この記事のポイント
Azure VMへの安全なリモート接続にはAzure Bastionが第一候補。VMにパブリックIPを付けずにRDP/SSHできるため、攻撃面を根本から縮小できる- 踏み台サーバーの自前運用は管理コストとセキュリティリスクが高く避けるべき。Bastionならパッチ適用・可用性をMicrosoftが管理するため運用負荷が大幅に下がる
- SKU選択はStandardが最適解になるケースが多い。Basicではファイル転送やネイティブクライアント接続が使えず、後からのアップグレードが必要になる
- コスト最適化には接続時間とデータ転送量の両方を見るべき。常時稼働が不要なら利用時間帯を絞ることでBastion時間課金を抑制できる
- マルチリージョン環境ではリージョン間接続機能(VNet Peering経由)が有効。リージョンごとにBastionを立てる必要がなくなり構成を簡素化できる
Microsoft MVP・AIパートナー。LinkX Japan株式会社 代表取締役。東京工業大学大学院にて自然言語処理・金融工学を研究。NHK放送技術研究所でAI・ブロックチェーンの研究開発に従事し、国際学会・ジャーナルでの発表多数。経営情報学会 優秀賞受賞。シンガポールでWeb3企業を創業後、現在は企業向けAI導入・DX推進を支援。
Azure Bastionは、仮想マシンに対するRDP/SSH接続をブラウザ経由で安全に提供するマネージドサービスです。VMにパブリックIPを付けずに接続できるため、攻撃面を減らせます。
本記事では、Azure Bastionの特徴、価格体系、接続方法、ファイル転送やリージョン間接続のポイントまで整理します。
Azure Bastionとは
Azure Bastionは、Azure上のVMに対してRDP/SSHを安全に提供するフルマネージドPaaSです。踏み台サーバーを自前運用せずに、Azureポータルまたはネイティブクライアントから接続できます。
SKUはDeveloper/Basic/Standard/Premiumの4種類で、必要な機能(ネイティブ接続、ファイル転送、セッション記録、Private-only構成)に応じて選択します。運用要件がある環境は、最初からStandard以上を前提に設計するのが実務的です。
Basic/Standard/PremiumではAzureBastionSubnetが必須です。VM側にパブリックIPを付けずに接続できるため、公開面を減らしつつ管理者の接続性を維持できます。
Azure Bastionの特徴
Azure Bastionは、セキュリティ、運用性、拡張性を同時に満たしやすいのが特徴です。
高度なセキュリティ
Azure Bastionは、Bastionサブネットを介してVMに接続するため、VMを直接公開する必要がありません。
これにより、VMがインターネットにさらされるリスクを低減できます。必要に応じてJust-In-TimeアクセスやNSGの制御を組み合わせると、さらに安全性が高まります。
この機能は、必要なときだけアクセスを許可し、それ以外の時間帯にはアクセスを制限することで、セキュリティを強化します。
Microsoft Azureの他のセキュリティサービスとも連携でき、セキュリティの可視性と管理を向上させます。
【関連記事】
➡️Azureのセキュリティ対策を徹底解説!主要機能や製品、導入事例も
利便性の向上
Azure Bastionを使用すると、ブラウザ経由ですぐにRDP/SSHセッションを開始できます。端末ごとの踏み台設定が不要になり、運用手順を標準化しやすくなります。
Standard以上ではネイティブクライアント接続、共有リンク、カスタムポート、ファイル転送が使えます。Premiumではセッション記録とPrivate-onlyデプロイが加わるため、監査要件のある環境で有効です。
スケーラビリティと可用性
Azure Bastionはホストスケーリングで同時接続性を拡張できます。Standard以上ではスケールユニットを増やして混雑を避ける設計が可能です。
公式仕様(SKU比較・要件):
Azure Bastionの価格体系
Azure Bastionの料金は、SKUごとの時間課金とデータ転送量で構成されます。単価の一覧はAzure公式の価格ページ(Azure Bastion の価格 | Microsoft Azure)に掲載されています。
料金体系の構成要素
料金は大きく分けて「Bastionホスト(時間課金)」「スケール(追加ゲートウェイ)」「データ転送」の3つです。
- Bastionホスト(時間課金)
Basic/Standard/PremiumなどのSKUによって時間単価が変わります。Standard以上は機能が増える分、単価も上がります。
- スケール(追加ゲートウェイ)
同時接続数を増やすために追加ゲートウェイを割り当てると、その分の時間課金が加算されます。
- データ転送
Outbound(外向き)通信など、ネットワーク側の課金が別途発生します。
価格例(2026年2月時点:Japan Eastリージョン想定)
以下はJapan Eastリージョンの代表的な単価例です。
| 項目 | 単位あたりの価格 | 補足 |
|---|---|---|
| Basic | $0.19 / 時間 | 小規模・検証用途 |
| Standard | $0.29 / 時間 | 本番利用、ファイル転送やネイティブ接続 |
| Premium | $0.45 / 時間 | セッション記録、Private-only要件 |
| Standard Additional Gateway | $0.14 / 時間 | 同時接続拡張 |
| Premium Additional Gateway | $0.22 / 時間 | Premiumの同時接続拡張 |
※価格は2026年2月時点、リージョン:Japan East、通貨:USDの参考値です。
実務では、Bastionホストの時間課金がベースコストになり、同時接続数が増えるほど追加ゲートウェイの費用が効いてきます。監査要件やPrivate-only要件がある場合はPremiumの要否を先に判断し、Standard以上では想定同時接続数を置いて見積もるとズレが出にくくなります。
Azure BastionのデプロイとNSG設定
Azure Bastionのデプロイは以下の手順で行います。
デプロイ手順
- Azureポータルにログインします。
- 左側のメニューから「リソースの作成」を選択します。
- 「Bastion」を検索し、「Bastionの作成」を選択します。
- 必要な情報(リソースグループ、名前、リージョンなど)を入力し、「確認および作成」をクリックしてデプロイを開始します。
- 仮想ネットワーク(VNet)内に専用のサブネットを作成します。名前は必ず「AzureBastionSubnet」とします。
- サブネットのアドレス範囲を指定し、作成します。
- 作成したサブネットにBastionリソースを関連付けます。
NSG(Network Security Group)の設定
Azure BastionとNSGの設定は、仮想マシンのセキュリティを強化するために重要です。
NSGは、仮想ネットワーク内のトラフィックを制御するためのセキュリティルールを定義します。
NSG設定の手順
- Azureポータルで「ネットワークセキュリティグループ」を検索し、新しいNSGを作成します。
- NSGを作成するリソースグループと名前を指定し、作成します。
- 作成したNSGに移動し、「インバウンドセキュリティルール」を選択します。
- 「ルールの追加」をクリックし、以下の設定でルールを追加します。
ソース: 任意
ソースポート範囲: *
宛先: 任意
宛先ポート範囲: 443
プロトコル: TCP
アクション: 許可
優先度: 任意の値(例えば、100)
名前: 任意(例: Allow-Bastion-TCP-443)
アウトバウンドセキュリティルールの確認
5. 同様に「アウトバウンドセキュリティルール」を確認し、必要に応じて設定を調整します。
この設定により、Azure Bastionを使用して安全に仮想マシンにアクセスできるようになります。
NSGの設定を適切に行うことで、ネットワーク全体のセキュリティが向上します。
Azure Bastionの接続方法
Azureポータルでの設定手順
- Azureポータルにサインインします。
- 左側のメニューから「リソースの作成」を選択します。
- 「Bastion」を検索し、「Bastionの作成」を選択します。
- 必要な情報を入力し、Bastionホストを作成します。
- Bastionホストを既存の仮想ネットワーク(VNet)にデプロイします。
- Bastion専用のサブネット「AzureBastionSubnet」を選択します。
これにより、Azure Bastionを使用して仮想マシンに接続する準備が整います。
SSH/RDPを使用した接続方法
SSH接続
- Azureポータルで接続したい仮想マシンを選択します。
- 上部のメニューから「接続」を選択し、「Bastion」を選びます。
- 「SSH」を選択し、SSHキーを入力します。
- 「接続」をクリックすると、ブラウザ内でSSH接続が開始されます。
これにより、セキュアなコマンドラインアクセスが可能になります。
RDP接続
Azureポータルから仮想マシンに接続
- Azureポータルで接続したい仮想マシンを選択します。
- 上部のメニューから「接続」を選択し、「Bastion」を選びます。
- 「RDP」を選択し、必要な認証情報を入力します(ユーザー名とパスワード)。
- 「接続」をクリックすると、ブラウザ内でRDP接続が開始されます。
これにより、仮想マシンのデスクトップにアクセスできます。
Azure Bastionでファイル転送を行う方法
Azure Bastionでは、接続方式とSKUに応じてファイル転送方法が異なります。設計時に「運用者が何で接続するか」を先に固定しておくと手順が安定します。
RDP接続では、Bastionセッション上でコピー&ペーストやファイル転送機能を利用できます。SSHではStandard/Premiumのネイティブクライアント接続を使う構成が実務で一般的です。
RDP接続の場合
- Azure Bastionを使用してRDP接続を確立します。
- ローカルコンピュータ上で、転送するファイルをコピーします(Ctrl+C)。
- Bastionセッション内で、ファイルを貼り付けます(Ctrl+V)。
この手順により、ファイルがVMに転送されます。
SSH接続の場合
SSH運用では、Bastionのネイティブクライアント接続機能(Standard/Premium)を利用して転送します。ポータル接続だけでなく、運用スクリプトと組み合わせたい場合に有効です。
Azure Bastionのリージョン間接続
Azure Bastion自体がリージョンをまたいで直接中継するわけではありません。実運用ではVNetピアリングや接続設計を組み合わせて、別リージョンVMへの到達性を作ります。
地理分散環境では、どのリージョンにBastionを置くか、どのVNetをハブにするかを先に決めるとトラブルを減らせます。
実際の手順
リージョン間接続を設定するには、VNetピアリングを使用します。
これにより、異なるリージョンのVNet間でのシームレスな接続が確立され、業務効率が向上します。
- Azureポータルにサインインします。
- ピアリングを設定する最初の仮想ネットワーク(VNet)に移動します。
- 左側のメニューから「ピアリング」を選択し、「追加」をクリックします。
- ピアリングリンク名を入力します。
- ピア接続する仮想ネットワークを選択します。これは異なるリージョンにあるVNetでも構いません。
- リモートネットワークの設定を確認し、トラフィックが相互に流れるように設定します(リソースマネージャーモード)。
- 必要な設定を確認し、「作成」をクリックします。これで、2つの異なるリージョンのVNetがピアリングされます。
- BastionリソースがデプロイされているVNetから、ピアリングされたリモートVNet内の仮想マシンにアクセスできます。
Azure Bastionが接続できない場合の対処法
Azure Bastionは通常、安定した接続を提供しますが、時に接続の問題が発生することがあります。このような場合、以下の対処法を試してみてください。
ネットワーク設定の確認
NSG(Network Security Group)の設定を確認します。
- インバウンドセキュリティルールで、ポート443(HTTPS)が開放されていることを確認してください。
- アウトバウンドセキュリティルールも適切に設定されていることを確認します。
ファイアウォール設定の確認
- Azure Firewallを使用している場合、Bastionトラフィックが許可されていることを確認します。
- 仮想マシンのOSレベルのファイアウォールも確認し、必要なポートが開放されていることを確認します。
サブネットの設定を確認
- Bastionサブネットの名前が正確に「AzureBastionSubnet」となっていることを確認します。
- サブネットのアドレス空間が/26以上であることを確認します。
Bastion設定の確認
Bastionリソースのステータスを確認します。
- Azureポータルで、Bastionリソースが「実行中」状態であることを確認します。
- 問題がある場合は、Bastionリソースの再起動を試みてください。
仮想マシンの設定を確認
- 接続しようとしている仮想マシンが実行中であることを確認します。
- 仮想マシンのネットワークインターフェイスが正しく設定されていることを確認します。
認証とアクセス権の確認
- RDP接続の場合、正しいユーザー名とパスワードを使用していることを確認します。
- SSH接続の場合、正しい秘密鍵を使用していることを確認します。
その他の対処法
ブラウザのキャッシュとCookieをクリアし、再試行します。
別のブラウザや別のデバイスからの接続を試みます。
Azure Supportに問い合わせる前に、Azure Status Pageで現在のサービス状態を確認します。
これらの対処法を試しても問題が解決しない場合は、Azure Supportに問い合わせることをお勧めします。
その際、具体的な症状やエラーメッセージ、試した対処法などの情報を提供すると、より迅速な解決につながります。
公式トラブルシュート:
セキュアアクセス設計の知見をAI業務自動化にも活かすなら
Azure BastionでVMへのセキュアアクセスを設計してきた経験は、AI業務自動化環境のアクセス制御設計にも活きます。AI業務自動化ガイドでは、セキュリティ設計の知見を活かしたAI導入の進め方を220ページにわたって解説しています。
セキュアアクセス設計からAI業務自動化へ
Bastionのセキュリティ設計をAI環境に展開
Azure BastionでVMへのセキュアアクセスを設計してきた経験は、AI業務自動化環境のアクセス制御にも活きます。220ページの実践ガイドで、Microsoft環境でのAI導入を計画してみませんか。
まとめ
Azure Bastionは、Azure仮想マシンへのセキュアなリモートアクセスを提供するための強力なツールです。パブリックIPアドレスを公開せずにアクセスできるため、セキュリティが向上します。
Azure Bastionの価格プランや設定方法、接続方法について理解し、最適な利用方法を選択することで、企業のITインフラの効率とセキュリティを高めることができます。また、他のAzureセキュリティサービスとの統合により、さらなるセキュリティ強化が図れます。
