GMOサイバーセキュリティ byイエラエ株式会社

AWS WAFの料金体系は?無料・有料でできることを解説

更新日:2025.11.26
WAF
AWS WAFの料金体系は?無料・有料でできることを解説

近年、AWS上にコーポレートサイトや業務アプリケーションなどを構築するケースが増えています。それらのサイトへの攻撃対策としてAWS WAFを検討する企業が増えていますが、「料金体系が分かりづらい」「無料で使える範囲はあるのか?」と疑問を抱く担当者も多いはずです。AWS WAFは従量課金モデルで、WebACL・ルール数・リクエスト数によって費用が変わる仕組みです。

本記事では、AWS WAFの料金の考え方や無料でできること、有料になるポイント、コストを抑える運用のコツをわかりやすく解説します。

AWS WAFの運用でお困りではありませんか?
WAFの自動運用サービスWAFエイド

資料ダウンロード

目次

  1. AWS WAFとは
    1. AWS WAFの特徴
    2. 料金を知る前に理解しておきたいこと 
  2. AWS WAFの料金体系の全体像は?    
    1. 3つの課金要素
    2. 料金イメージ  
    3. WAF運用の課題放置していませんか?WAFエイドが解決します
  3. 無料でできること・有料になるポイント      
    1. 無料でできる範囲   
    2. 有料になる主なタイミング  
  4. 適用できるマネージドルールと、利用時の料金      
    1. AWS Managed Rules
    2. サードパーティ製のマネージドルール 
    3. どれを導入すればいいのか
    4. 登録不要で公開中!AWS WAFの誤検知対策を解説
  5. コストを抑えるための運用ポイント  
    1. 高額になるケースは? 
    2. ルールの整理
    3. CloudFrontとの組み合わせ
    4. ログの最適化
    5. WAF Bot Controlなどの拡張機能を必要に応じて検討

AWS WAFとは

AWS WAFの特徴

AWS WAF(Web Application Firewall)は、パブリッククラウド最大手であるAmazon Web Services(AWS)が、AWS内のサービスとして提供するクラウド型のWAFサービスです。CloudFront、Application Load Balancer(ALB)、API Gateway、AppSync など、AWSの主要サービスと組み合わせて使うことができ、WebサイトやAPIへの攻撃を前段でブロックします。
特に、SQLインジェクションやクロスサイトスクリプティング(XSS)など、アプリケーションを直接狙う攻撃からシステムを守ることができる点が大きな特徴です。

AWS WAFには「マネージドルール」と呼ばれる、AWSが管理・更新してくれるルールセットがあり、専門的な知識がなくても自動的に最新の攻撃に対応できる仕組みを備えています。
これにより、企業側で複雑なシグネチャ設定を行わなくても高度な防御を実現できます。AWSのグローバルネットワークを利用したスケーラビリティや、ログの分析機能、細かなルール設定など、多様な設定が可能であり、かつ強力な防御基盤が特徴のサービスです。

関連記事:AWS WAFとは?仕組みや導入方法、設定の流れを解説

料金を知る前に理解しておきたいこと 

AWS WAFの料金を理解するうえで最も重要なのは、「AWSサービスは基本的に従量課金」であることです。例えば仮想サーバーを構築するEC2は、サーバーの起動時間だけ課金が発生する仕組みです。
AWS WAFも例外ではなく、使った分だけ料金が発生します。料金は大きく「リソース単位」「ルール単位」「リクエスト数」の3要素に分かれます。

WebACL(防御対象)をいくつ作るか、どれだけルールを設定するか、そしてどれだけのリクエストを検査するかによって合計金額が変動します。この構造を理解しておくと、予算の見積もりやコスト最適化がスムーズにできます。

AWS WAFの料金体系の全体像は?    

3つの課金要素

AWS WAFでは、料金を決める要素が3つあります。

防御対象の数

1つ目は「WebACLの数」で、CloudFrontディストリビューションやALBなど、保護する対象サービスごとに1つのWebACLを作成するため、その数だけ料金が発生します。

適用するルールの数

2つ目は「ルールの数」で、自分で作成したルールやマネージドルールを含め、設定したルール単位で料金が追加されます。

WAFへのアクセス(リクエスト)数

3つ目は「検査リクエスト数」で、実際にWAFがチェックしたHTTP/HTTPSリクエストの数に応じて課金されます。

料金イメージ  

具体的な料金をイメージしやすくするため、いくつかのユースケースをもとに、どれくらいのランニングコストがかかるか、例を紹介します。

例1:中小企業のWebサイト(CloudFront + AWS WAF)

構成
  •  WebACL:1つ
  •  ルール:AWS Managed Rules 1つ、独自ルール2つ → 合計3ルール
  •  月間リクエスト数:50万リクエスト

この場合、WebACL 約$5、ルール3つで約$9、リクエスト50万で約$0.30となり、合計約$14程度に収まります。日本円で2,000円前後です。

例2:API Gateway + WAFを使い、さまざまなAPIにアクセスを行わせる業務システム

構成
  • WebACL:1
  • ルール:5つ
  •  月間リクエスト:5,000万

リクエスト数による課金が大きくなるため、5,000万リクエストで約$30、WebACLとルールで$20ほど、合計$50前後となります。

例3:アクセスが多いECサイト

構成
  •  WebACL:1
  • ルール:7
  •  月間リクエスト:約1億

こちらの場合は、1億リクエストで約$60、WebACL分が$5, ルールの課金分が$7となるため、全体で$70〜$75ほどになります。

これらの例からわかるように、月数千円〜数万円まで、リクエスト量に応じて変動する料金体系です。また1億を超えるようなリクエストの場合でも、料金自体は全体で$100程度になることから、AWS WAFが非常に安価な運用コストで利用できることがわかります。

※正確な料金はAWSの計算ツールを利用してご確認ください

WAF運用の課題放置していませんか?WAFエイドが解決します

WAFエイド

・WAFの最適な設定ができているか分からない
・WAF運用に手間がかかっている
等のお悩みはありませんか?WAFエイドによる自動運用と専門家の知見で解決します。

無料資料ダウンロード

無料でできること・有料になるポイント      

無料でできる範囲   

AWS WAFには、いわゆる「無料枠(Free Tier)」は存在しません。ただし、課金されるときは「実際にトラフィックを検査したタイミング」であり、設定作業そのものに料金は発生しません。WebACLを作成するだけでは費用はかかりませんし、ルールを追加・削除しても、トラフィックが流れなければ無料です。つまり、設計や動作確認まではほぼ無料で行える点がAWS WAFの利便性といえます。

有料になる主なタイミング  

料金が発生するのは、WebACLを実際にCloudFrontやALBなどの防御対象となるサービス・リソースにアタッチし、リクエストを検査し始めてからです。
まずWebACL自体に月額料金が発生し、マネージドルールを追加すればルール数に応じて料金が加算されます。リクエスト数が多い場合、特に大規模サイトやAPIサービスではリクエスト課金が大きな割合を占めます。

Bot ControlやCAPTCHA などの追加オプションを有効にする場合も別途料金が発生します。つまり、AWS WAFの費用は「どれだけのトラフィックをどの範囲まで保護するか」で大きく変わる仕組みになっています。

適用できるマネージドルールと、利用時の料金      

AWS Managed Rules

AWSが提供する標準のマネージドルールセットで、OWASP(Webアプリケーションのセキュリティ向上を目指す国際的な非営利組織)が推奨しているルールや一般的な攻撃や既知の脆弱性対策が含まれています。追加料金はルールセット単位で発生しますが、比較的安価で基本的な防御をカバーできます。

サードパーティ製のマネージドルール 

AWS Marketplaceには、Trend Micro、F5、Fortinet などの様々なセキュリティ企業が提供するマネージドルールが数多く用意されています。
これらは$10〜$100程度で購入でき、企業ごとの強みを活かした高度な検知ロジックや業界特化型のルールを利用できます。

業界特化型のルールは、例えば金融、EC、医療など、より厳格なセキュリティ要件が求められる場面で重宝されます。AWS標準ルールよりも詳細な制御や要件に応じた選択ができるのが特徴です。

どれを導入すればいいのか

多くの企業では、まずはAWS標準のManaged Rulesで十分です。基本的なサイバー攻撃は標準ルールでカバーできます。業界規制が厳しい場合や高度な防御が必要な場合に限り、サードパーティ製の有料ルールを利用・追加することを検討すればよいでしょう。

関連記事:AWS WAFのAWSマネージドルールについて選定ポイントと重要性を解説

登録不要で公開中!AWS WAFの誤検知対策を解説

WAF誤検知解説資料

AWS WAFにおける誤検知の要因と、それを減らすための運用改善のポイントを解説します。

登録不要!今すぐ資料を見る

コストを抑えるための運用ポイント  

高額になるケースは? 

AWS WAFの費用が膨らむ原因は、大きく「WebACLの作りすぎ」と「リクエスト数の膨大さ」にあります。特にECサイトなどの大量にアクセスが行われるサイトや、多数のAPIで構成される業務アプリケーションはリクエスト課金が増えるため注意が必要です。
一方、個人ブログや中小企業のコーポレートサイトであれば、CloudFrontと組み合わせて利用するケースが多く、月1,000〜2,000円程度でも十分なセキュリティ対策が可能です。設計次第でコストを大幅に抑えることができます。

なお、DDoS攻撃による大量アクセスが発生した場合は、Layer3/4のDDoS攻撃は AWS Shield Standard(無料)が自動保護します。ただし、Layer7(HTTP/HTTPS)攻撃によるWAFリクエスト課金は Shield Standard では軽減されません。これを軽減できるのは Shield Advanced(月額$3,000〜)のみです。

ルールの整理

不要なルールや重複しているルールをまとめることで、ルール数の料金を削減できます。一時的に使ったルールや検証用ルールは削除するか無効化し、必要最小限のルールにしておくことがポイントです。

CloudFrontとの組み合わせ

CloudFrontを活用するとキャッシュが効き、WAFが検査するリクエスト数を大幅に減らせます。これによりコスト削減とレスポンス向上の両方を実現できます。AWS WAFを使う際はCloudFrontとの組み合わせが鉄板です。

ログの最適化

WAFログはS3に保存され、保存期間が長いとS3コストが増加します。必要なログのみ出力する、保存期間を短くするなど、ログ設定を最適化することで費用を抑えながら効率的な運用ができます。

S3側においても、保存期間が過ぎたら削除する、1年以上保存する場合はアーカイブなどの設定を投入するなど、適切なライフサイクルの設定を行うことで、費用の低減が見込めます。

WAF Bot Controlなどの拡張機能を必要に応じて検討

Bot ControlやCAPTCHAなどの拡張機能は便利ですが、追加料金が発生します。必要な場面だけ有効にすることで、過剰なコストを防げます。特に中小企業では、まず標準機能を使い、必要に応じて拡張機能を検討するのが賢い方法です。

WAFの自動運用サービスWAFエイドの詳細はこちら

監修:GMOサイバーセキュリティ byイエラエ 編集部

企業の情報セキュリティ担当者や開発者向けに、サイバーセキュリティに関する情報を発信しています。

シェア
X FaceBook

関連記事

Cloudflareのマネージドルールとは?Webサイトの防御を行う機能やメリットを解説
WAFログを活かす 知っておきたいWAF運用ガイド
WAFとファイアウォールの違いは?それぞれの役割や重要性について解説
経験豊富なエンジニアが
セキュリティの不安を解消します

Webサービスやアプリにおけるセキュリティ上の問題点を解消し、
収益の最大化を実現する相談役としてぜひお気軽にご連絡ください。

疑問点やお見積もり依頼はこちらから

お見積もり・お問い合わせ

セキュリティ診断サービスについてのご紹介

資料ダウンロード
脆弱性診断(セキュリティ診断)・ペネトレーションテスト
セキュリティインシデント対応支援
セキュリティ訓練/資格取得
イエラエアカデミー
脆弱性管理/セキュリティ対策ツール
サイバー攻撃防御・分析
セキュリティコンサルティング
用語解説