---
title: Network Security Perimeterを理解する
tags: 
author: [Yohei Iwasaki](https://docswell.com/user/iboy)
site: [Docswell](https://www.docswell.com/)
thumbnail: https://bcdn.docswell.com/page/GE5MQMNGE4.jpg?width=480
description: YonaAz#16 LT会(https://yonayona.connpass.com/event/392577/) の登壇資料です。 AzureのNetwork Security Perimeterについて説明した初心者向け資料です
published: May 29, 26
canonical: https://docswell.com/s/iboy/ZGNQMD-2026-05-29-201519
---
# Page. 1

![Page Image](https://bcdn.docswell.com/page/GE5MQMNGE4.jpg)

はじめてのNetwork Security Perimeter (NSP)
AI時代! AI とコラボするためにAzureの新サービスを理解する!


# Page. 2

![Page Image](https://bcdn.docswell.com/page/9729P95DJR.jpg)

PLAYER PROFILE
CAREER
1st
STAGE
SIer ソースコード解析・開発環境構築
▼
2nd
某 Windows OS の会社で Azure 技術サポート
▼
NOW
DJ
SIer で SE / システムアーキテクト
PLAYING
NAME
iboy
Yohei Iwasaki
S E / システムアーキテクト
SKILL
SET
☆12
Azure .......... AAA
☆8
フットサル ...... A
☆10
音ゲー ........ AA
☆7
ランニング
...... A
X: @I_BOY_1204 | Qiita: iboy
OUTPUT
Qiita で Azure VM / Storage / Azure Files の検証・ノウハウを発信


# Page. 3

![Page Image](https://bcdn.docswell.com/page/DJY454KM7M.jpg)

本日の目標
AI時代
Network Security Perimeter
だからこそ
Azureの機能をきちんと
理解することが大事！
AI
を理解しよう！
負けずに張り合う人


# Page. 4

![Page Image](https://bcdn.docswell.com/page/V7NYNYR3E8.jpg)

本日の目標
AI時代
Network Security Perimeter
だからこそ
完全に理解した
を理解しよう！
Azureの機能をきちんと 「NSPについて
」
理解することが大事！
になれたら今日は勝利！
AI
負けずに張り合う人


# Page. 5

![Page Image](https://bcdn.docswell.com/page/YJ9PRPMP73.jpg)

Perimeterとは？(一般的な単語の意味)
りみたー ※アクセントは「り」
発音 ぺ
外
Outside
Perimeter = 境界線
意味（英語）
the outer edge of an area of land or the border around it
出展: Cambridge 英語辞書
内
意味（日本語）
周囲の長さ、（軍事基地・飛行場などを囲む）境界線、周辺（地域）
出展: Weblio英和辞書
Inside
つまり
ある領域を内と外に隔てるようなときに利用することができる単語
この破線がペリメーター（境界線）
外
Outside


# Page. 6

![Page Image](https://bcdn.docswell.com/page/GJ8DWDLXJD.jpg)

Azure におけるNetwork Security Perimeter
リリース
● 2024/11 パブリックプレビュー → 2025/8 一般提供開始
（GA）
Network Security Perimeter
概要
PaaS Service A
● 仮想ネットワークの外部にデプロイされるPaaSサービスが対象
● PaaSサービスの周囲に論理的な境界を設けて保護
● 境界内→外、外→内への通信を制御
● 既定でDeny、Allow List 内の通信だけを許可
● 境界内に閉じた通信は自由に実施可能
PaaS Service B
Allow （境界内は自由）
既定: Deny
つまり
外部からの通信は AllowList で許可された通信のみ
仮想ネットワークに紐づかない（NSGで制御できない）PaaSサー
ビスをよりセキュアに利用するための
外
境界型防御の仕組み


# Page. 7

![Page Image](https://bcdn.docswell.com/page/LJLMNMLNER.jpg)

Network Security Perimeterのサポートサービス
データベース
NSP対応
サポートされるサービス
SQL DB
Cosmos DB
MySQL Server
PostgreSQL
SQL MI
Managed
Redis
Data Explorer
Data Lake
Storage Gen1
Block Blob
Page Blob
FileShare
Data Factory
Synapse
Analytics
Databricks
Azure AI
Search
Azure OpenAI
Microsoft
Foundry
Cognitive
Services
Machine
Learning
App Services Function Apps Container Apps Static Apps
Environment
Logic Apps
SignalR
Pubsub
Communication
Services
IoT Central
Applications
Azure IoT
Operations
ストレージ / データ
AI / ML
コンピュート / アプリ
メッセージング / 統合
Service Bus
Event Hub
Event Grid
Key Vaults
Azure Monitor Log Analytics
Workspace
IoT / 監視 / セキュリティ
API
Management
Application
Insights
•
•
•
•
•
•
•
•
•
•
Azure Monitor
Azure AI Search
Cosmos DB
Event Hubs
Key Vault
SQL DB
Storage アカウント
Azure OpenAI サービス
Microsoft Foundry
Azure Service Bus
Digital Twins
※PaaSサービス一覧はCopilotに抽出してもらいました。どれがPaaSかのご意見あるかと思いますが、ご容赦ください


# Page. 8

![Page Image](https://bcdn.docswell.com/page/47MYXYMQ7W.jpg)

通信の制御方法
Inbound 通信
外→内
パブリックIPアドレスによる制御
許可するIPアドレスを指定して外部からのアクセスを制御
指定サブスクリプション内のリソースを許可
同じサブスクリプション内のリソースからのアクセスを一括許可
Outbound 通信
内→外
FQDNで通信許可先のリソースを設定
境界内のリソースが外部に通信する先を、完全修飾ドメイン名
（FQDN）で指定して制御


# Page. 9

![Page Image](https://bcdn.docswell.com/page/P7R9N9VKE9.jpg)

アクセスモードって何？ルールはどう決まるの？
強制モード
•NSP のルールを完全に強制
移行モード（学習モード）
•NSP のルールが最初に評価
•NSP ルールで許可されなかった場合に、PaaS サービスの FW
設定にフォールバックして評価


# Page. 10

![Page Image](https://bcdn.docswell.com/page/PJXQNQZ57X.jpg)

NSPの注意点


# Page. 11

![Page Image](https://bcdn.docswell.com/page/3JK9N98RJD.jpg)

機能的な注意点（プレーン別の対応範囲）
×
Azure リソースの構造
コントロールプレーン
○
NSP の対象範囲
データプレーン
リソース自体の設定・管理
データ自体の操作
例：Storageアカウントの診断設定、ファイアウォール設定など
例：Storageアカウント上のデータの読み書き
NSP対象外
NSPで通信制御可能
RBACやConditional Accessで別途制御
NSP はデータプレーンの通信制御のみ対応
コントロールプレーンの制御にはRBACやConditional Accessなどを別途適用する必要があります


# Page. 12

![Page Image](https://bcdn.docswell.com/page/LE3WVW2GE5.jpg)

機能的な注意点(エンドポイント)
パブリックエンドポイント
NSP 制御対象
プライベートエンドポイント
制御対象外
NSPで制御される通信は
パブリックエンドポイント宛ての通信のみ
プライベートエンドポイントへの通信は
NSPでの制御対象外
インターネット経由でアクセスされるエンドポイントへの通信が、NSP
のルールで制御されます
VNet内のプライベートエンドポイント経由の通信は、NSPのルール
では制御されません
同一リージョンからのアクセスは
IP規則では制御できない
同一リージョン内のリソースからのアクセスは、IPアドレスベースのInboundルー
ルでは制限できません


# Page. 13

![Page Image](https://bcdn.docswell.com/page/8EDK8KZN7G.jpg)

どれくらい違いがあるの？
ほかの機能と比較してみよう


# Page. 14

![Page Image](https://bcdn.docswell.com/page/V7PK8KDNJ8.jpg)

PaaS サービスのリソースFirewallと比較してみる
FW
NSP
リソース Firewall
NSP
1つのリソースへの
アクセスを個別に制御
紐づいたPaaSリソース群を
まとめて制御
そのリソースだけを守る
リソース群の塊で守る
片方が高機能に見える ≠ 優れている｜機能差分を理解するための比較
今回は Storage Account の Firewall 設定を利用して比較


# Page. 15

![Page Image](https://bcdn.docswell.com/page/2JVVNV1YJQ.jpg)

Storage Account FW の3つのアクセス制御規則(Inboud制御)
ストレージアカウントのパブリックエンドポイントへのアクセスを制御する3つの方法
VNet
IP
✓
仮想ネットワーク規則
IPネットワーク規則
信頼されたサービスの例外
Azure Virtual Network 内の特定のサブネッ
トからのトラフィックを許可
特定のパブリックIPアドレス範囲からのト
ラフィックを許可
ネットワーク境界外で動作する特定のAzure
サービスからのトラフィックを許可
↑ この2つの規則の使い分けの勘所はブログにまとめています
Azure Storage Accountのファイアウォール設定で困ることが多いので設定方法まとめ #AzureStorage - Qiita


# Page. 16

![Page Image](https://bcdn.docswell.com/page/5EGLKL2WJL.jpg)

FW判定の大原則：最後のホップが鍵
ストレージアカウントにアクセスする際の経路上で
「最後にどのリソースやどの場所を通ったか」が重要
クライアント
経路
Azure VM / オンプレ / インターネッ
ト
Azure Firewall / VPN / サービスエン
ドポイント
同一リージョン内 → 仮想ネットワーク規則で制御
Storage Account
ファイアウォール判定
異なるリージョン → IPネットワーク規則で制御


# Page. 17

![Page Image](https://bcdn.docswell.com/page/4JQYNYPQ7P.jpg)

シナリオ別 設定早見表
1
同一リージョン内のVMからのアクセス
→ 仮想ネットワーク規則
2
ペアリージョンからパブリックIP経由でのアクセス
→ IPネットワーク規則
3
ペアリージョンからサービスEP経由でのアクセス
→ 仮想ネットワーク規則
4
ペアリージョン以外のリージョンからアクセス
→ IPネットワーク規則
5
ペアリージョン内のAzure Firewall経由でアクセス
→ 仮想ネットワーク規則
※ 仮想ネットワーク規則（青）= 同一/ペアリージョンの経路 ｜ IPネットワーク規則（橙）= それ以外の経路


# Page. 18

![Page Image](https://bcdn.docswell.com/page/K74WGWYYE1.jpg)

は？ってなった方、ぜひブログを読んでください
は？
FWの判定ルール、
難しくないですか？
「最後のホップ」や「シナリオ別の使い分け」
がぴんとこない方へ
詳しくはこちらをチェック！
ブログ記事を読む→
ブログ記事を読む →


# Page. 19

![Page Image](https://bcdn.docswell.com/page/LJ1YDY6NEG.jpg)

共通の前提と制御範囲の違い
どちらもデータプレーンの Public Endpoint 経由アクセスを制御する機能（管理プレーン・Private Endpoint は対象外）
比較項目
Storage Account FW
NSP
設定の適用単位
Storage Account 1リソースごとに個別設定
NSPリソース1つで複数PaaSに一括適用
リソース間通信
対応概念なし
同一ペリメーター内は暗黙的に許可
各リソースに個別ルールが必要
ペリメーター = 信頼ゾーン
インバウンド制御方式
IP規則 + 仮想ネットワーク規則 + 信頼されたサービス
の例外
IP規則 + サブスクリプション単位の許可
アウトバウンド制御
非対応
仮想ネットワーク規則は非サポート
FQDN指定で送信先を制御可能
診断ログの送信先などを制御
Storage Accountの診断設定が制御の対象


# Page. 20

![Page Image](https://bcdn.docswell.com/page/GJWGYG4M72.jpg)

制限の違い
Storage Account Firewall と NSP では、制限事項や対応範囲に違いがある
制限項目
Storage Account FW
NSP
サービスエンドポイント
✓ 対応
✗ 非サポート
（仮想ネットワーク規則）
VNet規則でサブネット単位の制御が可能
IP規則またはサブスクリプション単位のみ
NFS / SFTP
✓ 対応
✗ 非対応
静的Webサイト
✓ 対応
✗ 非対応
Azure Backup
✓ 対応
✗ 非対応
同一リージョンからの
IPベースの制御
仮想ネットワーク規則で制御可能
信頼されたサービスの例外
IP規則では制御不可
サブスクリプション規則での制御は可能
✓ 対応
強制モードではバイパスされない
特定のAzureサービスを例外許可
明示的なペリメーター規則が必要


# Page. 21

![Page Image](https://bcdn.docswell.com/page/4EZLXL2M73.jpg)

NSPの制約と使い分けの指針
NSP の現時点での制約
Firewall の強み
•
•
サービスエンドポイント（VNet規則）は非サポート
NFS / SFTP・静的Webサイト・Azure Backupは非対応
•
•
VNet規則（サービスエンドポイント）に対応
NFS / SFTP / 静的Webサイト / Azure Backupに対応
•
対応PaaSサービスが限定的（順次拡大中）
•
成熟した機能で導入実績が豊富
使い分けの指針
NSPが適するケース
複数PaaSのアクセス制御を一元管理したい / アウトバウンド通信の制御が必
要
Firewallが適するケース（現状の推奨）
上記以外の多くのケース / VNet規則が必要 / NFS・SFTPを利用
※ NSPのサポート範囲は順次拡大中。今後の対応状況によって最適な選択は変わる可能性あり


# Page. 22

![Page Image](https://bcdn.docswell.com/page/Y76W4WV57V.jpg)

まとめ
1
NSP とは
2
アクセスモードと注意点
3
FW との使い分け
PaaS サービスの周囲に論理的な境界
を作り、内外の通信を制御
強制モード
▸ インバウンド: IP / サブスクリプション
移行モード
▸ アウトバウンド: FQDN ベース
NSP → PaaS FW の二段階で評価
▸ データプレーンのみが対象
注意点
NSP 向き
▸ パブリック EP・データプレーンのみ対象
▸ サービス EP / NFS / 静的 Web 非対応
FW 向き
NSP ルールのみで判定
▸ FW は個別リソース単位、NSP は複数
PaaS 一括で制御
▸ NSP は境界内通信が暗黙許可 ＋ ア
ウトバウンド制御可
複数 PaaS 一括管理 / アウトバウンド制御
VNet ルール / NFS / 静的 Web サイト
NSP は PaaS の境界を一元管理できる新しい選択肢。制約を理解し FW と使い分けよう！


# Page. 23

![Page Image](https://bcdn.docswell.com/page/G75MQMDG74.jpg)

参考リンク
• Microsoft 公式ドキュメント
• ネットワークセキュリティ境界とは何ですか？ - Azure Private Link | Microsoft Learn
• Azure サポートチームブログ
• ネットワーク セキュリティ境界とは | Japan Azure Monitoring Support Blog
• 非公式技術ブログ
• Azure Storage Account の Network Security Perimeter を理解する #AzureStorage – Qiita
• Storage Account Firewall to Network Security Perimeter (NSP) はどちらを使えばいいの？
二つを比較してみた #Azure – Qiita
• Azure Storage Accountのファイアウォール設定で困ることが多いので設定方法まとめ
#AzureStorage – Qiita
• コミュニティ発表資料
• Azure Storage Account FW のトラブルシューティング | ドクセル