Azure Firewall は Microsoft マネージドの L3-L7 ステートフルファイアウォール / ネットワークセキュリティサービスです。 Hub-Spoke アーキテクチャの Hub VNet に配置し、組織全体のトラフィック制御・FQDN フィルタリング・脅威インテリジェンス連携を一元化する役割を担います。 本記事では、Azure Firewall の SKU 選定・Rule 設計・Firewall Manager 統合・運用ベストプラクティスを網羅的に整理します。
| 項目 | Basic | Standard | Premium |
|---|---|---|---|
| 対象 | 中小規模・SMB | 標準エンタープライズ | 高度セキュリティ要件 |
| 最大スループット | 250 Mbps | 30 Gbps | 30 Gbps |
| Application Rule | 対応 | 対応 | 対応 + URL Filtering |
| Network Rule | 対応 | 対応 | 対応 |
| Threat Intelligence | 基本 | 標準 | 標準 |
| TLS Inspection | 非対応 | 非対応 | 対応 |
| IDPS | 非対応 | 非対応 | 対応 |
| Web Categories | 非対応 | 非対応 | 対応 |
| Zone Redundancy | 非対応 | 対応 | 対応 |
| 月額 | 約 4 万円〜 | 約 12 万円〜 | 約 35 万円〜 |
一般的な本番環境は Standard で十分なケースが多く、Premium は『暗号化トラフィック内のマルウェア検査』『PCI DSS / HIPAA 等の高度コンプライアンス』要件で必要です。
*.microsoft.com への HTTPS を許可DNAT Rule は、Azure Firewall の Public IP に到達したトラフィックを VNet 内のプライベート IP に転送するルールです。
注意: DNAT Rule で公開する VM のセキュリティは特に注意。本番 Web 公開には Application Gateway / Front Door + WAF + Private Endpoint の組み合わせが推奨で、Azure Firewall DNAT は管理用途中心です。
Azure Firewall Manager は複数の Azure Firewall を集中管理する制御プレーンサービス。
エンタープライズで多リージョン Hub-Spoke を運用する場合、共通ポリシー (Allow Microsoft 365・Block Risky Country など) を Parent Policy として全 Firewall に継承、リージョン固有ルールを Child Policy で追加するのがベストプラクティス。
Forced Tunneling は、Azure Firewall または Azure VNet からのインターネット向けトラフィックを、オンプレファイアウォール経由で出させる構成。
トレードオフ: オンプレファイアウォールがボトルネック・遅延増・コスト増。クラウドネイティブ志向の企業ではあまり使われませんが、規制業界での要求パターンとして覚えておく価値があります。
| 項目 | NSG | Azure Firewall |
|---|---|---|
| レイヤ | L3-L4 | L3-L7 |
| 適用範囲 | Subnet / NIC | VNet 全体 |
| 料金 | 無料 | 有料 (月数万-数十万) |
| FQDN フィルタ | 非対応 | 対応 (Application Rule) |
| 脅威 TI | 非対応 | 対応 |
| ログ集約 | NSG Flow Logs | Diagnostic Logs |
| 用途 | 基本セキュリティ | 組織統制・高度制御 |
両者は競合ではなく相補関係で、組み合わせて使うのが標準。Microsoft も両方の併用を推奨しています。
Azure Firewall とは?
Azure Firewall は Microsoft マネージドの L3-L7 ステートフルファイアウォール / ネットワークセキュリティサービス。VNet 単位で展開し、組織全体のトラフィック制御・FQDN フィルタリング・脅威インテリジェンス連携・IDPS (Premium)・TLS 検査 (Premium) を提供。Hub-Spoke アーキテクチャの Hub VNet に配置するのが標準パターン。NSG (Network Security Group) と相補的な役割で、NSG が Subnet レベルの L3-L4 制御、Azure Firewall が VNet 全体の L7 統制を担う設計が定石です。
SKU (Basic / Standard / Premium) の違いは?
Basic SKU (2023 GA): 中小規模向け、最大 250 Mbps、月額約 4 万円から。Application / Network Rule・基本脅威インテリジェンス・IP Group。Standard SKU: 標準的なエンタープライズ向け、最大 30 Gbps、月額約 12 万円から。Forced Tunneling・DNS Proxy・Zone Redundancy 対応。Premium SKU: 高度セキュリティ要件向け、月額約 35 万円から。TLS 検査 (Encrypted Traffic Inspection)・IDPS (侵入検知防止)・URL フィルタリング・Web カテゴリ。Premium が必要な要件: 暗号化トラフィック内のマルウェア検査・PCI DSS / HIPAA 等の高度コンプライアンス。一般的な本番環境は Standard で十分なケースが多い。
Azure Firewall Manager とは?
Azure Firewall Manager は複数の Azure Firewall を集中管理する制御プレーンサービス。Firewall Policy という JSON ベースの設定を作成し、複数 Firewall インスタンスに適用 (継承可能)。Virtual WAN の Secured Virtual Hub に Azure Firewall を統合する場合は Firewall Manager 経由が必須。エンタープライズで多リージョン Hub-Spoke を運用する場合、共通ポリシー (Allow Microsoft 365・Block Risky Country など) を Parent Policy として全 Firewall に継承、リージョン固有ルールを Child Policy で追加するのがベストプラクティス。Microsoft Entra ID の RBAC で Firewall Policy のオーナーシップを SOC チームに委譲することも可能です。
Application Rule と Network Rule の違いは?
Network Rule: L3-L4 制御、IP アドレス・Port・Protocol (TCP/UDP/ICMP) ベース。標準的なファイアウォールルール。Application Rule: L7 制御、FQDN (Fully Qualified Domain Name) ベース、HTTP/HTTPS のみ。例: 『*.microsoft.com への HTTPS を許可』『*.windowsupdate.com への HTTP/HTTPS を許可』。FQDN タグも提供 (Microsoft365・WindowsUpdate・AzureBackup など、Microsoft 提供の事前定義 FQDN グループ)。設計原則: アウトバウンドの Microsoft 365 / Windows Update / Azure サービスへのアクセスは Application Rule + FQDN タグ で簡潔に構成、サーバー間通信は Network Rule で IP/Port 制御という使い分けが定石です。
DNAT Rule (Destination NAT) はどう使いますか?
DNAT Rule は、Azure Firewall の Public IP に到達したトラフィックを VNet 内のプライベート IP に転送するルール。代表的なユースケース: 1) RDP/SSH 管理アクセス (例: Firewall Public IP の 22 番ポートを VNet 内 Jumpbox VM の 22 番ポートに転送)、2) Web サーバー公開 (Firewall の 80/443 を Web Server VM に転送)、3) IoT デバイスからの特定ポート受信。注意: DNAT Rule で公開する VM のセキュリティは特に注意 (Application Gateway WAF・Front Door 経由のほうがセキュア)。本番 Web 公開には Application Gateway / Front Door + WAF + Private Endpoint の組み合わせが推奨で、Azure Firewall DNAT は管理用途中心です。
Forced Tunneling とは?
Forced Tunneling は、Azure Firewall または Azure VNet からのインターネット向けトラフィックを、オンプレファイアウォール経由で出させる構成。組織のセキュリティポリシーで『すべてのインターネット出力をオンプレ FW で監査』が必須の金融・政府機関で使われるパターン。Azure Firewall Standard / Premium で対応 (Basic は非対応)、Subnet (AzureFirewallSubnet) の UDR で Default Route (0.0.0.0/0) を VPN Gateway / ExpressRoute Gateway に向ける構成。トレードオフ: オンプレファイアウォールがボトルネック・遅延増・コスト増。クラウドネイティブ志向の企業ではあまり使われませんが、規制業界での要求パターンとして覚えておく価値があります。
NSG と Azure Firewall の使い分けは?
NSG (Network Security Group): Subnet / NIC レベルの L3-L4 ステートフル制御、無料、すべての VNet で標準適用。Azure Firewall: VNet レベルの L3-L7 制御、有料、組織全体の統制用。設計原則: NSG を常時適用 (基本セキュリティ) + Azure Firewall を Hub VNet に配置 (高度制御・FQDN・脅威 TI)。具体例: Subnet 内 VM 間通信は NSG で IP/Port 制御、Spoke から Internet への出力は Hub の Azure Firewall で FQDN フィルタリング + ログ集約。両者は競合関係ではなく相補関係で、組み合わせて使うのが標準。Microsoft も両方の併用を推奨しています。詳細は VNet 完全設計ガイド を参照。
関連認定試験は?
AZ-700 (Network Engineer Associate) で Azure Firewall が深く問われ、Application Rule・Network Rule・DNAT・FQDN タグ・Firewall Manager・Forced Tunneling などの設計判断が頻出。AZ-104 (Administrator) のドメイン 4 で基礎、AZ-305 (Solutions Architect Expert) でアーキテクト視点での選定、SC-100 (Cybersecurity Architect Expert) でゼロトラストネットワーク設計の中核として、SC-500 (旧 AZ-500、2026-09 GA) で Azure セキュリティ実装の重要トピック。Azure を扱うネットワーク・セキュリティエンジニアにとって Azure Firewall の理解は必須スキルです。
関連記事・技術深掘り
Azure Application Gateway vs Front Door 完全比較|L7 ロードバランサーの選定ガイド【2026 年版】
Azure の L7 ロードバランサー Application Gateway と Front Door を完全比較。リージョン vs グローバル・WAF 機能・SKU 選定 (Standard / Premium)・コスト・適用シーンを表形式で整理。両方組み合わせる多層構成、Traffic Manager / Azure CDN との関係、関連認定試験 (AZ-700 / AZ-305) を日本語で網羅。
Azure NSG / ASG 設計集|Network Security Group ルール設計・Application Security Group 活用パターン【2026 年版】
Azure の NSG (Network Security Group) と ASG (Application Security Group) の完全設計ガイド。ルール優先度・Service Tags・3-tier ASG 設計パターン・NSG Flow Logs・Traffic Analytics・落とし穴・関連認定試験 (AZ-700 / SC-100) を日本語で網羅。
Azure VPN Gateway 完全ガイド|SKU 選定・Site-to-Site/Point-to-Site・BGP・Active-Active【2026 年版】
Azure VPN Gateway の完全ガイド。SKU 選定 (VpnGw1-5)・Site-to-Site / Point-to-Site / VNet-to-VNet・BGP 動的ルーティング・Active-Active 高可用構成・Zone Redundant SKU・IKE Policy 強化・運用ベストプラクティス・関連認定試験 (AZ-700 / AZ-305) を日本語で網羅。
Azure Policy 完全ガイド|Effect・Built-in/Custom・Initiative・Remediation・コンプライアンス【2026 年版】
Azure Policy の完全ガイド。Effect 7 種類 (Deny/Audit/Modify/DeployIfNotExists/Append/AuditIfNotExists/Disabled) の使い分け、Built-in vs Custom Policy、Initiative (Policy Set)、Assignment Scope、Remediation、Microsoft Cloud Security Benchmark コンプライアンス活用、関連認定試験 (AZ-104 / SC-100 / AZ-305) を日本語で網羅。
本記事の技術情報は Azure Firewall Documentation に基づいています。 本記事は Microsoft Corporation の公式商品ではなく、いかなる提携・後援関係もありません。 Microsoft、Azure は Microsoft group of companies の商標です。 情報は 2026 年 5 月 24 日時点の公式公開資料に基づきます。最新情報は必ず公式ページをご確認ください。
NicheeLab編集部
データエンジニアリング・クラウド資格の専門家。Databricks・Snowflake等の認定資格を保有し、実務経験に基づいた問題作成・解説を行っています。NicheeLab運営。
AZ-900 完全ガイド|Microsoft Azure Fundamentals 出題範囲・学習リソース・合格戦略
Microsoft Azure Fundamentals (AZ-900) の 2026 年 1 月 14 日改訂版に対...
Azure 認定資格ロードマップ 2026 完全版|全 26 試験の体系と大型再編 (AI-901/AI-103/SC-500)
Microsoft Azure 認定資格 全 26 試験 (現行 23 + 退役 3) の 2026 年版ロードマップ。...
AI-901 完全ガイド|Azure AI Fundamentals 新試験
Microsoft Certified: Azure AI Fundamentals (AI-901) の出題範囲・Mi...
Microsoft Entra ID 入門|旧 Azure AD から学ぶ ID 管理 (AZ-900/SC-900/AZ-104 必須知識)
Microsoft Entra ID (旧 Azure Active Directory) の入門解説。2023 年 7...
DP-900 完全ガイド|Azure Data Fundamentals 出題範囲・学習リソース・合格戦略
Microsoft Azure Data Fundamentals (DP-900) の完全ガイド。4 ドメインの出題範...