【正しい順序】

1. ステップ 1: アドレス空間 + サブネット CIDR 設計
2. ステップ 2: VNet 作成
3. ステップ 3: サブネット作成
4. ステップ 4: NSG 作成 + 関連付け

【各ステップの理由】

• ステップ 1: 設計: 後から修正が困難な要素 (アドレス空間、サブネット境界) を先に決めます。Gateway / Bastion / Firewall 用の専用サブネット (それぞれ名前固定 + 最小サイズ要件) も計画段階で盛り込みます。設計ミスは後から修正困難なため最重要ステップです。
• ステップ 2: VNet 作成: VNet がなければサブネット作成不可です。リージョン選定もこの時点で確定します。リージョン間ピアリングは Global Peering を使うので、メイン リージョンを慎重に選びます。
• ステップ 3: サブネット作成: サブネット間の最小通信を考慮した CIDR で分割します。専用サブネット (GatewaySubnet、AzureBastionSubnet、AzureFirewallSubnet) は名前固定で先に作成します。
• ステップ 4: NSG 配置: リソースが入る前に NSG を関連付けることで、デプロイ時点から最小権限を適用できます (Defense in Depth)。VM スケールアウト時も NSG が自動適用されるため、リソースを後から追加する運用に強い構造です。

【誤った順序の問題点】

• ❌ リソースを先にデプロイして NSG 後付け: NSG なしの期間にデプロイされたリソースが意図せず公開状態になり、攻撃面が広がります。特に Public IP を持つ VM では、デプロイ直後から Brute Force 攻撃の標的になります。
• ❌ 設計せずに VNet/サブネットを作成: 後からアドレス空間 (Bastion 用 /26、Firewall 用 /26 等) を確保できず、再設計が必要になります。サブネットの境界変更は既存リソースがあると不可能なため、再設計コストが大きい。
• ❌ サブネット → VNet の順: サブネットは VNet の子リソースのため、VNet 不在では作成不可です。

【参考】

VNet 計画と設計 / NSG 概要