この情報は Copilot Deep Research によって制作されました。
AWS Direct Connect 技術レポート: 2025年最新版
はじめに
AWS Direct Connect(以下、Direct Connect)は、AWSが提供するクラウドサービスへの専用ネットワーク接続を実現するサービスであり、セキュリティ、安定性、パフォーマンス、コスト効率において多くの企業・組織に選択されています。本レポートでは、AWS公式リソース(AWS公式Webサイト、開発者ガイド、最新のAWS Blogsなどの一次情報)のみを参照し、Direct Connectの技術的全体像を解説します。特に2025年現在の最新情報、およびサービス拡張や新機能、大規模な構成変更・運用手法の進化を踏まえて、網羅的に記載します。
1. AWS Direct Connectの概要
Direct Connectは、お客様のオンプレミス(データセンター、オフィス等)とAWSクラウド間にプライベートネットワーク経路を構築し、インターネットを中継しない安定かつセキュアな接続を提供するサービスです。接続ポイント(DXロケーション)は全世界約100箇所以上に設置され、利用者は自身のコロケーションやオフィスからこれらのロケーションに専用またはパートナー経由で回線を敷設することで、AWSクラウドへの閉域接続が実現できます。データ転送コストの削減、可搬性・拡張性に優れ、数十Gbps以上のスケーラブルな帯域幅を提供することで、大規模データ転送、リアルタイム分析、オンプレミス-クラウド間低遅延、セキュア・ハイブリッドクラウド環境の中核となります。
主なメリットと特徴
- 一貫した低レイテンシ―・高帯域幅:専用経路により帯域保証・一貫した転送品質を実現。
- インターネット非経由によるセキュリティ:パブリック回線の脅威を回避し、MACsecやIPSecによる暗号化もサポート。
- コスト効率:パブリックインターネット経由よりもデータ転送料金が割安。
- 柔軟性・拡張性:数十Mbps~400Gbpsの多様な帯域設計および複数契約によるLAG構成が可能。
- SiteLink機能:グローバルネットワーク上でDirect Connectロケーション間の拠点間通信も追加コストなしで低遅延に実施可能(後述)。
これらの特徴を活かし、金融業や行政等の高信頼性・高セキュリティ要件、大規模メディアや製造業での高速転送など、多彩なユースケースに利用されています。
2. 接続タイプ(専用/Dedicated・ホスト/Hosted)
Direct Connectの物理的な接続方式は、大別して「専用接続(Dedicated Connection)」と「ホスト型接続(Hosted Connection)」の2種類があります。
2.1 専用接続(Dedicated Connection)
専用接続は、特定顧客専用の物理イーサネットポートをAWS Direct Connectロケーションで割り当て、その専用線を経由してAWSクラウドに直結します。顧客はAWSマネジメントコンソール、CLI、APIから直接リクエストを発行し、1Gbps、10Gbps、100Gbps、400Gbps等の帯域から選択可能です。その上で、最大50個のプライベートまたはパブリックVIF(仮想インターフェイス)と最大4個のトランジットVIFを割り当てることができます(LAG利用時は帯域・冗長性をさらに拡大)。
主な特長としては、以下となります:
- 帯域の確保・安定した性能
- 全インターフェイスの冗長・高可用設計を柔軟に選択可能
- LAG(Link Aggregation Group)による拡張性・冗長性強化
- MACsec(物理層暗号化、10Gbps以上ポートで利用可能)
2.2 ホスト型接続(Hosted Connection)
ホスト型接続は、AWS Direct Connect Delivery Partner(APNパートナー)が所有する物理接続リソースの一部を顧客へ論理的に分割して提供します。利用者はパートナーを通じてAWSネットワークと接続し、50Mbps~10Gbps(パートナーによっては25Gbps)の多様な帯域幅から選択可能です。個別のVIF毎に契約となり、1つのホスト接続につき割り当てられるVIFは1つのみとなる点が専用接続との違いです。
ホスト型では、柔軟な帯域・短期間の利用、短納期、小規模用途に適していますが、帯域保証や細かな冗長構成の調整では専用型が有利となります。
接続タイプ比較表
| 項目 | 専用接続 | ホスト型接続 |
|---|---|---|
| リクエスト手続き | コンソール/CLI/API | パートナー経由(コンソール不可) |
| 帯域幅 | 1/10/100/400Gbps | 50Mbps~10(25)Gbps |
| VIF数上限(プライベート/パブリック) | 最大50 | 1(トランジットVIF含む) |
| LAG/冗長性構成 | 可(高可用性重視) | パートナー依存 |
| MACsec(物理層暗号化) | 10Gbps以上で利用可能 | 新たにパートナー相互接続にも対応(2025/7アップデート) |
専用型は大規模や将来拡張を前提とするワークロード、ホスト型は予算・短納期・まずは小規模に始めたい用途にマッチします。
3. 仮想インターフェイス(VIF)の種類
Direct Connect接続の上には、AWSリソースごとに異なる仮想インターフェイス(Virtual Interface: VIF)を作成し、ルーティング制御・セグメンテーションを論理的に実施します。VIFの種類は大きく3つに分かれ、ネットワーク設計に直結します。
3.1 プライベート仮想インターフェイス(Private VIF)
プライベートVIFは、プライベートIPアドレスを用いてAmazon VPCなどのAWSリソースに直接接続するためのインターフェイスです。一般にオンプレミスのネットワーク拠点とVPC間をセキュア・低遅延で相互接続したい場合に利用します。最大9001バイト(ジャンボフレーム)対応となり、VGW(Virtual Private Gateway)またはDirect Connect Gateway(DXGW)へアタッチ可能です。
3.2 パブリック仮想インターフェイス(Public VIF)
Public VIFは、AWSのパブリックIPアドレス帯(例: S3、DynamoDB等のパブリックサービス)の全リージョン(中国を除く)へ、インターネット経由せずDirect Connect回線を使ってアクセスする用途で利用されます。BGPを経由し最大1,000ルートを伝播可能ですが、現在は多くのパブリックAWSサービスでPrivateLink等によりVPC内にエンドポイントを展開しやすくなったため、利用頻度は減少傾向です。
3.3 トランジット仮想インターフェイス(Transit VIF)
Transit VIFは、Direct Connect Gateway配下の1つ以上のTransit Gateway(TGW)との間を接続するためのインターフェイスです。複数のVPCとの通信制御やスケーラビリティ、Multi-VPC/リージョン接続など高度なマルチテナント接続・クロスリージョン設計に必須で、ハイブリッドWAN設計やバックアップルート、多拠点拡張に適します。MTUは標準1500バイトまたは最大8500バイトまで拡張できます。
仮想インターフェイスの前提条件まとめ
- ConnectionもしくはLAG(Link Aggregation Group)の指定
- 固有のVLAN(IEEE802.1Q準拠、1~4094)
- BGP ASN、ピア用IPアドレス、MTU設定、MD5キー
- 最大ジャンボフレーム:Private 9001、Transit 8500バイト
- パブリックVIFはジャンボフレーム非対応
SiteLink対応表(2025年5月時点)
| 仮想インターフェイスのタイプ | SiteLink 対応 |
|---|---|
| トランジットVIF | サポート |
| DXGWにアタッチしたプライベートVIF | サポート |
| VGW直付けプライベートVIF | 非サポート |
| パブリックVIF | 非サポート |
4. Direct Connect Gatewayの役割
DX Gateway(Direct Connect Gateway)は、複数リージョンのVPC・Transit Gateway・Cloud WANなどにまたがってオンプレ・AWSリソース間のハイブリッドネットワークを単一経路・論理リソースでセキュアに統合するためのグローバルサービスです。
4.1 主な機能
- 複数AWSアカウント/リージョン/複数VPCとの接続を一元管理(2025年5月現在、最大20VPC/6TGWまで拡張)
- Private VIF経由で複数VPC、複数リージョンのVPCに接続
- Transit VIFにより大規模ハブ&スポーク型ネットワーク/マルチVPCネットワークを容易に構成
- Cloud WAN統合にも正式対応(2024/11アップデート)
4.2 ハイブリッド/クロスリージョンシナリオ
- オンプレミス→DXGW→複数VPC(東京/大阪/北米等、CIDR重複不可)
- DXGW配下複数VPC間通信はデフォルト不可(広報プレフィックスがスーパーネットで一致すれば通信可)
- クラウドWAN、Transit Gateway関連付け、アカウント横断も可能
- 経路広報はBGP、個別VIF単位で制御
4.3 DXGWとCloud WANの統合(2024-2025アップデート)
Cloud WANとの統合により、複数リージョンにまたがるVPC/オンプレミスNWとAWSグローバルコアNWをシームレスかつ動的BGPルーティングで一体的に運用できます。東京/大阪は未対応(2025年10月時点)ですが、相互接続によりTransit Gateway不要で広域エンタープライズNW設計が可能です。
5. 冗長化と高可用性設計
Direct Connectは企業システムの基幹NWにも採用されるため、高い可用性と耐障害性が求められます。AWS公式が推奨する設計およびSLA基準について解説します。
5.1 回復性モデルとSLA
Direct Connectの冗長構成は4パターンに大別できます:
| パターン | 回復性/SLA | 適用シーン | 場所 | 可用性目標 |
|---|---|---|---|---|
| シングル | 95% | 検証/開発環境 | 単一DC | 標準 |
| シングルサイト/冗長 | - | 一部本番, 非クリティカル | 単一DC | |
| マルチサイト(複数地点) | 99.9% | 本番(高可用性) | 異なる2地点DC | 高 |
| マルチサイト/冗長 | 99.99% | 重要な本番、ミッションクリティカル | 複数DC | (最高) |
最大耐障害性(99.99% SLA)には、異なる2拠点・2経路・異なる装置終端、BGPダイナミックルーティング、十分な増強帯域を設計条件とします。
5.2 おすすめ冗長化設計
- 異なるDXロケーション2箇所に専用接続を構築(ロケーション障害対策)
- 各DXロケーション内でも回線/スイッチ/ルータを冗長化
- 現地NW/通信事業者/ISPも多経路化(可能なら複数社冗長化)
- LAG/ECMPによる負荷分散
- BGPプリファレンス/AS-Prependによる経路制御
- バックアップ用VPNやSite-to-Site VPNとの併用
5.3 Site-to-Site VPNとの併用、LAG、BFD
- Site-to-Site VPN(最大1.25Gbps/トンネル、冗長性補助、トラフィックECMP可)
- LAG(4本まで:100Gbps未満、2本:100/400Gbps)
- BFD(Bidirectional Forwarding Detection)による障害検知・自動切り替え推奨
6. セキュリティとアクセス制御
6.1 暗号化(MACsec/IPsec)
Direct Connectはインターネットに露出しない閉域型NWですが、追加の物理レイヤー暗号化(MACsec: IEEE802.1AE)が10Gbps/100Gbps/400Gbpsの専用接続および対応パートナー回線でも利用可能になりました(2025/7アップデート)。相互接続のパートナーエッジデバイス-Direct Connectルータ間レイヤー2ネイティブ暗号化が可能です。詳細設定は公式ユーザーガイド・パートナー情報参照。
また、アプリケーション層・VPC側で追加のIPsec VPNも設定可能です。総合的なセキュリティ要件に応じて暗号化層を選択します。
6.2 IAMによる権限管理とABAC
Direct Connectリソースへの操作権限はAWS Identity and Access Management(IAM)で管理します。専用のアイデンティティベースポリシーにより、「接続作成/削除」「VIF管理」「ゲートウェイ関連付け」など細かな権限設定が可能です。タグベースのアクセスコントロール(ABAC)によって、運用チーム/開発チーム/外部委託等の権限分離実現も公式サポートされています。
6.3 BGP経路制御とルート・コミュニティ
BGPピアリングではMD5認証キー指定が必須、コミュニティタグによる経路制御やASパスプレフィックスを活用したハイレベルなルーティング制御が可能です。Direct Connect Gateway配下VPCへの経路制限・フィルタリング、オンプレ→AWS間の経路広報数制限(100ルート問題)にも対応した設計が必要です。
6.4 セキュリティ責任共有モデル
AWSは物理・インフラレイヤのセキュリティ、利用者は運用設計(認証情報管理・経路制御・データ暗号化等)という責任共有モデルに従い、システム分離や権限最小化、多要素認証(MFA)、CloudTrailによる監査を推奨しています。
7. 運用と監視
Direct ConnectリソースはAmazon CloudWatch、CloudTrailで可視化と監視を行い、安定運用に必須です。
7.1 CloudWatch監視
CloudWatch上で、専用接続・VIFごとに多様なメトリクスをリアルタイムモニタできます。
主なメトリクス
- ConnectionState:物理接続状態(Up/Down)
- ConnectionBps{Egress/Ingress}:帯域利用率(ビットレート)
- ConnectionErrorCount/CRC:物理層エラー
- VirtualInterfaceBps{Egress/Ingress}:VIF単位の帯域利用率・パケット数
- ConnectionEncryptionState:暗号化状態
- 光レベル(10G/100Gの場合)
アラート通知、トラフィック傾向分析や障害切り分けに活用。
7.2 カスタムメトリクス
AWS CLI/SDKでVIFステータス、BGPピア状態、経路情報も取得可能です。Lambda×CloudWatchアラームで定常監視を自動化できます。
7.3 外部系監視とEC2・Synthetic Monitor
オンプレ-UCCへの疎通確認にはNetwork Synthetic MonitorやEC2上のカスタム監視(パケットロス、レイテンシ等)も活用可能です。
7.4 CloudTrail監査
操作ログはCloudTrail経由でAWS APIコール毎に保存。セキュリティ監査・運用事故時のトラブルシュートに不可欠です。
8. 主要ユースケース
8.1 ハイブリッドクラウド/オンプレミス-クラウド統合
銀行や官公庁など旧来IT資産をAWSに相互接続し、ハイブリッド・IT運用を低遅延・高パフォーマンスで実現。
8.2 マルチVPC・大規模データ転送
マルチVPC環境でデータレイク構築、RDB/分析基盤の高速同期・リアルタイム分析等で活用。巨大バックアップ/メディア転送にも実績。
8.3 SaaS基盤、災害対策・DR
SaaS基盤での顧客直結NWアクセス、災害対策/DR用にDirect Connect+マルチリージョン設計、リージョン間フェイルオーバーも万全な信頼性設計に最適です。
8.4 SiteLinkによるグローバル拠点相互接続
グローバル展開企業で、SiteLinkにより世界各拠点のオンプレミスNW間をAWSバックボーンで仮想的かつ低遅延・高信頼に直結。
9. ベストプラクティス
AWS公式ベストプラクティスを以下にまとめます。
- 冗長経路(マルチロケーション+複数回線+異なる通信事業者)を設計
- BGPダイナミックルーティング、経路制御(Active/Active推奨)
- 帯域設計は障害時に片系へトラフィック集中しても問題ない容量を確保
- Site-to-Site VPNを冗長経路(バックアップ)として組み合わせ(1.25Gbps/トンネル制限)
- LAGによる帯域拡大・運用効率化
- CloudWatch/CloudTrailによる監視・アラート・自動修復
- セキュリティはIAM最小権限+多要素認証+経路フィルタ
- 100ルート問題やASパス制御に注意し、常に経路集約+運用監視を徹底
10. 制限事項・クォータ(2025年時点)
主な制限一覧
| 項目 | クォータ/備考 |
|---|---|
| 専用接続VIF | 最大50(+トランジットVIF最大4) |
| ホスト接続VIF | 各1つのみまで |
| DXGWあたりVGW | 20(2025/5時点で10→20に拡大) |
| DXGWあたりTGW | 6 |
| BGP経路数 | プライベート/トランジットVIFは各100まで |
| パブリックVIF | BGP経路1,000まで |
| LAG | 最大100Gbps未満:4、100/400Gbps:2 |
| LAG最大VIF | 51 |
| SiteLink | プライベートVIFのみ |
| MTU | プライベート9001、トランジット8500まで |
| ASN | プライベート64,512~65,534、パブリック1~2,147,483,647等 |
DXGWあたり20VPC/6TGW上限などクォータが緩和され、より柔軟な大規模マルチVPC設計が可能となっています。
11. 料金体系(2025年7月時点)
Direct Connectの料金はシンプルで、主に以下3要素で構成されます。
11.1 ポート時間料金
- 専用型(Dedicated):1Gbps=0.285USD/h、10Gbps=2.142USD/h、100Gbps/400Gbpsも同様
- ホスト型(Hosted):50Mbps=0.029USD/h~10Gbps=2.361USD/h
- ポートがプロビジョンされている間課金(データ送信有無に関わらず)
11.2 データ転送料金(DTO)
- AWS→オンプレ出方向のみ課金(例: 東京/大阪リージョンの場合0.041USD/GB)。国内為替レートによる円換算。
- 送信先DXロケーション/リージョンによって料金が異なる
- AWS→Direct Connect間の送信(Out)は課金されるが、Inbound(オンプレ→AWS)は全リージョンで0円
11.3 SiteLink
- SiteLink使用時は各仮想インターフェイス単位で$0.50/時+送信ロケーション-受信ロケーション間データ転送に応じて課金
- SiteLink未使用なら追加コスト無し
11.4 隠れコスト・周辺費用
- DXロケーションまでの回線(自社準備またはパートナー)
- 通信事業者/ISP/パートナー機材費・保守費
- LAG利用時や高可用設計時はポート数分加算
12. 最新アップデート
12.1 Direct Connect Gateway クォータ拡張(2023-2025)
- DXGWあたりVGW数上限が20、TGW数上限6へ
- トランジットVIFあたり最大4本
- Transit Gateway→オンプレ向け広報プレフィックス最大200に
12.2 MACsec対応拡大(2025年7月公開)
- 10Gbps/100Gbps専用接続のみならず、サポート対象パートナー接続・相互接続にもMACsecが利用可能に
- 世界100拠点以上でパートナーエッジNWまでレイヤー2暗号化提供
12.3 Cloud WAN統合(2024年11月公開)
- Direct Connect GatewayをCloud WANコアネットワークに直接アタッチ可能
- Transit GatewayなしでVPC/オンプレ間のグローバルNW設計をシンプルに(東京/大阪リージョンは未対応)
12.4 その他
- SiteLink正式リリース。オンプレミス間のグローバル閉域拠点間接続をAWS NW経由で簡便化
- AWS公式Black Beltウェビナー・ブログで冗長設計や大阪リージョンのDX拠点追加等を継続アナウンス
13. 今後の展望とまとめ
AWS Direct Connectは2025年現在、帯域・拡張性・高可用性・セキュリティ・運用監視まであらゆる企業ハイブリッドNW要件に対応し、引き続き進化し続けています。監視や料金、各種制限も大幅に緩和され、DX GatewayやCloud WANによる統合的なネットワーク設計が標準アーキテクチャとなりつつあります。
構成設計や制限事項、コスト管理は常にAWS公式ドキュメント・ポータルで最新情報を確認し、公式ベストプラクティス・新機能を積極的に採用することで、クラウド移行やハイブリッド運用の信頼性・効率性・コスト最適化が実現できるでしょう。