2025年10月1日、Azure VMからインターネットアクセスができなくなる!?

この記事の内容

  • 2025年9月30日に「デフォルトのアウトバウンドアクセス」が廃止されます
  • パブリックIPを持たないAzure VMがインターネットに接続できなくなる可能性があります
  • 既存のVMへの影響と、新規VMへの影響は異なります
  • NAT Gatewayなど、明示的なアウトバウンド接続方式への移行が必要です
  • 今すぐ対処を始めることを強く推奨します

Microsoftからのアナウンス

Microsoftから「Default Outbound Access for VMs will be retired」というアナウンスが出ています。これは、Azure VMからインターネットへの「デフォルトのアウトバウンドアクセス」が廃止されるという内容です。

このアナウンスはなんと2本出ています。1本目の発表への反響が大きく、問い合わせが多数寄せられたため、補足説明の記事が追加されたと考えられます。2本出ているという事実だけでも、この変更がいかに影響の大きいものかが伝わってきます。

何が起こるのか

現在の挙動

AzureにはVNetがあり、その中に仮想マシン(VM)を展開して使います。このとき、パブリックIPを付けていないVMでも、現在はインターネットへのアクセスができています。

これは「デフォルトのアウトバウンドアクセス」と呼ばれる仕組みによるものです。Azure側が暗黙のうちにパブリックIPを割り当てて外部へのアクセスを可能にしています。このIPアドレスはAzureの都合でコロコロ変わるものであり、管理者が意識しているIPアドレスではありません。

なぜこの構成が必要なのか

「パブリックIPなしで外部アクセスするケース」として、典型的な例を挙げます。

  • オンプレミスからAzure上のシステムにVPNやExpressRouteで接続している
  • VMはインターネットに直接公開したくない(外部からのアクセスは不要)
  • しかしVM自身はWindowsUpdateなどのためにインターネットへ出る必要がある

このようなケースでは、オンプレミス経由でインターネットに出ると、VPNやExpressRouteの帯域が圧迫されてしまいます。そのため、VMが直接インターネットに出られる構成が必要になります。

2025年9月30日以降の挙動

廃止日(2025年9月30日)以降に新規で展開したVMは、明示的なアウトバウンド接続方式が設定されていない場合、インターネットへのアクセスができなくなります。

なお、2025年9月30日以前に展開済みの既存VMはインターネット接続が維持されます。 既存VMの設定を慌てて変更して回る必要はありません。

ただし、Microsoftは既存VMについても「明確なアウトバウンド接続方式への移行を強く推奨する」と明言しています。

対処方法

方法1:パブリックIPアドレスをVMに付与する

最もシンプルな方法です。VMにパブリックIPを付けることで、そのIPアドレスを経由してインターネットへ出ることができます。

ただし、この方法は「外部からVMへのアクセスを許可するためにパブリックIPを付ける」という従来の考え方とは異なります。インターネットに公開したくないVMに対してパブリックIPを付けることへの抵抗感がある場合は、他の方法を検討してください。

方法2:ロードバランサーを使う

すでに複数台のVMにロードバランサーを使った構成がある場合、そのロードバランサーにアウトバウンドルールを追加することで対応できます。

ロードバランサーに関連付けられたパブリックIPまたはパブリックIPプレフィックス(複数のパブリックIPをまとめて扱う仕組み)を使って外部に出ることができます。1つのパブリックIPにつき6,400の接続を管理できます。

方法3:NAT Gatewayを使う(推奨)

外部から内部への通信が不要なシステムに対して、最もシンプルでクリーンな解決策です。

VNetのサブネットに対してNAT Gatewayを立てます。NAT GatewayはプライベートIPをグローバルIPにNAT(ソースNAT)して外部へ出る、まさにこの用途のために設計されたサービスです。

1つのパブリックIPにつき64,512の接続を管理できます。

すでにNAT Gatewayを使っている場合は、現在の構成のままで問題ありません。

方法4:Azure Firewallやネットワークアプライアンスを使う

すでにAzure Firewallを使って「このサブネットからの外部通信はここへのみ許可する」といった制御をしている場合は、追加の対応なしで問題ありません。また、ネットワークアプライアンスを立ててルーティングさせている構成も同様です。

コスト感

NAT Gatewayを新たに導入する場合、コストが気になるところです。

NAT Gateway本体の料金に加え、パブリックIPアドレスの料金もかかります。概算として、月間10GB程度のアウトバウンド通信を想定した場合、月額5,000〜5,500円前後の追加コストになります。

今まで実質0円でまかなえていた部分にコストが発生することになるため、組織によっては痛手と感じるケースもあるかもしれません。しかし、これは避けられない変更です。

なぜこの変更が行われるのか(セキュアバイデフォルト)

Microsoftはこの変更を「コスト削減のためではなく、セキュリティ強化(Secure by Default)のため」と説明しています。

現在の問題点

  • 管理者が意識していないパブリックIPアドレスで外部通信が発生している
  • そのIPアドレスはAzure側の都合でコロコロ変わっている
  • VMが乗っ取られて外部攻撃に利用された場合、管理者が把握していないIPから攻撃が行われることになる
  • 他のシステムでIPアドレスベースのアクセス許可をしていた場合、IPが変わったとたんに繋がらなくなる事故も起きうる

変更後のメリット

  • 管理者が把握しているグローバルIPアドレスでのみ外部通信が行われる
  • 外部通信の必要がないVMからのインターネットアクセスがブロックされる
  • 通信ログのトレーサビリティが向上する
  • ファイアウォールでのIPアドレスベースの制御が確実に機能するようになる

今すぐ動くべき理由

2025年9月30日はまだ先のことのように感じますが、「影響が大きいからこそ準備期間が長く設けられている」と捉えるべきです。

この動画を見ていない方たちの多くは「とりあえず先の話だから」とそのままにしてしまうでしょう。その結果、2025年10月1日以降に「あれ、インターネットに出られなくなった」という問い合わせが各所で続出することが予想されます。

今からNAT Gatewayを導入し、明示的なアウトバウンド接続方式に統一しておくことが最善の対処です。 こうしておけば、この仕様変更の影響を受けることなく、VMごとに挙動が異なるという管理上の混乱も防ぐことができます。

まとめ

  • 廃止されるもの:パブリックIPを持たないAzure VMがAzure任せで使っていた「デフォルトのアウトバウンドアクセス」
  • 廃止日:2025年9月30日
  • 既存VMへの影響:廃止日以前に展開済みのVMはそのままインターネット接続が維持される
  • 新規VMへの影響:廃止日以降に展開するVMは、明示的なアウトバウンド接続方式がないとインターネットに出られない
  • 推奨の対処方法:NAT Gatewayを導入する(月額5,000〜5,500円程度)
  • 変更の目的:Secure by Default(管理者が把握していないIPでの通信を排除し、セキュリティを向上させるため)

先延ばしにせず、今すぐNAT Gatewayの導入を検討してみてください。