Webアプリケーションのセキュリティ対策のひとつとして注目されているのが、AWSが提供するWebアプリケーションファイアウォールサービスであるAWS Web Application Firewall(以降、AWS WAF)です。高い防御性能を持つ一方で、料金体系が複雑でわかりにくいと感じる担当者も少なくありません。
本記事では、AWS WAFの料金の仕組みを基礎から解説し、実際の料金例やコストを最適化するためのポイントを詳しく紹介します。
AWS WAFとは
AWS WAFとは、悪意のあるトラフィックや一般的な脆弱性からWebアプリケーションを保護するマネージド型のセキュリティサービスです。Web Access Control List(以降、Web ACL)を使用して、リクエストを条件に基づき許可、拒否、カウントし、不要なアクセスを制御します。
さらに、AWS Marketplaceで提供されるマネージドルールグループを利用することで、専門家が設計した最新の防御ルールを簡単に導入できます。これにより、自社でルールを一から作成する手間を省きつつ、新たな脅威にも柔軟に対応することが可能です。
AWS WAFを導入する目的と主なメリット
AWS WAFを導入する目的は、Webアプリケーションを取り巻く多様な脅威を防ぎ、セキュリティ体制を強化することです。代表的な攻撃には、SQLインジェクションやクロスサイトスクリプティング(XSS)が挙げられます。これらの攻撃は、入力フォームなどを悪用して不正操作や情報漏えいを引き起こす恐れがありますが、AWS WAFを活用することで設定したルールに基づいて攻撃を検出・遮断し、脆弱性を補強できます。
AWSの公式サイトによると、統合されたインターフェイスにより、セキュリティ設定を最大80%効率化できる点も特長です(2026年5月時点)。コアセキュリティ機能とパートナー提供の保護ルールを組み合わせることで可視性とコントロールを強化し、トラフィック傾向を把握して迅速な対応が可能になります。
さらにAWS WAFは従量課金制となっているため、必要な分だけ利用でき、コスト効率の高い運用が可能です。料金体系の詳細は、次の章で詳しく解説します。
AWS WAFの料金体系
AWS WAFの料金は、Web ACLの数、ルール数、リクエスト数の3つの要素に基づいて決まります。シンプルな構成に見えますが、運用内容によって費用が変動しやすいため、事前に仕組みを理解しておきましょう。
AWS WAFは、複数のAWSリソースを保護対象として利用できます。料金体系は共通ですが、Amazon CloudFrontはグローバルリソースとして扱われ、それ以外はリージョンリソースとなります。
| 保護対象リソース | 種別 |
|---|---|
| Amazon CloudFront | グローバルリソース |
| ALB(Application Load Balancer) | リージョンリソース |
| Amazon API Gateway | リージョンリソース |
| AWS AppSync | リージョンリソース |
| Amazon Cognito | リージョンリソース |
| AWS App Runner | リージョンリソース |
| AWS Verified Access | リージョンリソース |
| AWS Amplify(ホスティング/アプリ) | リージョンリソース |
初期費用は不要で、各リソースの利用料金にAWS WAFの料金が加算される仕組みです。例えば、Amazon CloudFrontの配信コストにAWS WAFを組み合わせた場合、AWS WAF利用料が追加で発生します。
ここからは、料金を構成する以下の4つの項目を順に解説します。
- 基本料金
- ルール関連
- リクエスト処理にともなう追加課金
- ルールアクションの課金
基本料金
前述したとおり、AWS WAFの基本料金は、Web ACL数、ルール数、リクエスト数で構成され、利用時間に応じて1時間単位で比例計算されます。Web ACLは、SQLインジェクション対策やIP制限など、複数のセキュリティルールをまとめたものです。1つのWeb ACLをAmazon CloudFrontやALB(Application Load Balancer)など複数のリソースに共有することも可能ですが、異なるルール構成を使いたい場合は、新たなWeb ACLを作成する必要があります。
| 項目 | 課金内容 | 料金体系 |
|---|---|---|
| Web ACL数 | Web ACL(ルールセットをまとめる単位)の作成数 | 1Web ACL 当たり5.00 USD/月 |
| ルール数 | Web ACLごとに設定するルール数(カスタムルール、マネージドルールグループ含む) | 1ルール当たり1.00 USD/月 |
| Webリクエスト数 | AWS WAFが処理するリクエスト数(トラフィック) | 100万Webリクエスト当たり 0.60 USD |
この3項目が基本料金の柱となり、以降で説明する追加機能によってコストが変動します。なお、AWSの公式サイトの料金は、税抜き表記となっています。
ルール関連
AWS WAFルールには、カスタムルールとマネージドルールの2種類があります。カスタムルールは独自条件を指定でき、マネージドルールはAWSやサードパーティが提供する既成ルールを利用する形式です。いずれのルールも1ルールとしてカウントされ、Web ACLごとに課金対象になります。
AWSが提供するマネージドルールのなかには無料のものもありますが、Bot ControlやAccount Takeover PreventionやAccount Creation Fraud Preventionで構成されるFraud Controlなどの高度なルールは有料です。
また、AWS Marketplace経由のマネージドルールは、提供元のベンダーが定めた料金体系にしたがって課金されます。導入前にご確認ください。
リクエスト処理にともなう追加課金
AWS WAFでは、基本のリクエスト課金に加え、リクエスト内容の複雑さや検査サイズに応じて追加料金が発生する場合があります。AWS WAFがリクエストを検査する際に消費する処理能力をWeb ACL Capacity Unit(以降、WCU)と呼びます。
Web ACLの合計がデフォルト割り当ての 1,500 を超えた場合、超過した 500 WCU ごとに 100 万リクエストあたり 0.20 USD の追加料金が発生します。さらに、リクエストボディの検査サイズの上限を拡張した場合は、上限を超える16KBごとに100万リクエスト当たりUSD0.30が加算されます(2026年4月時点)。
ルールを複雑に設定しすぎるとWCU消費量が増えやすいため、必要な検査項目を見極めて設計しましょう。
ルールアクションの課金
AWS WAFのルールには、条件に一致したリクエストに対してどのような処理を行うかを設定するアクションがあります。標準アクションであるAllow、Block、Countは追加料金なしで利用できますが、CaptchaやChallengeといった特殊なアクションを使う場合は、回数に応じて課金されます。
| ルールアクション | 課金内容 | 料金体系 |
|---|---|---|
| Allow/Block/Count | 標準アクション | 追加料金なし |
| Captcha | Captcha試行回数 | 10,000回試行ごとに 4.00 USD |
| Challenge | Challengeページ提供レスポンス回数 | 1,000,000レスポンスごとにUSD0.40(Allow/Block/Countは無料) |
Captchaは試行回数単位、Challengeはレスポンス提供回数単位で課金されます。大量アクセスが想定されるサイトでは、これらの利用状況を定期的に確認しておくと安心です。
AWS WAF 料金の具体的な計算事例とシミュレーション
この章では、一般的な利用シナリオをもとに、構成条件別の月額料金目安を示します。リクエスト量やルール数が増えるほど費用も上昇するため、構成の最適化が重要です。
| 構成条件 | 月間リクエスト量 | マネージドルール利用 | 月額料金目安 |
|---|---|---|---|
| Web ACL ×1、カスタムルール19本 | 1,000万 | なし | 約30USD |
| Web ACL ×1、マネージドルール1本、カスタムルール9本 | 1,000万 | あり | 約53USD |
| Web ACL ×3、マネージドルール3本、カスタムルール21本、Bot Control ×3 | 3,500万 | あり | 約430USD |
例えば、アクセス数の少ない中小規模のサイトでは、Web ACLを1つに絞り、必要最小限のカスタムルールを設定することで、月額20USD前後に抑えることが可能です。一方、トラフィックの多いECサイトや複数ドメインを保護する構成では、Web ACLやTargeted Bot Controlの追加により、400USDを超えるケースもあります。
まずは想定リクエスト数と必要なルールの種類を明確にし、最適な構成を検討することでコスト削減につなげましょう。
料金を最適化するための5つのポイント
AWS WAFのコストを最適化するためには、料金構造を理解し、必要最小限の構成で運用することが重要です。ここでは、コスト削減と安定運用を両立させるための主要な5つのポイントを紹介します。
Web ACLの適切な設計
Web ACLは、サイトやアプリケーションごとに設定するアクセス制御単位であり、1つにつき月額料金が発生します。複数のリソースで同じWeb ACLを共有できるように設計することでコストを分散し、不要な課金を防ぐことが可能です。
組織のシステム構成や利用シーンに応じて過剰なWeb ACLの作成を避けることで、効率的な運用とコスト削減の両立が実現します。
マネージドルールの適切な選択
コストを抑えながら十分な防御性能を維持するためには、マネージドルールの選定と構成が重要です。マネージドルールは自動更新やメンテナンスが行われる便利な機能ですが、ルール数が多いほど月額費用が増加します。そのため、必要なルールだけを厳選して利用することが推奨されます。
特に、AWS Marketplace経由で提供される独自アルゴリズムを持つルールグループは費用が高めになる傾向があるため、コストと必要性のバランスを見極めて選択しましょう。なお、マネージドルールは課金上、単一のルールとしてカウントされます。
リクエスト数の急増対策
前述したとおり、AWS WAFはリクエスト数に応じて課金される従量制の料金体系です。そのため、アクセス数が急増すると想定以上の費用が発生する可能性があります。
これを防ぐためには、Amazon CloudWatchやAWS Budgetsを活用してトラフィックの推移を常に監視し、異常値を早期に検知することです。特に、セールやキャンペーンなど短期間にアクセスが集中するイベント時には、あらかじめ利用状況をチェックし、コストの急増を抑える体制を整えることが求められます。
料金計算ツールの活用
AWS公式サイトで提供されている料金計算ツールのAWS Pricing Calculatorを利用すれば、具体的なコストを事前に把握できます。Web ACL数、ルール数、想定リクエスト数などの条件を入力することで、詳細な費用目安を算出可能です。
基本的な手順は以下のとおりです。
Bot Controlなどの追加オプションを利用する場合は、その分の費用も含めて試算しましょう。複数パターンを比較し、要件に合った最適な構成を見つけることで、無駄のないコスト設計が可能になります。料金体系が複雑で算出が困難な場合、AWSパートナーに相談することも良い方法です。
定期的な見直しと監視
AWSマネジメントコンソールの料金ダッシュボードでは、毎月の利用状況や費用を可視化できます。定期的にこの情報を確認し、不要なルールや使われていないWeb ACLがないかを点検しましょう。構成を継続的に見直すことで、予期せぬ高額請求を防ぎ、常に最適な料金状態の維持が可能です。
また、将来的なアクセス増加やセキュリティ要件の変化を見据えて、定期的に料金シミュレーションを実施することが、長期的なコスト管理に役立ちます。
CloudCREW byGMO活用という選択肢
CloudCREW byGMOは、GMOグローバルサイン・ホールディングス株式会社が提供するAWS及びGoogle Cloudの利活用支援サービスです。AWSやGoogle Cloudを安全かつ効率的に活用するための設計、構築、運用を総合的にサポートしています。
特にAWSにおいては、AWS Well-Architectedフレームワークが提唱する「運用上の優秀性」「セキュリティ」「信頼性」「パフォーマンス効率」「コスト最適化」という5つの柱に基づき、AWS資格認定者が最適なシステム環境を設計・構築します。
AWS WAFの料金体系が複雑で、最適なルール設計やコスト管理に不安がある場合には、お客さまに代わりCloudCREW byGMOがAWS環境の設計・構築、監視・運用を代行します。導入後の設定や費用最適化まで専門チームがサポートするため、社内のリソース不足やノウハウ面の課題を解消できます。AWS運用のコストや設定でお悩みの場合には、ぜひ一度お問い合わせください。
まとめ
AWS WAFは、柔軟なセキュリティ対策を実現できる一方で、料金はWeb ACL数、ルール数、リクエスト数など複数の要素によって変動します。コストを抑えるためには、構成の最適化や定期的な見直しが欠かせません。
運用に不安がある場合は、AWS認定エンジニアによる設計・運用支援を行うCloudCREW byGMOの活用も有効です。効率的なセキュリティ運用を実現し、AWS環境の安全性とコストのバランスを両立させましょう。
当記事の監修
GMOグローバルサイン・ホールディングス株式会社が運営するCloudCREW byGMOでご紹介する記事は、AWSなど主要クラウドの認定資格を有するエンジニアによって監修されています。
