2025.07.18 (最終更新:2025.07.18)
全国に複数拠点を持つインフラ・エネルギー関連企業さまからのご依頼です。
AWS EC2・RDSインスタンスで構成されたAWS上の業務システムを、各営業所のオンプレミス環境からローカルネットワークで接続して利用したいとのことで、AWS Site-to-Site VPN を導入しました。
AWS Site-to-Site VPN接続イメージ図(出典:AWS公式サイト)
1. 比較検討
比較検討段階では、AWS Direct Connect と AWS Site-to-Site VPN を主に仕様・可用性・セキュリティ・コスト(導入/運用)の面で比較検討しました。
結論として、仕様面で必ずしも Direct Connect である必要がないこと、セキュリティに関しても要点を押さえればVPNでも要件をクリアできることから、導入/運用コストに優れる Site-to-Site VPN を導入することになりました。
特に複数の営業所と接続する必要があったため、Direct Connect と比較して導入コストを大幅に削減できることが決め手となりました。
2. 導入
導入にあたっては
- IPアドレス帯の重複回避ができているか?
- オンプレ側のルーターがIPsec対応か?
- オンプレ側のグローバルIPが固定か?
などの仕様としての懸案点がクリアされていたため、セキュリティと可用性に注力しました。
セキュリティ面では事前共有キーの管理や暗号化強度の確保、VPCセキュリティグループ・ネットワークACLの設定に特に気を使いました。
可用性においては、オンプレ側で回線を冗長化、結果として、1つの営業所にプライマリ回線とセカンダリ回線を設置して、AWS Site-to-Site VPN がデフォルトで提供する冗長化された2本のIPSec VPNトンネルの可用性を更に高めました。
3. 検証
検証はオンプレ側・クラウド側双方から ping やアプリケーションへの接続などで実施しました。当初はオンプレ側からクラウド側インスタンスに到達できませんでしたが、EC2インスタンスにスタティックルートを設定するなどして解決しました。
プライマリ回線とセカンダリ回線の切り替えも問題ありませんでした。
4. 運用
運用開始後、特に大きな問題もなく安定運用できています。
運用にあたってはオンプレ側の監視設定(詳細は不明)とAWS Cloud Watch による二重の監視で万全の保守監視体制をとっています。
以上のように、サービス選定後、わずか1ヶ月足らずという短期間で、オンプレ環境とクラウド環境をVPNで接続し安定運用まで実現できました。
同じような事案を抱えていらっしゃるお客様はぜひ一度、お問い合わせよりお気軽にご連絡ください。