はじめに

こんにちは、ACS事業部の吉川です。
先日、Microsoftから以下の発表がありました。

https://azure.microsoft.com/en-us/updates/default-outbound-access-for-vms-in-azure-will-be-retired-transition-to-a-new-method-of-internet-access/

2025年10月以降、VMの既定のアウトバウンドアクセスができなくなるという内容です。
影響の大きなニュースなので、今のうちから内容と対策を抑えておきましょう。

以下の内容はすべて2023年10月17日時点の情報です。この発表がなされたあと各所で大きな反応が上がっていることから、2025年9月までに内容の変更が入ったり、時期が変更となる可能性があります。

この変更による影響

2025年10月以降に作成したVMは、明示的に設定しない限り インターネットに接続できなくなります。

ここで言う明示的な設定とは、以下のいずれかを指します。

UDRでAzure FirewallやNVA(仮想ネットワークアプライアンス)を指定する
VMを外部ロードバランサーに接続する
VMのサブネットにNAT Gatewayを作成する
VMのNICにパブリックIPを設定する

現状のVMは上記の設定がなされていなくても、Azureの任意のパブリックIPでSNATされてインターネット宛の通信を行うことができます。この挙動を 既定の送信アクセス と呼びます。AWSなどの他クラウドでは明示的な指定なしにインターネットと接続できることは殆どなく、Azureの特徴的な挙動と言えます。この既定の送信アクセスが 2025年10月以降に作成したVMから無効となる というのが今回の更新内容です。

少なくとも現時点では、既存のVMに対する無効化は発表されていません。2025年9月までに作成したVMは、2025年10月以降も既定の送信アクセスを使用可能 です。
じゃあ今使ってるVMに関しては何もしなくていいよね、というと…必ずしもそうとは言えません。
例えばいま運用中のシステムが、ユーザー増に伴い既存構成に新たにVMを追加する必要が出てきた場合、古いVMと新しいVMで挙動が異なる という問題が発生します。もちろん挙動を把握したうえで適切に設定を使い分ければ問題はないのですが、可能な限り同一システム上での通信構成は揃えておいたほうが余計な混乱を生まなくてよいでしょう。少なくとも今後新たにシステムを構築するときには先に挙げた明示的な設定のいずれかを採用することをお勧めしますし、既存の運用中システムにおいても可能であれば構成の見直しを行ったほうがよいでしょう。

どの設定を採用すればいい？

では、明示的な設定を採用するとして、どれを使うのがいいでしょうか。
個別の通信要件による というのが答えになってしまいますが、それだと途方に暮れる方も多いと思うので、私個人のおおまかな判断基準を書いておきます。

基本形 … NAT Gatewayを設置する

第一の候補としては NAT Gateway です。アウトバウンド通信を統合するためのリソースですので構成上もわかりやすく、サブネット内のVMすべてに一貫したアウトバウンド設定を適用できます。まずはNAT Gatewayの採用をベースに考えていくとよいでしょう。

複数システムをまとめて管理 … Azure Firewall or NVA を設置する

単一のシステムではなく、複数の業務システムのアウトバウンドをまとめて管理したい場合には Azure Firewall を利用するのがよいでしょう。FQDNフィルタリングなどの高度な機能を使い、細やかにアクセス制御を行えるサービスです。
使い慣れたNVAがある場合はそちらを採用するのもよいでしょう。

コスト最優先、対象VMが数台のみ … 各VMにパブリックIPを付与

NAT Gatewayは一月に最低でも5,000円弱は請求されます。そのコストが惜しい場合、かつ対象VMが少ないのであれば 各VMのNICにパブリックIPを付与する のもあり得るでしょう。その場合は、インターネットからのインバウンドアクセスを防ぐよう、NSGへのルール追加を忘れないようにしましょう。
サービスが将来的にスケールする予定があるのであれば、最初からNAT Gateway案を採用したほうがよいかとは思います。ごく小規模かつスケールしない前提の案だと考えてください。

上記の3案をベースとして、通信要件上合わない部分が出てきたら別案を検討する、というのがよいかと思います。