DEVELOPER’s BLOG

技術ブログ

AWS Network Firewall:シンプルな非機能要件に対して、過剰な設計をしていませんか?

2025.11.27 鈴木 萌子
AWS SRE
AWS Network Firewall:シンプルな非機能要件に対して、過剰な設計をしていませんか?



はじめに

AWSでは、あらゆるユースケースを支える豊富なサービス群が提供されています。 しかし、その選択肢の多さゆえに「本当に必要な要件以上のサービスを導入してしまう」ケースも少なくありません。

特に、非機能要件に対して、必要以上に複雑な構成を採用してしまうと、以下のようなデメリットにつながることがあります。

  • AWSコストの増大
  • 運用負荷の上昇
  • トラブルシューティングの難化


本記事では、過剰設計の一例を通して、コスト最適化やシンプルな設計の重要性を考えます。


シナリオ:ネットワーク制御要件を満たすための設計


想定要件

あるシステムで、次のような非機能要件が挙がったとします。

  • 「WebサーバからのみDBサーバに接続を許可したい」
  • 「SSH接続を特定のグローバルIPアドレスからのみ許可したい」


この要件は非常に一般的です。しかし、このようなシンプルなネットワーク制御要件に対して、意図せず次のような構成を取っていないでしょうか?


過剰な構成の例

  • とりあえずAWS Network Firewallを導入

シンプルな非機能要件に対して、過剰なAWSサービスを採用していませんか?_図1図1


一見「セキュリティを強化した構成」に見えますが、実際には Security Groupだけで十分なケースも多く存在します。


適材適所の判断をする


Security Group で十分なケース

  • 同一VPC内のAWSサービス間通信制御
  • L3/L4(ネットワーク/トランスポート層)レベルのアクセス制御

シンプルな非機能要件に対して、過剰なAWSサービスを採用していませんか?_図2図2


これらはステートフルな通信制御が可能な Security Group で実現可能です。 設定も容易で、コストも追加料金なしです。


AWS Network Firewall が必要なケース

一方、AWS Network Firewall が適しているのは次のようなケースです。

  • L3/L4(ネットワーク/トランスポート層)レベルからL7(アプリケーション層)レベルまでのアクセス制御が必要
  • ステートフルだけではなくステートレス制御も必要
  • 高度なネットワークトラフィックの検査・分析が必要


※以下はAWS Network Firewallを導入する大まかなイメージです。


これらは単純なSecurity Groupでは対応が難しい要件です。 AWS Network Firewallの導入は、こうした明確な理由がある場合に初めてコストに見合った効果を発揮します。


コスト最適化の視点

AWS Network Firewallは強力なサービスですが、利用するたびにオンデマンド料金が発生します。1つのVPCにデプロイしただけでも、Firewall Endpoints利用料金が継続的に発生します。

単に「セキュリティを強化したいから」といった曖昧な理由で導入してしまうと、月額数万円〜数十万円規模のコストが恒常的に発生するケースもあります。

さらに、アクセス数が多いかつ大きなデータを扱うシステムの場合には、データ処理料金も月額数万円規模で発生する可能性があります。


シンプル設計を意識する

非機能要件に対しては、まず最小限の構成で実現可能かを検討することが重要です。Security Groupで要件を満たせるのであれば、まずはそこから始めてみましょう。


まとめ

  • 非機能要件に対して、本当にそのAWSサービスが必要かを見直す
  • Security Groupなどの無料で提供される基本機能を活用する
  • AWS Network Firewallなどの高機能サービスは明確な根拠がある場合に導入する
  • コスト最適化は設計段階から意識する


AWSの設計に「正解」はありませんが、「なぜその構成にしたのか」を説明できることが、アーキテクトとして最も重要なスキルです。

関連記事

WalmartはAIをどう業務に組み込んだのか?AI BPRで読み解く業務変革の内容

Walmartは生成AIを活用した翻訳エンジンを作り、翻訳コストを99%削減しました。年間約2,500万ドルかけていた翻訳作業を、AIを組み込んだ「Walmart Translation Platform(WTP)」に置き換えることに成功しました。成功のポイントは、単純に単語を置き換える(翻訳する)ことではなく、意味・意図を汲んで訳したことでした。 その成功のポイントを整理すると、AWSが提唱する「AI BPR」というフレームワークとの類似性が見えてきま

記事詳細
WalmartはAIをどう業務に組み込んだのか?AI BPRで読み解く業務変革の内容
AWS 生成AI
書類の「目視チェック」を生成AIで劇的に効率化─ AWS RAPIDの導入の勧め

はじめに AWS RAPIDとは AWS RAPIDによる書類審査デモ AWS RAPIDのプロンプト改良で精度向上 AWS RAPIDの「嬉しい点」とまとめ おわりに はじめに 書類審査業務のDXを実現する「AWS RAPID」 設計書や契約書、申請書などの書類審査業務は、多くの組織で重要な業務の一つです。 しかし実際の現場では、「チェック項目が多すぎる」「確認する書類が膨大」「審査に時間がかかる」といった悩みを抱えている方

記事詳細
書類の「目視チェック」を生成AIで劇的に効率化─ AWS RAPIDの導入の勧め
AWS 生成AI
85% が「自社でも実現できる」と回答。AI エージェントがデータを見て動く時代の業務変革

アマゾンジャパン品川オフィス はじめに AI BPRとは ワークショップの内容 参加者の声 組織への展開と本格導入 1.はじめに 売上や現場の数字を見ながら、次々と判断を下す毎日。「これAIでやってくれないかなぁ」と感じたことはありませんか。 生成 AI のニュースは毎日のように流れてきますが、自社の業務で「使える」という実感を持てている方は、まだ少ないのではないでしょうか。業務の中で日々判断を重ねている方ほど、目の前の業務を AI が

記事詳細
85% が「自社でも実現できる」と回答。AI エージェントがデータを見て動く時代の業務変革
AWS データ分析 生成AI
データと現場の声をAIエージェントが分析!「SMART」で作る新しい店舗運営のカタチ

はじめに 環境構築手順 Store Manager Agentで実現できること まとめ 1.はじめに 店舗運営において、こんなお悩みはありませんか。 売上データは見ているが、次に何をすべきか判断に迷う 売場づくりや品揃えが、どうしてもベテラン頼みになってしまう 在庫・売上・時間帯など、考えるべき要素が多すぎる 数字の振り返りはしているものの、改善アクションに落とし込めない こうした課題は、特定の業種だけのものではありません。 例えば、 ス

記事詳細
データと現場の声をAIエージェントが分析!「SMART」で作る新しい店舗運営のカタチ
AWS データ分析 生成AI

お問い合わせはこちらから