VpnGw2 でも実帯域とレイテンシはインターネット品質に依存して変動するため、本番業務の安定接続には不向きです。
【「はい」が違う理由】
ExpressRoute なら専用線で安定接続 / インターネット非経由 / 99.95% SLA / 1 Gbps 帯域確保が同時に成立します。VPN Gateway は ExpressRoute のバックアップ用途として併用するのが王道で、単独本番採用は要件適合性で劣ります。
解説
【判定: はい】の理由
ExpressRoute を Primary / Secondary の 2 回線冗長で構築すれば 99.95% SLA を担保でき、Standard SKU 1 Gbps で帯域要件も満たします。プロバイダー経由の専用線でインターネットを一切経由せず、Premium SKU への移行や帯域追加で将来の拡張も柔軟に対応できます。
【「いいえ」が違う理由】
Microsoft Edge ルーターと顧客機器を BGP で接続し、Private Peering と Microsoft Peering でトラフィックを分離できます。Premium SKU へのアップグレードで Global Reach や 100 Gbps までの帯域選択も可能になり、本番安定運用の標準パターンとして要件をすべて満たします。
解説
【判定: はい】の理由
ExpressRoute + VPN Gateway の併用は本番ミッション クリティカル接続の標準ベスト プラクティスです。通常時は ExpressRoute で帯域 / SLA / 非インターネット経由を満たし、障害時は BGP で自動的に VPN 経由へフェイルオーバーするため、事業継続性が更に高まります。
【「いいえ」が違う理由】
VPN は障害時補完用途のため ExpressRoute 単独よりコストは増えますが、ダウンタイム機会損失を踏まえれば妥当な投資です。Microsoft の Hub-and-Spoke / Virtual WAN アーキテクチャでも推奨パターンとして文書化されており、要件をすべて満たします。
解説
【正解: A, B, C】の理由
VPN Gateway は IPsec/IKE による公衆インターネット経由接続でコストを抑えやすく、ExpressRoute は専用線で高帯域 / 高 SLA / 非インターネット経由を提供します。Virtual WAN は複数 ExpressRoute / VPN / SD-WAN を統合管理しグローバル ハブ アンド スポークを 1 リソースで構築できる現代的アプローチです。
【他選択肢が違う理由】
- D. CDN: グローバル コンテンツ配信サービスで、ハイブリッド ネットワーク接続ではありません
- E. Excel: 表計算アプリケーションでクラウド ネットワーク サービスとは無関係です
次の各ステートメントを完成させるために、最も適切な Azure ハイブリッド接続サービスを選んでください。同じ選択肢は 2 回使用できません。
| ステートメント | 選択 |
|---|---|
インターネットを経由せず専用線でオンプレと接続し、99.95% SLA / 50 Mbps〜100 Gbps の帯域を提供するサービスは [ ] である。 ExpressRoute はサービス プロバイダー経由の専用線で、レイテンシ安定 / 高帯域 / 非インターネット経由を実現します。Primary / Secondary 2 回線冗長で SLA 99.95% を担保し、本番ミッション クリティカル接続の王道として採用されます。 | |
IPsec/IKE を用いて公衆インターネット経由で安全に接続するサービスは [ ] である。 VPN Gateway は S2S / P2S / VPN-to-VPN を提供する IPsec/IKE ベースの VPN サービスです。Basic / VpnGw1〜5 などの SKU を帯域要件に応じて選択でき、低コスト開始や ExpressRoute のバックアップとして広く利用されます。 | |
複数 ExpressRoute / VPN / SD-WAN を統合管理し、グローバルなハブ アンド スポーク ネットワークを 1 つのリソースで構築するサービスは [ ] である。 Virtual WAN は次世代のハイブリッド ネットワーク オーケストレーションです。Microsoft のグローバル バックボーンを介して世界中の拠点を統合管理でき、Hub-and-Spoke を独自構築する手間を大幅に削減できます。 |
ExpressRoute による Azure とオンプレの接続セットアップの正しい順序に並べ替えてください。
- サービス プロバイダー選定: NTT / KDDI / Equinix 等から ExpressRoute 対応プロバイダーを選定し、回線契約を結ぶ
- ExpressRoute Circuit 作成: Azure Portal で Circuit リソースを作成し、Service Key をプロバイダーに通知
- Peering 構成: Private Peering (Azure リソースへ) や Microsoft Peering (Microsoft 365 等へ) を BGP で設定
- VNet との接続: ExpressRoute Gateway を VNet に作成し、Circuit と関連付けて疎通確認
解説
【正しい順序: プロバイダー選定 → Circuit 作成 → Peering 構成 → VNet 接続】の理由
ExpressRoute は Microsoft 単独では提供されず、認定 Connectivity Partner との契約から開始します。次に Azure Portal で Circuit リソースを作成すると Service Key が発行され、これをプロバイダーへ通知することで物理回線がプロビジョンされます。続いて Private Peering / Microsoft Peering を BGP で構成し、AS 番号 / VLAN ID / サブネットを設定します。最後に ExpressRoute Gateway を VNet に作成し Connection リソースで Circuit と関連付け、疎通とルーティングを確認して完了です。この順序は依存関係に従っているため省略や入れ替えはできません。