Is NFW too expensive? Really?
안녕하신게라!パナソニック コネクト株式会社クラウドソリューション部の加賀です。
「AWS Network Firewall、便利そうだけど料金が高いよね…」
AWSを使っているエンジニアなら、一度はそう思ったことがあるのではないでしょうか?
VPCからのアウトバウンド通信を管理したいと考えたとき、AWS Network Firewall(以下、NFW)は有力な選択肢ですが、その料金表を見て躊躇してしまうケースは少なくありません。
「だったらEC2インスタンスを立てて、Squidでプロキシサーバーを自前で構築すれば安く済むのでは?」
その考え、よーーくわかります。しかし、本当にそうでしょうか?
本記事では、その「Squid自前構築」という選択肢と比較することで、NFWが決して高くなく、むしろ構築・運用の手間やトータルコストを考えると、非常にコストパフォーマンスに優れた選択肢であることを確認します。
結論: NFWは「楽」を買うサービス。そしてその「楽」は驚くほど安い
先に結論から述べます。NFWは、SquidをEC2で自前構築・運用する場合の「隠れたコスト」をすべて肩代わりしてくれるサービスです。概算費用は後述します。
| 比較観点 | EC2 + Squid(SSL Bump付き) | AWS Network Firewall |
|---|---|---|
| 構築の手間 | 👹 地獄 (OS/Squid設定, SSL Bumpの証明書管理, ルーティング, 可用性設計...) |
😊 天国 (エンドポイント作成, ルール設定のみ) |
| 可用性/スケーリング | 自前で設計・構築・運用 (Auto Scaling, ELB, NAT...) |
マネージド (AWSにお任せ) |
| OS/ミドルウェアのパッチ管理 | 必須 (脆弱性対応に追われる) |
不要 (AWSにお任せ) |
| TLS通信の可視化(SSL Bump) | 非常に複雑 (クライアント向けのルート証明書の作成・配布・管理が必要) |
簡単 (TLSインスペクション機能には、ルート証明書の配布・管理が必要) |
| ログ/モニタリング | 自前で設計・構築 (CloudWatch Agent, Kinesis...) |
標準機能 (CloudWatch Logs, Kinesis, S3) |
| 運用負荷 | 😇 天国へ(担当者の魂が) | 😎 平和 |
料金だけを見て「高い」と判断するのは早計です。これから、なぜNFWが「Squid自前構築」よりも優れているのかを具体的に見ていきましょう。
「EC2 + Squid」運用が実は高くつく、3つの理由
1. 地獄の構築・設定作業
WebフィルタリングやURLフィルタリングを実現するために、SquidをSSL Bump(TLS/SSL通信の中身を復号して検査する機能)付きでセットアップすることを想像してみてください。
- EC2インスタンスの選定とサイジング: どのインスタンスタイプ?CPU/メモリは?ディスクは?
- OSのセットアップ: Amazon Linux 2023にSquidをインストールして...
- Squidの複雑な設定:
squid.confとの長い戦いが始まります。ACL(アクセス制御リスト)の設定、キャッシュ設定、そして最大の難関であるSSL Bumpの設定。 - 証明書管理: SSL Bumpのための中間CA証明書を作成し、それをすべてのクライアントPCやEC2インスタンスに配布・信頼させる必要があります。この手間、想像できますか?
- ルーティング設定: VPCのルートテーブルをプロキシサーバーに向ける設定も忘れてはいけません。
一方、NFWならどうでしょう?
VPCにNetwork Firewallのエンドポイントを作成し、ルートテーブルをそちらに向けるだけ。TLS通信を検査したければ、「TLSインスペクション」の設定で証明書を選択すれば完了です。インフラのセットアップはほぼありません。
<コラム> 通信を可視化する仕組み: TLSインスペクションと中間者攻撃(MITM)
ここで、SquidのSSL BumpやNFWのTLSインスペクションがどのように通信を可視化しているか、その仕組みに少し触れておきましょう。
実はこれらは、セキュリティの世界で言うところの「中間者攻撃(Man-in-the-Middle Attack, MITM)」を意図的に、そして正当な目的で行う仕組みです。
- クライアントからサーバーへのTLS通信を、ファイアウォール(またはプロキシ)が横取りします。
- ファイアウォールは、クライアントに対して「自分が本来の通信先サーバーだ」と偽って、クライアントとの間にTLSセッションを確立します。
- 同時に、ファイアウォールはクライアントの代わりに、本来のサーバーとの間に別のTLSセッションを確立します。
- これにより、ファイアウォールは両者の間で通信内容を平文で受け取り、検査した上で中継します。
この仕組みを成立させるためには、手順2でクライアントに偽のサーバー証明書を提示した際に、クライアントがそれを「信頼できる」と判断する必要があります。
Squidでこれを自前でやろうとすると、
- 偽の証明書を発行するための認証局(CA)を自前で構築・管理する
- そのCAの証明書を、通信を検査したいすべてのクライアント(EC2, PC等)に配布し、信頼済みルート証明書としてインストールさせる
という非常に手間のかかる作業が発生します。証明書のライフサイクル管理も当然、自分たちの責任です。
一方、NFWではこのプロセスが大幅に簡略化されています。AWS Certificate Manager (ACM) と連携し、コンソール上で数クリックするだけでTLSインスペクション用の設定が完了します。クライアントへの証明書配布の手間は同様に発生しますが、証明書の生成や管理の複雑さからは解放されます。
この「複雑な仕組みの抽象化」こそが、マネージドサービスの真価と言えるでしょう。
2. 終わらない運用・保守作業
サーバーを自前で構築するということは、そのサーバーの面倒を一生見続けるということです。
- 可用性の確保: プロキシサーバーが単一障害点にならないよう、Multi-AZ構成を組む必要があります。ELBを立て、Auto Scaling Groupを設定し、ヘルスチェックを...考えるだけで大変です。
- スケーラビリティ: トラフィックが増えたら?インスタンスタイプを変更しますか?Auto Scalingの閾値をチューニングしますか?予測できないスパイクアクセスに耐えられますか?
- セキュリティパッチ: OSやSquidに脆弱性が見つかるたびに、パッチ適用の計画を立て、ダウンタイムを調整し、適用作業を行う必要があります。この人件費、計算していますか?
- ログ管理: Squidのアクセスログをどうやって分析しますか?CloudWatch Logsに送るためのAgent設定や、Kinesis/S3への連携も自前で構築する必要があります。
NFWはフルマネージドサービスです。可用性、スケーラビリティ、パッチ適用はすべてAWSが責任を持って対応してくれます。
あなたがやるべきことは、本来の目的である「セキュリティポリシー(ルール)の管理」に集中することだけです。
3. トータルコスト(TCO)で考えると実はNFWが安い
NFWの料金体系は、主に「ファイアウォールエンドポイントの時間料金」と「処理したトラフィック量に応じた料金」の2つで構成されます。
では、実際の料金を見てみましょう。東京リージョン(ap-northeast-1)の料金は以下の通りです。(2025年10月時点、ドル150円換算)
※料金は変更される可能性があるため、必ずAWS公式の料金ページで最新情報をご確認ください。
| 項目 | 料金(東京リージョン) | 月額換算(概算) |
|---|---|---|
| NFWエンドポイント料金(AZ×2) ※NAT Gateway(2台)の料金を含む |
$0.395 / 時間 | $577 |
| 処理されたトラフィックあたりの料金 | $0.065 / GB | (従量変動) |
| 合計(時間料金のみ) | $577 |
月額約$577(約87,000円)の時間料金にデータ処理量が加わるため、「やはりEC2で自前構築した方が安いのでは?」と考えるのは自然です。
では、比較対象の「EC2 + Squid」構成のコストを具体的に計算してみましょう。
冗長性も同等となるよう考慮し、安価なc7g.xlargeインスタンス2台をALB(Application Load Balancer)配下に置く構成で試算します。(実用に耐えられるかどうかはさておき、費用概算として)
| 項目 | 料金(東京リージョン) | 月額換算(概算) |
|---|---|---|
| EC2インスタンス(c7g.xlarge × 2台) | $0.1819 / 時間 | $266 |
| EBS料金(30GB/gp3 × 2台) | $0.096 / GB月 | $6 |
| ロードバランサ(ALB × 1台) | $0.0243 / 時間 | $18 (+LCU従量変動) |
| NAT Gateway(2台) | $0.062 / 時間 | $91 |
| 処理されたトラフィックあたりの料金 | $0.062 / GB | (従量変動) |
| 合計(時間料金のみ) | $381 |
月額$381(約57,000円)という数字だけを見ると、たしかにEC2構成の方がお安く収まるように見えます。
しかし、この差額の約$196(約30,000円)で、あなたは何を「買う」ことになるのでしょうか?
EC2構成の場合、この月額料金に加えて、以下の「目に見えないコスト」がすべてあなたの負担となります。
- 膨大な構築・運用工数:
- OS、Squid、ALB、Auto Scalingなどの設計、構築、テスト
- 継続的なOS・ミドルウェアのセキュリティパッチ適用
- 証明書の作成・配布・更新管理
- ログ収集・監視システムの構築と運用
- 大量通信への対応・エラー発生時の対応
- 人件費という最大のコスト:
- 上記の作業を担当するエンジニアの人件費です。月額3万円($196)で、これらの複雑で継続的な作業をすべて担当してくれるでしょうか? 答えは明白です。
- 機会損失:
- インフラの維持管理に費やされる時間で、本来なら新しい機能開発やサービス改善ができたはずです。そのビジネスインパクトは計り知れません。
NFWの月額料金は、これらの可用性担保、スケーリング、パッチ適用、監視、運用といった面倒なタスクをすべてAWSにアウトソースするための費用です。
そう考えると、月額約3万円の追加投資で、エンジニアを本来の価値創造業務に集中させられるNFWは、驚くほどコストパフォーマンスに優れた選択肢だと言えるのです。
NFWのさらなるメリット
Squid構築との比較以外にも、NFWにはこんなメリットがあります。
- AWSサービスとの親和性: AWS Firewall Managerと連携すれば、マルチアカウント環境のファイアウォールルールを一元管理。Organizationsと統制管理の連携も強力。
- 高度なルール設定: Suricata互換のIPS/IDSルールを利用でき、一般的なプロキシ製品よりも高度な脅威検知が可能。ドメインリストはワイルドカード(
*.example.com)も使えて非常に柔軟。 - 分散型モデルの実現: 各VPCにエンドポイントを置くことで、一元的な egress VPC(出口VPC)にトラフィックを集約する複雑なネットワーク構成をシンプルに。Transit Gatewayとの統合による集中型モデルも可能。
まとめ:時は金なり。インフラ運用はAWSに任せよう
AWS Network Firewallが高いという印象は、その表面的な料金単価を見ているからかもしれません。
しかし、代替案である「EC2+Squid自前構築」の構築・運用にかかる手間、人件費、そして精神的な負荷まで考慮すれば、NFWが提供する価値は明らかです。
「時は金なり」という言葉を借りるまでもなく、我々エンジニアが集中すべきは、面倒なインフラ運用ではなく、ビジネス価値を創造することのはずです。
次にあなたがセキュアなアウトバウンド通信を設計する機会があれば、ぜひ思い出してください。
「AWS Network Firewallは、あなたの時間と平和を守ってくれる、実はコスパ最強のサービスである」ということを。
お断り
記事内容は個人の見解であり、所属組織の立場や戦略・意見を代表するものではありません。また、AWSの提灯記事でもありません。
あくまでエンジニアとしての経験や考えを発信していますので、ご了承ください。