オンプレのデータセンターからAWSへ移行を始めたとき、多くのエンジニアが最初に悩むのが「拠点とVPCをどうつなぐか」です。インターネット経由のVPNで十分なのか、それとも専用線(Direct Connect)を引くべきなのか。月額コストは数万円から数十万円、初期工事費はさらに上振れするので、選択を誤ると撤退も難しい領域です。
この記事では、AWS Direct ConnectとAWS Site-to-Site VPNの違いを、オンプレ経験のあるインフラエンジニア向けに整理します。帯域・遅延・料金・可用性の4軸で比較し、実際の現場で「どちらを選ぶべきか」の判断基準、冗長構成の組み方、よくあるトラブルの回避方法までカバーします。
なぜオンプレとAWSの接続方式が問題になるのか
オンプレだけで完結している時代は、拠点間接続といえば「専用線」か「広域イーサネット」か「IP-VPN」の3択で、キャリア選定だけ終わればあとは物理配線の話でした。ところがAWSを含むパブリッククラウドが絡むと、事情が変わります。
ポイントは2つあります。
・AWSの物理拠点は原則として自社から直接触れない: オンプレどうしなら両端にルーターを置けますが、AWS側は自分のラックではありません。AWSが用意した接続ポイント(ロケーション)を経由しないと物理配線が届きません。
・インターネットVPNが「実用的な選択肢」として成立してしまう: オンプレどうしだと「インターネット越しの常時VPN」は帯域・遅延・セキュリティの面で選びにくいのですが、AWS側のVPNエンドポイントは安定しており、用途によっては専用線が不要なケースも珍しくありません。
つまり、「専用線を引くしかない」のではなく「専用線とVPNのどちらにすべきか」という選択が成立する。これがクラウド時代の新しい論点です。
Direct ConnectとSite-to-Site VPNの基本
1. AWS Direct Connectとは
AWS Direct Connectは、オンプレの拠点とAWSのVPCを物理的な専用線で接続するサービスです。キャリアのMPLSや広域イーサに慣れたエンジニアからすると、「AWSの入り口まで物理回線を引いて、その先をAWSに任せる」と理解すると早いです。
接続の流れは大きく3段階です。東京リージョン(ap-northeast-1)の場合、AWS Direct Connectロケーションとして東京のEquinix TY2、アット東京CC1などが用意されています。
・物理レイヤ: 自社ルーター → キャリア回線 → AWS Direct Connectロケーション内のAWSポートへクロスコネクト
・論理レイヤ: VLAN(仮想インターフェイス: VIF)を切り、プライベートVIFでVPC側のVirtual Private Gatewayへ接続
・ルーティング: BGPで経路交換、必要に応じて複数VIFで複数VPCに接続
自社ラックから直接Direct Connectロケーションへ回線を持っていくケースは稀で、現実にはキャリア(NTTコミュニケーションズ、KDDI、ソフトバンク、IIJなど)が提供する「Direct Connect接続サービス」を使い、キャリア閉域網経由で接続することが多いです。
2. AWS Site-to-Site VPNとは
AWS Site-to-Site VPNは、インターネット越しのIPsec VPNでオンプレ拠点とVPCを接続するサービスです。AWSが2つのVPNエンドポイント(2つのAZに分散配置)を用意し、オンプレ側のルーターまたはファイアウォールとIPsecトンネルを張ります。
・AWS側: Virtual Private GatewayまたはTransit Gatewayに対してVPN接続を設定
・オンプレ側: Cisco ASA、Fortigate、YAMAHA RTX、Palo Altoなど、AWSが動作確認済みのIPsec対応機器を用意
・経路制御: 静的ルーティングまたはBGP(動的)、本番運用はBGPが基本
最大の特徴は「工事不要」「当日開通可能」「月額が安い」ことです。反面、インターネットを経由するため遅延と帯域の保証がありません。
3. AWS CLIでSite-to-Site VPNを作る最小例
# AWS CLI: カスタマーゲートウェイ(オンプレ側ルーター)を登録 aws ec2 create-customer-gateway \ --type ipsec.1 \ --public-ip 203.0.113.10 \ --bgp-asn 65000 # Virtual Private Gateway作成とVPCへのアタッチ aws ec2 create-vpn-gateway --type ipsec.1 aws ec2 attach-vpn-gateway \ --vpn-gateway-id vgw-xxxxxxxx \ --vpc-id vpc-xxxxxxxx # Site-to-Site VPN接続を作成(BGP動的ルーティング) aws ec2 create-vpn-connection \ --type ipsec.1 \ --customer-gateway-id cgw-xxxxxxxx \ --vpn-gateway-id vgw-xxxxxxxx
Direct ConnectはCLIで完結しません。キャリアへの回線発注、クロスコネクト工事、BGPパラメータの調整が絡むため、最短でも数週間、長いと3か月かかります。
料金の仕組み(コスト感覚)
料金は両者で構造が根本的に違うので、月額だけ見ると判断を誤ります。以下の料金は東京リージョン(ap-northeast-1)、2026年4月時点の参考値です。実際の見積もりは必ず公式の料金ページとキャリアの見積もりで確認してください。
1. Site-to-Site VPNの料金構造
・VPN接続時間料金: 1接続あたり約$0.05/時間(月額およそ$36、約¥5,400)
・データ転送料金(アウト): インターネット経由のデータ転送料金(例: 最初の10TBで$0.114/GB)
・オンプレ側機器: 既存のファイアウォールやルーターで対応可、新規購入でも数万円〜
月額1万円以下で開通できるケースが大半です。小規模なWebシステム、管理系通信、バックオフィスの連携程度ならこれで十分成立します。
2. Direct Connectの料金構造
・ポート時間料金: 1Gbpsポートで$0.30/時間(月額およそ$216、約¥32,000)、10Gbpsで$2.25/時間(月額およそ$1,620、約¥240,000)
・データ転送料金(アウト): $0.041/GB(ap-northeast-1から)— インターネット経由の1/3以下
・キャリア回線料金: 専用線やVPN経由で別途数万〜数十万/月
・初期費用: クロスコネクト工事費、キャリア初期費用で数十万円
Direct Connect自体のAWS側料金は「入口の通行料」にすぎず、キャリア回線料金が月額コストの大半を占めることが多いです。
3. データ転送量が多いと逆転する
VPNの方が安いのは「転送量が少ない場合」だけです。AWSから出ていくデータ転送料金は、VPN経由なら$0.114/GB、Direct Connect経由なら$0.041/GBと約3倍の差があります。
月間10TB以上の下り転送があるなら、AWS側の転送料金だけで月額8万円前後の差が生じます。これに可用性・遅延・帯域保証の価値を加えると、数十TB/月を超える規模ではDirect Connectが割安になるケースが出てきます。
4軸での徹底比較
| 比較項目 | Site-to-Site VPN | Direct Connect |
|---|---|---|
| 接続媒体 | インターネット | 専用線(閉域網) |
| 帯域 | トンネルあたり最大約1.25Gbps | 1Gbps / 10Gbps / 100Gbps |
| 遅延 | インターネット経路に依存(10〜30ms) | 安定(数ms〜10ms程度) |
| 可用性(SLA) | 99.95%(接続単位) | 99.9%(単一接続)、99.99%(冗長構成) |
| 月額の目安 | 数千円〜1万円+転送料 | 3万〜数十万円+キャリア回線費 |
| 初期工期 | 即日〜数日 | 数週間〜3か月 |
| データ転送料金(下り) | 約$0.114/GB | 約$0.041/GB |
| 暗号化 | IPsecで強制 | デフォルトでは平文(MACsecまたはIPsec併用) |
| 主な用途 | 小中規模、バックアップ、短期接続 | 基幹系、大容量転送、常時接続 |
1. 選定フローチャート的に考える
・月間データ転送量が10TB未満 → Site-to-Site VPN: コスト効率が圧倒的に良い
・遅延要件が15ms以内で安定必須 → Direct Connect: 基幹系DB同期、リアルタイムETL、VDIなど
・短期プロジェクト(1年未満) → Site-to-Site VPN: 初期工事費が無駄になる
・金融・医療などで閉域必須 → Direct Connect: コンプライアンス要件を満たしやすい
・バックアップや災害対策用途 → 併用: Direct Connectを主系、VPNをバックアップ系
応用・実務Tips
1. Direct Connect + VPNのハイブリッド冗長構成
本番運用でよく採用される構成が、「Direct Connectを主系、Site-to-Site VPNをバックアップ系」とする組み合わせです。AWS公式ドキュメントでも推奨される設計で、BGPのAS_PATH属性やLOCAL_PREFを調整して経路を制御します。
・平常時: Direct Connectが優先経路として選択される
・障害時: Direct Connect断を検知しVPN経由にフェイルオーバー(通常30〜90秒)
・コスト: VPNは平常時ほぼ転送料金が発生しないため、追加コストは月額1万円前後に抑えられる
これにより、「月額は安いVPNのままで可用性99.99%」を実現できるケースが多いです。
2. Transit Gateway経由でマルチVPCに接続
VPCが複数ある場合、VPNやDirect Connectを各VPCにそれぞれ張るのは管理上つらいです。AWS Transit Gatewayを中継ハブとして、Direct ConnectゲートウェイとTransit Gatewayを接続すれば、1本の専用線から複数VPCを一括で利用できます。
オンプレの広域イーサ+コアスイッチの関係性に近い構成だと考えると、ネットワーク設計者には馴染みやすいはずです。
3. 暗号化の考え方
Direct Connectはデフォルトでは平文通信です。閉域網とはいえ金融・医療では「経路上で暗号化」が要求されるため、以下のいずれかで対応します。
・MACsec: 10Gbps/100GbpsのDedicated Connectionで利用可能、レイヤ2暗号化
・Direct Connect + VPN over Direct Connect: 専用線上にさらにIPsecトンネルを張る
・アプリケーション層の暗号化(TLS等): 低コストだが対応アプリが限られる
2. オンプレ側機器の選定
Site-to-Site VPNの動作確認済み機器はAWSが公開しています。業務で使われやすい機器では、Cisco ASA、Cisco ISR、Fortigate、Palo Alto、YAMAHA RTX、NEC UNIVERGEなどが該当します。
特にBGP対応を前提とするなら、YAMAHA RTX1300、Cisco ISR4000シリーズ、Fortigate 60F以上あたりが中小規模で扱いやすい選択肢です。
よくあるトラブルと対処法
1. VPNトンネルが繋がらない
最初の開通時に頻発するトラブルです。原因の8割はPhase1/Phase2のパラメータ不一致です。
・対処: AWSコンソールの「Site-to-Site VPN接続」→「設定のダウンロード」から、オンプレ機器ベンダー別のサンプル設定を取得し、暗号化アルゴリズム(AES256)、ハッシュ(SHA256)、DHグループを厳密に合わせる
・確認: オンプレ機器側のIKEログと、AWSコンソールのトンネル状態(UP/DOWN)を突き合わせる
2. Direct Connect経由なのに通信できない
物理回線は開通しているのにVPCにpingが通らないパターン。ルーティング設定の抜けが多いです。
・確認ポイント1: プライベートVIFにBGPピアリング情報が正しく入っているか
・確認ポイント2: VPCのルートテーブルにVirtual Private Gateway経由の経路が伝播されているか(「Route Propagation」を有効化)
・確認ポイント3: セキュリティグループとネットワークACLでオンプレCIDRを許可しているか
3. 月末の請求額が想定の3倍になっていた
Direct Connectでよくある事故です。原因は意図しない経路でのデータ転送。例えば、Direct Connect経由で接続しているつもりが、ルーティングの優先順位ミスでインターネット経由になっており、VPN/インターネットの高い転送料金で請求されます。
・対処: VPC Flow Logsで実際の通信経路を可視化、Cost Explorerで「データ転送」項目を日次で監視
・予防: AWS Budgetsでデータ転送料金に閾値アラートを設定、月初の数日で異常を検知する
4. 可用性99.9%では足りなかった
Direct Connect単一接続のSLAは99.9%で、月間約43分のダウンタイムが許容されている計算です。基幹系では許容できないケースが多く、「開通後に障害でSLA満たしていても業務停止した」というトラブルが起きます。
・対処: 最低でも「別ロケーション」「別キャリア」の2系統でDirect Connectを冗長化(SLA 99.99%)、またはVPNをバックアップ系として併設
他のクラウドやオンプレ関連技術との関係
Direct ConnectとVPNの考え方は、Azure ExpressRoute(Direct Connect相当)、Azure VPN Gateway(Site-to-Site VPN相当)にもそのまま対応します。名前と料金体系は違いますが、選定基準は同じです。
オンプレ側のルーター・ファイアウォール設計、BGP運用、拠点間冗長化といったネットワーク基礎は、姉妹サイトLinuxMaster.JPのLinuxサーバー・ネットワーク設計記事も参考になります。
本記事のまとめ
AWS Direct ConnectとSite-to-Site VPNは、「どちらが上位」ではなく「用途に応じて選ぶもの」です。重要なポイントを改めて整理します。
・Site-to-Site VPNは小中規模・短期・バックアップ向き: 月額1万円前後、即日開通、転送量が少ないなら第一候補
・Direct Connectは大規模・長期・基幹系向き: 帯域保証と低遅延、月額10TB以上の転送では逆にコスト有利
・実務では併用が現実解: Direct Connect主系+VPNバックアップで可用性99.99%を低コスト実現
・コストは「接続料金」ではなく「データ転送料金」を先に見積もる: ここを外すと判断を誤る
・BGPで経路を制御してフェイルオーバーを設計する: 単に引くだけでは冗長化にならない
オンプレ時代の「専用線か、IP-VPNか」の選択とよく似ていますが、AWSではデータ転送料金が判断の大きな軸になります。まずは月間トラフィック量の概算と、許容できる遅延・ダウンタイムの定義から始めると、迷いが減ります。
オンプレとAWSの接続設計で迷っていませんか?
Direct ConnectとVPNの選定は、コスト・帯域・可用性のトレードオフの連続です。
オンプレの経験を活かしながら、現場で使えるクラウドスキルを体系的に身につけたい方へ、メルマガで実践的なクラウド活用ノウハウをお届けしています。
コメント