はじめに
会社のコーポレートサイトに、IRやホワイトペーパーの配布、問い合わせフォームを足したいと上司から問い合わせがあったら、「サーバー」と「サーバーレス」のどちらを選びますか。
どちらもメリットデメリットがあり、用途や状況に応じて変化します。
今回は Azure を参考に、「サーバー」と「サーバーレス」の比較を Web サイトの観点から見ていきましょう。
1.要件を整理して前提とゴールを設定
- コンテンツ:静的な会社紹介ページ+IR資料+ホワイトペーパー
- ダウンロード前に名前やメールの登録を受け付ける
- 問い合わせフォームは個人情報を扱う
- 必要な非機能:安全性、見られる速さ、運用が楽、費用が無理のない範囲
2.サーバーとサーバーレスの基本構成
サーバー(IaaS)
- 仮想マシンを自分で持つイメージ
- WebサーバーやOSの更新は自分側の仕事
- 前段にWAF、裏側にデータベースやストレージ
- 強み:自由度が高い、特殊なソフトも入れやすい
サーバーレス(PaaS/FaaS)
- Static Web Appsでサイト表示、Functionsでフォームや登録の処理
- IR/ホワイトペーパーはBlob Storageに保存
- 認証はEntra External IDなどの出来合いを使う
- 強み:運用が軽い、自動で伸縮、小さく始めやすい
3.機能とセキュリティ
先に結論:速さはCDN/守りはWAF。どちらの方式でも前段にWAFを置くのが基本。WAFは速くしないが、フォームやAPIを守る門番として必須。
| 観点 | サーバー(IaaS) | サーバーレス(SWA+Functions) |
|---|---|---|
| 表示の速さ |
Azure Front Door などの CDNで配信を最適化。 キャッシュとエッジ配信で 体感を上げる。 |
同左。Static Web Apps+Front Door で近い拠点から配る。 |
| 守り(WAF) |
Application Gateway WAF または Front Door WAF を 前段に。 入力検査/ボット対策/ レート制限をここで実施。 |
Front Door WAF を 前段に。Functions/Blob は 背面に置き、Private Endpoint で内側接続。 |
| ユーザー登録/認証 | 外部IDや自作を選択。 秘密情報は Key Vault で 保護。 |
Entra External ID 等の 組み込み認証を利用。 秘密情報は Key Vault。 |
| 問い合わせ送信 | 常駐アプリで処理し、 メールAPI を利用。 |
Azure Functions で処理し、 メールAPI を呼び出す。 |
| 保管 | VM内/Blob Storage。 |
Blob Storage (Private Endpoint 推奨)。 |
| 監視と記録 |
Azure Monitor/App Insights、WAFログを 長期保管。 |
同左。誤検知はWAFの検知 モードで学習→段階的に ブロック。 |
補足(用語の役割)
- CDN:世界中の拠点にコピーを置き、近い場所から配る仕組み。速さの担当。
- WAF:不正なリクエストをふるい落とす仕組み。守りの担当。速くはしない。
- 実装のコツ:まず WAFを検知モードで開始→誤検知を調整→ブロックへ移行。reCAPTCHA/レート制限/入力検証も併用。
- 個人情報は必要最小限だけ保存。削除手順/保管期間を先に決める。
4.お金の考え方をざっくり比較
前提:WAFの費用は前段サービスの費用で、サーバー/サーバーレスとは独立。どちらでもWAFを使えばWAF分の費用が上乗せされる。速さのためのCDN費用も別途かかる。
サーバー(IaaS)の主な内訳
-
VM台数×時間+ディスク+Front Door(CDN)+WAF(Front Door WAF または App Gateway WAF)+外向き通信(Outbound)+監視/ログ - 特徴:固定費が大きめ。常時高負荷なら予約割引で下げやすい。
サーバーレス(SWA+Functions)の主な内訳
-
Static Web Appsの時間+Functionsの実行分だけ+Blob保管+Front Door(CDN)+WAF(Front Door WAF)+外向き通信 - 特徴:少ない月は安く、増えても自動で伸縮。ただしPDF配布の通信量が増えるとどちらでも費用が伸びる。
まとめ(費用の見方)
- 速さのためにCDNを入れる → CDN費用が乗る。
- 守りのためにWAFを入れる → WAF費用が乗る(方式に関係なく発生)。
- 最終的な支配要因は、外向き通信量(PDF配布など)とアクセスの山。
- 進め方は、小さく開始→1〜3か月の実測で
Outbound/WAFヒット率/誤検知を確認し、WAFルールとCDNの有効化レベルを調整するのが安全。
5.設計/構築/運用の比較で実務がラクな方を見極め
| 観点 | サーバー | サーバーレス |
|---|---|---|
| 速さ | OS準備が必要 | Git連携で公開が速い |
| 運用 | パッチや監視の手作業が多め | 基盤側で自動管理 |
| 柔軟性 | 変わったソフトや細かい設定も可能 | 標準的な会社サイト程度であれば十分 |
現行オンプレから移す時のチェック
- [ ] ドメインと証明書の管理が自社でできるか
- [ ] 301リダイレクトの表を作る(旧URL→新URL)
- [ ] 画像/PDFの権利と再配布可否を確認
- [ ] SPF/DKIM/DMARCを整えてメール到達性を確保
- [ ] WAFの例外ルールや監査ログの保管期間を先に決める
- [ ] Outbound(外向き通信)の見込みをメモ(PDF配布は通信量が効く)
どちらを選ぶかのまとめ
- サーバーレス:小さく始めて伸ばしたい、運用を軽くしたい、会社サイト+登録+問い合わせの定番構成に向く。
- サーバー:いつも高負荷、特殊なソフトが必須、細かいOS設定が必要なら有利。
- まずはサーバーレスで小さく試す→実測の通信量と実行回数を見て最終判断、が無理のない進め方。
おわりに
結論はシンプルです。
標準的な会社サイトならサーバーレスが第一候補。
ずっと重い負荷や特殊要件があるならサーバーも検討。
どちらでもWAF/HTTPS/監査ログ/最小権限は外さない――ここだけは共通です。
ここをベースに考えて、機能や移行、ボリュームやコストといった要素を加えつつ、最適な環境を選択していきましょう。