はじめに
目的
本書はAWS WAF(Web Application Firewall)の料金体系をわかりやすく解説することを目的としています。基本料金から追加オプション、具体例、比較、コスト管理の注意点まで幅広く扱います。導入前にかかる費用を把握し、無駄のない予算設計を助けます。
対象読者
AWS WAFの導入を検討している方、すでに運用中でコスト最適化を考えている担当者、または費用比較を行う意思決定者向けです。専門知識が深くなくても読み進められるよう配慮しています。
本書の構成と読み方
第2章で基本料金を説明し、第3章で追加料金やオプションを解説します。第4章は具体的な料金計算例を示し、第5章で他サービスとの比較を行います。第6章はコスト管理の注意点を挙げ、第7章で導入時のポイントをまとめます。章ごとに独立して読めますが、順に読むことで全体像がつかめます。
なぜ料金を理解するか
WAFの費用は利用量や設定で変わります。小規模サイトと大規模サービスでは負担の仕方が異なりますので、事前に想定パターンを把握すると安心です。
AWS WAFの基本料金体系
概要
AWS WAFは従量課金制です。主に次の3つの要素で料金が決まります:Web ACLの定額費用、ルールごとの費用、リクエスト数に応じた従量課金です。
料金の構成要素(わかりやすく)
- Web ACL(Basic):1つあたり月額5 USDです。Web ACLは保護対象ごとに作成します。
- カスタムルール:1つあたり月額1 USDです。自分で定義したルールに対して課金されます。
- AWSマネージドルール:無料で1500 WCU以内まで利用できます。WCUはルールの評価コストを表す単位で、複雑な条件ほど多く消費します。
- リクエスト数:100万リクエストごとに0.6 USDがかかります。大量のトラフィックほどこの部分が大きくなります。
具体的な計算例
例:CloudFrontに2ルール、ALBに4ルール、合計リクエスト数が400万リクエストの場合。
– Web ACL:2つ(CloudFront用とALB用)×5 USD = 10 USD
– カスタムルール:2 + 4 = 6ルール ×1 USD = 6 USD
– リクエスト:4(百万単位)×0.6 USD = 2.4 USD
合計 = 10 + 6 + 2.4 = 18.4 USD
注:上記は基本構成だけの計算です。管理ルールのWCU超過や追加オプションがあると別途費用が発生するため、実際の請求は異なる場合があります。
追加料金とオプション
概要
基本料金に加えて、利用状況や追加機能に応じた料金が発生します。ここではWCU超過、Bot Control、Fraud Control、CAPTCHAなど主要なオプションの課金ルールと簡単な例を丁寧に説明します。
WCU超過料金
WCU(WebACL Capacity Units)の上限を超えると、追加で課金されます。課金は500WCUごとに行われ、100万リクエストあたり0.20 USDが目安です。たとえば追加で1,000WCUを使うと、500WCU単位で2単位分に相当するため、100万リクエストあたり0.40 USDの追加費用になります。利用量が増えるほど増加するため、まずはWCUの消費源を特定すると良いです。
Bot Control
Bot Controlはルールグループ単位で課金されます。AWSマネージドルールグループの場合、基本料金として10 USD/月がかかり、さらにリクエスト数に応じて1 USD/100万リクエストが加わります。例として、あるルールグループが月間1,000万リクエストに適用された場合、10 USD + (1 USD × 10) = 20 USDがそのルールグループの料金となります。複数のルールグループを適用すると、その分コストが積み上がりますので、重要なトラフィックに限定して適用することをおすすめします。
Fraud Control・CAPTCHAなどの高度なオプション
これらの機能は通常、リクエスト単位やチャレンジ発生時に課金されます。CAPTCHAは実際にチャレンジしたリクエストだけに課金される場合が多く、全トラフィックではなく疑わしいトラフィックが対象ならコストを抑えられます。料金は機能やベンダーによって異なるため、導入前にトラフィック傾向を把握して試算してください。
コスト管理の実践的なポイント
- まずはテスト環境で適用範囲とリクエスト数を測定します。
- ルールは必要なパスに限定して適用します。
- マネージドルールとカスタムルールを組み合わせ、過剰なWCU消費を避けます。
- モニタリングでWCU消費とチャレンジ発生数を定期的に確認します。
これらを意識すると、追加機能の利便性を維持しつつ無駄なコストを抑えられます。
料金計算の具体例とシミュレーション
以下では、提示された数値を使って具体的に月額料金を分解し、簡単なシミュレーションを示します。
基本の内訳(例)
- Web ACL(3つ): 15 USD(月) → 1つあたり 5 USD
- カスタムルール(5つ): 5 USD(月) → 1つあたり 1 USD
- AWSマネージドルール: 無料(本例では課金なし)
- リクエスト数(4,000,000件): 2.4 USD(月) → 100万リクエストあたり 0.6 USD
合計:15 + 5 + 0 + 2.4 = 22.4 USD/月
使い方と注意点
上の計算は各項目の単価から逆算した単純モデルです。実際はリージョンや機能、オプションによって単価が異なる場合があります。
簡単なシミュレーション例
- トラフィックが倍(8,000,000件)になる場合: リクエスト費用 = 4.8 USD、合計 = 24.8 USD/月
- Web ACLを1つ追加する場合: Web ACL費用 +5 USD → 合計 = 27.4 USD/月(上の倍トラフィック例と組合せると 29.8 USD)
これらの例を参考に、利用予定のWeb ACL数、ルール数、想定リクエスト量を入れて試算してください。実際の請求は利用状況と設定で変わりますので、導入前に小規模で試算することをおすすめします。
関連サービスや他社WAFとの料金比較
AWS周辺サービスとの連携
AWS WAFは単独で動きますが、多くの場合はCloudFrontやALB、Shieldなどと組み合わせます。これらは別料金です。たとえばCloudFrontはデータ転送量やリクエスト数で課金され、ALBは稼働時間と処理量で課金されます。WAFのコストを評価するときは、周辺サービスの費用も合算してください。
WafCharm(例)
WafCharmはAWS WAFと連携するマネージドサービスで、月額は「設定ユニット料金+プラン料金+リクエスト超過料金」で決まります。ビジネスプランは月額112,000円~、エンタープライズは月額192,000円~、リクエスト超過は100万件ごとに400~900円です。運用を外部に任せたい場合、設定や監視を含めた予算が読みやすくなります。
他社クラウド型WAFの参考価格
- Cloudbric WAF+:初期68,000円~、月額28,000円~
- Cloudbric WMS for AWS WAF:月額47,500円~
小規模サイトやコスト重視の環境では月額の安さが魅力です。
比較時の注目点
固定費(プラン料金)と変動費(リクエスト課金)の比率、サポートや設定代行の有無、AWSネイティブとの相性を確認してください。トラフィックが多く一定ならプラン型が予算管理しやすく、変動が大きい場合はリクエスト単価をよく比較してください。
コスト管理・注意点
概要
AWS WAFは必要な保護を選んで運用することでコストを柔軟に調整できます。ただし、トラフィック増加やルール追加、WCU超過、オプション利用で費用が増える点に注意が必要です。
主なコスト増加要因
- リクエスト数の増加:アクセス急増で料金が上がります。
- ルール数・マネージドルール:ルールを多く追加すると月額が増えます。
- WCU(ルール評価容量)の超過:複雑なルールはWCUを消費します。
- オプション機能(ログ保存、レートベースルール等)の追加
管理の具体的手法
- モニタリング:CloudWatchやWAFのメトリクスでリクエスト数やWCU使用量を定期確認します。
- ルールの見直し:重複や不要なルールを削除し、条件を簡潔にします。サンプルIPリストや正規表現は効率化します。
- テスト運用:ステージングで新ルールを検証し、本番適用前にコスト影響を確認します。
- ログの保存ポリシー:必要な期間だけ保存し、長期保存はS3ライフサイクルで管理します。
シミュレーションと予算計画
導入前に公式料金ページや試算ツールで見積もりを作成してください。月間リクエスト数、想定ルール数、ログ保存量を基にシナリオ別に金額を算出します。
運用上の注意点
- 請求アラートを設定し、急な増額を早期検知します。
- 誤検知が増えるとビジネス影響とコストが両方増えるため、例外運用の仕組みを用意します。
- 定期的に料金明細を確認し、不明な項目があれば早めに調査してください。
実践チェックリスト
- モニタリングとアラートを設定している
- ルールを定期的に見直している
- テスト環境で事前検証している
- ログ保存とS3ライフサイクルを設定している
- 月次で請求を確認している
- 試算を複数シナリオで用意している
まとめと導入時のポイント
AWS WAFは、Web ACLの数・ルール数・処理したリクエスト数に応じて費用が発生します。設計時はまず自分のサイト規模と想定トラフィックを把握してください。小規模ブログなら最小構成のWeb ACLと重要なルールだけで十分なことが多く、APIやECサイトではルール数やログ量を抑える工夫が必要です。
導入時の実践ポイント:
- トラフィックの見積もりを出す:日間・月間の平均とピークを把握し、料金試算の基礎にします。
- ルールは段階的に追加:まず必須のマネージドルールや基本的なカスタムルールだけ導入し、運用で効果を確認してから追加します。
- ロギングとレート制御の設定:詳細ログはコストが増えやすいので、必要な期間だけ有効にします。レートベースルールで異常トラフィックを早めに抑制すると費用増を防げます。
- テスト環境で検証する:本番に反映する前にステージングでルールの誤検知やパフォーマンス影響を確認します。
- 監視と定期見直し:CloudWatchやアクセスログでルールの有効性とリクエスト数を監視し、月次で見直します。
導入判断は、必要なセキュリティレベルと予算のバランスで決めてください。最初は小さく始めて、運用で最適化する方法が費用対効果に優れます。
