Gateway Load Balancer を使用したNVAは、大幅な遅延を引き起こしますか？

GWLBとNVAのチェーンは、通常、検査ノードあたり数ミリ秒程度のわずかな遅延を導入します。ほとんどのアプリケーションでは、これは無視できるレベルです。しかし、超低遅延が要求される金融取引やリアルタイム通信のワークロードでは、この追加のホップは概念実証中に測定および検証されるべきです。

AzureでPalo AltoまたはFortiGate NVAに既存のBYOL（Bring Your Own License）を使用できますか？

はい、両ベンダーともBYOLをサポートしています。これは、既存の3年または5年間のEnterprise Agreementsを持つ企業にとって、最も費用対効果の高い選択肢となることが多いです。リセラーからライセンスを購入し、Azure MarketplaceからBYOLイメージをデプロイすることで、高額な時間単位のPAYGライセンスコストを回避できます。

Azure Firewall Premiumはどのように高可用性（HA）を処理しますか？

Azure Firewallは本質的に高可用性を備えています。デプロイすると、Microsoftは複数のActive-Activeなバックエンドインスタンスを（サポートされているリージョンで）異なるAvailability Zoneにプロビジョニングします。このゾーン冗長HAは組み込みで自動であり、ユーザーによる構成は不要です。これはNVAペアの手動HAセットアップとは異なります。

同じVirtual Hubに接続されたスポーク間のトラフィックを、ファイアウォールを経由させずにルーティングすることはできますか？

はい、Azure Virtual WANを使用すると、ルーティングポリシーを設定して検査を制御できます。インタースポークトラフィックをAzure Firewall（またはNVA）に明示的に送信して検査させるか、セキュリティスクリーニングを必要としないシナリオではvWANハブのルーターによって直接ルーティングさせることも可能であり、アーキテクチャの柔軟性を提供します。

AzureでFortiGate/Palo Alto NVAを管理するにはどのようなスキルが必要ですか？

コアとなるAzureネットワーキングスキル（VNet、UDRs、GWLB、Route Server）に加えて、チームにはベンダー固有の専門知識が必要です。これには、FortiOS/PAN-OSの習熟、特定のHAメカニズムの理解、そして中央管理プラットフォーム（FortiManager/Panorama）のスキルが含まれます。これは、トレーニングと人員配置において重要な考慮事項となります。

Azure Firewall Premiumはサードパーティの脅威インテリジェンスフィードをサポートしていますか？

2026年初頭現在、Azure Firewall Premiumは、IPベースの脅威インテリジェンスフィードをSTIX/TAXII形式で取り込むことを許可しています。これにより、MicrosoftのネイティブIDPSを独自のまたは商用のフィードで強化し、既知の悪意のあるIPアドレスをブロックできます。ただし、NGFWプラットフォームが提供するようなより複雑なシグネチャベースのフィードはサポートしていません。

Gateway Load BalancerでNVAを使用する場合、SNATは必要ですか？

GWLBを介して検査されるトラフィック（VNet-to-VNetやIngressなど）の場合、GWLBがソースIPを保持するため、SNATは必要ありません。ただし、ファイアウォール自体から発信されるトラフィック（NVAが脅威インテリジェンスサービスを呼び出す場合など）の場合、SNATがNVA自身のインターフェースIPに適用されます。この区別は、正しいルール設計にとって非常に重要です。

Azure Firewall vs. Palo Alto & Fortinet NVA: 2026年TCO分析

2026年には、Azure FirewallとPalo Alto NetworksやFortinetといったベンダーのサードパーティ製NVA（Network Virtual Appliance）のどちらを使用するかという議論は、単なる機能リストの比較から、根本的なアーキテクチャ上の決定へと発展しました。Azure Firewall Premiumはもはや発展途上のクラウドネイティブなツールではなく、成熟したPlatform-as-a-Service (PaaS) オファリングとして、重要な機能を提供しています。しかし、専用の次世代ファイアウォール（NGFW）NVAの直接的な代替品ではありません。どちらが正しい選択であるかは、「優れているか劣っているか」という単純な見方ではなく、運用モデル、既存のセキュリティエコシステム、アーキテクチャ上のトレードオフに対する許容度によって完全に決まります。これは、PaaSのシンプルさとIaaSの制御との間の決定です。

アーキテクチャ上の区分：ハブにおけるPaaS vs. IaaS

Azure FirewallとNVAの核となる違いは、そのサービスモデルにあります。Azure Firewallは、完全にマネージドされた、ゾーン冗長なステートフルサービスです。基盤となるVMを管理する必要がなく、OSのパッチ適用も不要であり、スループットと接続数に基づいて自動的にスケールします。Azureファブリックとの統合はシームレスであり、診断はAzure Monitorにネイティブであり、ルーティングはファイアウォールのPrivate IPを指す標準的なUser-Defined Routes（UDRs）を通じて処理されます。ユーザーはこれをサービスとして利用します。

対照的に、Palo Alto VM-SeriesまたはFortiGate-VMはIaaS（Infrastructure-as-a-Service）デプロイメントです。ユーザーはマーケットプレイスから1つまたは複数のVM（例：Standard_D5_v2、F-series）をデプロイし、OS、High Availability（HA）構成、パッチ適用、そしてファイアウォールソフトウェア（PAN-OS、FortiOS）のライフサイクル管理に責任を負います。2026年において、これらのアプライアンスをトラフィック検査のためにデプロイする事実上の標準は、Gateway Load Balancer (GWLB) を使用することです。このセットアップは、「透過的なファイアウォール」サービスチェーンを作成します。ここでは、ソースVNetからのトラフィックがGWLBのフロントエンドに誘導され、NVAインスタンスのバックエンドプールに渡され、その後に目的地に転送されます。このアーキテクチャは、Azure Route ServerによるBGPルート交換と組み合わされることで、NVAの初期デプロイメントで悩まされた非対称ルーティングの問題を最終的に解決します。

Gateway Load Balancer サンドイッチ

GWLBアーキテクチャを理解することは非常に重要です。それは透過的な「bump-in-the-wire」として機能し、元のクライアントのソースIPを保持します。標準的なVNet-to-VNetフローは以下のようになります：スポークVNet -> GWLBへのUDR -> NVAが検査 -> GWLBが元のスポークに返送 -> トラフィックが目的のスポークにルーティング。これにより、NVAはSource NAT (SNAT) を実行することなく完全な可視性を持ち、ロギングとフォレンジックにとって大幅な改善となります。ただし、これは管理とトラブルシューティングのための別のAzureコンポーネントを導入することになり、それ自身のサービス制限と診断課題を伴います。

TLSインスペクション：マネージドなシンプルさ vs. 粒度の高い制御

どんなに真剣なセキュリティ体制を構築する上でも、TLSインスペクションは必須です。ここで、各プラットフォームの哲学的違いが際立って明らかになります。

Azure Firewall Premiumのアプローチ

2026年までに、Azure Firewall PremiumのTLSインスペクションは、その意図された目的に対して堅牢です。エンタープライズCAから生成および従属させたマネージドの中間CAを使用し、プライベートキーはAzure Key Vaultに安全に保管されます。これは機能し、設定もシンプルです。しかし、このシンプルさは、制御の代償を伴います。ユーザーは単一の広範なポリシー、つまり復号化するかしないか、しか得られません。Cipher SuiteのサポートはMicrosoftによって決定され、ユーザーによるものではありません。証明書ピンニングを使用するアプリケーションに対処するのは困難な場合が多く、セキュリティ体制を弱める可能性のある広範なURLベースの例外を作成する必要があることがよくあります。

Palo AltoとFortinet：復号の専門家

これは専用NGFWベンダーの得意分野です。PAN-OS 11.2を実行するPalo Alto VM-SeriesやFortiOS 7.6を実行するFortiGate-VMは、TLS復号化に対して細やかな制御を提供します。例えば、ソーシャルメディアカテゴリ向けのトラフィックは復号化するが、プライバシー規制を尊重するために金融や医療カテゴリは untouched のままにする、といったきめ細かいポリシーを作成できます。許可されるCipher Suiteとプロトコルバージョンを完全に制御できるため、厳格な暗号化ポリシーを適用できます。さらに重要なことに、これらのエンジンは、ピン止めされた証明書や非標準のTLS実装（運用上の問題の一般的な原因）を特定および管理するための優れた可視性とツールを提供します。

IDPS：厳選されたシグネチャ vs. 世界クラスの脅威インテリジェンス

侵入検知・防御システム (IDPS) は、そのシグネチャと、それらを供給する脅威インテリジェンスの質に依存します。Azure Firewall Premiumには、プレーンテキストと暗号化されたトラフィックの両方で悪意のあるアクティビティを検知・ブロックできるシグネチャベースのIDPSが含まれています。シグネチャセットはMicrosoftの脅威インテリジェンスチームによって厳選され、自動的に更新されます。約50以上のカテゴリにわたる60,000のシグネチャを提供します。

これは一般的な既知の脅威に対しては効果的です。しかし、それはブラックボックスとして機能します。個々のシグネチャを検査する能力は限られており、通常は「Alert (アラート)」または「Alert and Deny (アラートして拒否)」しかできません。多くの組織にとって、これで十分です。しかし、セキュリティを最優先するエンタープライズにとっては、そうではありません。Palo AltoのThreat PreventionサービスはUnit 42によって、FortinetのIPSはFortiGuard Labsによって提供されています。これらは世界的に評価の高い脅威研究チームです。彼らの製品は、より大規模でダイナミックなシグネチャデータベースへのアクセスを提供し、Azure Firewallには欠けているApp-IDおよびプロトコルデコーダを介して提供されるC2チャネル、DNSトンネリング、ファイルベースのエクスプロイトに対する高度な保護を含みます。異なるIPSプロファイルを異なるゾーンやトラフィックフローに適用でき、個々のシグネチャに対してアクション（ブロック、アラート、リセットなど）をカスタマイズできるため、Azure Firewallでは不可能なレベルのチューニングが可能です。

サイジングとTCO：金融サービスハブの現実的なケース

一般的なシナリオをモデル化してみましょう。中央ハブVNetがすべての outbound インターネットトラフィックとVNet-to-VNetトラフィックを検査します。この組織は、検査されるすべてのフローについて完全なTLSインスペクションとIDPSを必要とします。

必要な総スループット: 8 Gbps
TLSインスペクション要件: トラフィックの40% (3.2 Gbps)
ログ生成: 1ログエントリあたり平均1,200バイト、ピーク時15,000ログ/秒。

日次ログ量の計算: 15,000ログ/秒 * 1,200バイト/ログ * 86,400秒/日 = 約1.55 TB/日。

オプション1：Azure Firewall Premium

Firewallコスト: Azure Firewall Premiumは、デプロイ時間の時間単位料金とデータ処理料金に基づいて課金されます。8 GbpsのIDPS検査済みトラフィックを処理するには、単に100 GbpsのSKUスケールに依存するだけでは不十分です。機能を有効にした際のパフォーマンスが重要です。現実的には、これは裏で最低4つのファイアウォールインスタンスをスケールアウトさせてデプロイする必要があり、単一のリソースとして料金が計算されます。2025年末の価格設定では、ベースラインのPremium SKUは~$1.75/時間です。データ処理は~$0.007/GBを追加します。
ファイアウォール: $1.75/時間 * 24 * 30 = ~$1,260/月
データ処理: (8 Gbps * 3600秒/時間 * 24時間/日 * 30日) / 8ビット/バイト / 1024^3 GB/TB * $0.007/GB ≈ $17,203/月
ログストレージコスト (Azure Sentinel/Log Analytics): 1.55 TB/日は約46.5 TB/月です。インジェストの一般的な従量課金$2.50/GBでは、これは非現実的です。コミットメントティアが必要です。5 TB/日ティアは月額約$15,000かかります。ログコストがファイアウォールコストをはるかに上回ります。
合計月額見積もりコスト: $1,260 + $17,203 + $15,000 = $33,463

オプション2：FortiGate-VM (HAペア)

VMおよびライセンスコスト: 8 Gbpsの「Threat Protection」スループット（関連するメトリック）を得るためには、小さいVMは使用できません。HAのために`Standard_F16s_v2` VM上で動作する`FortiGate-VM16S`のペアが必要です。
VMコスト: 2 * $0.796/時間 * 24 * 30 = ~$1,146/月
FortiGate PAYGライセンス: 2 * FortiGate-VM16 (FortiGuardバンドルを含む) ≈ 2 * $4.50/時間 * 24 * 30 = ~$6,480/月
ログストレージコスト (FortiAnalyzer): 1.55 TB/日を処理するためにFortiAnalyzer-VMアプライアンスをデプロイ。大規模な`FAZ-VM3000G`はこのボリュームを処理できます。ライセンスは一度限りの購入（またはBYOL）ですが、VMコストとストレージを考慮に入れましょう。46.5 TBのストレージには、相当なPremium SSDマネージドディスク（例：複数のP40ディスク）が必要で、月額$1,500以上かかります。
合計月額見積もりコスト (PAYG): $1,146 + $6,480 + $1,500 = $9,126（一度限りのコストは除き、AnalyzerのBYOLを想定。PAYGライセンスは高価であり、3年間のBYOL契約によりTCOが劇的に低下します。）

オプション3：Palo Alto VM-Series (HAペア)

VMおよびライセンスコスト: 8 GbpsのThreat Preventionスループットを達成するには、`VM-500`ファイアウォールのペアが必要です。これらは`Standard_D8s_v4`のようなAzure VM上で動作します。
VMコスト: 2 * $0.384/時間 * 24 * 30 = ~$553/月
Palo Alto PAYGライセンス: `VM-500` PAYGバンドル（Threat Preventionなど）は~$7.00/時間です。2 * $7.00/時間 * 24 * 30 = ~$10,080/月。
ログストレージコスト (Panorama/Cortex Data Lake): FortiAnalyzerと同様に、Panorama MシリーズVMまたはCortex Data Lakeへの転送。CDLのコスト構造は消費ベースであり、適切に管理しないとLog Analyticsに匹敵する可能性があります。ログインフラ/サービスとして月額$2,000を見積もります。
合計月額見積もりコスト (PAYG): $553 + $10,080 + $2,000 = $12,633

この数字から明らかなように、大規模なAzure Firewallのデータ処理とネイティブロギングのコストは、大幅な財政的負担となります。NVAは初期ライセンスコスト（特にPAYGの場合）が高いものの、高スループットのシナリオでは、特に複数年間のEnterprise Agreements（BYOL）を使用した場合、TCOが大幅に低くなる可能性があります。PaaSのコストは無視できません。

よくある落とし穴：運用オーバーヘッドの誤算

エンジニアは、ライセンスとAzureリソースのコストのみに基づいてTCOを計算しがちですが、これは重大な誤りです。NVAを運用する際の主要な「コスト」は運用上のものです。以下の責任が伴います。

パッチ適用とアップデート： HAクラスター全体でFortiOSまたはPAN-OSのアップデートを定期的に適用すること。これはしばしばメンテナンスウィンドウを必要とします。
高可用性管理： HAメカニズム（Active/Passive、Active/Active）が機能していること、テスト中に正しくフェイルオーバーすること、そして適切に回復することを確認すること。
構成管理： PanoramaとFortiManagerは優れたツールですが、それらは専門的なスキルを必要とする複雑なプラットフォームです。偶発的なポリシープッシュは壊滅的な障害を引き起こす可能性があります。
トラブルシューティング： 問題が発生したとき、それはNVA、GWLB、UDR、Route Server、それともアプリケーションのどれに起因するのか？ Azure Firewallとは異なり、トラブルシューティングの範囲は著しく広くなります。Azure Firewallでは、基盤となるプラットフォームはMicrosoftの責任です。

2026年にサードパーティNVAを使用すべきでない場合

高スループットハブに対するTCO分析にもかかわらず、NVAが常に適切な選択であるとは限りません。以下の場合には、Azure Firewall Premiumを優先すべきです。

シンプルさが最優先される場合： チームがAzureのジェネラリストであり、専用のネットワークセキュリティエンジニアではない場合。PaaSサービスの運用負担の少なさが、機能のギャップを上回る。
スポークVNetのエグレス： 良好なURLフィルタリングとIDPSを備えた、シンプルなインターネットエグレスのみが必要なスポークVNetの場合、Azure Firewallは完璧な選択肢です。Azure Policyを介して簡単にデプロイでき、GWLBやBGPの複雑さなしにベースラインの保護を提供します。
100%クラウドネイティブな環境： オンプレミスデータセンターがなく、FortinetまたはPalo Altoへの既存の投資がない場合、NVAを採用することは、インフラストラクチャのごく一部のために全く新しい管理エコシステム（Panorama/FortiManager）を採用することを意味します。ネイティブのAzureツールチェーン（ARM、Bicep、Terraform、Azure Policy）に固執することには大きな価値があります。

管理プレーンの溝：Azure Policy vs. Panorama/FortiManager

選択は、セキュリティ運用モデルも決定します。Azure Firewallの場合、セキュリティポリシーはInfrastructure as Code (IaC) パイプラインの一部となります。ファイアウォールルール、ポリシー、IDPS設定はARM、Bicep、またはTerraformテンプレートで定義されます。変更はプルリクエストと自動化されたパイプラインを通じてデプロイされ、DevOpsの考え方に沿った一貫性のある監査可能なワークフローを提供します。

NVAの場合、ポリシー管理は、FortiManagerまたはPanoramaという専用のセキュリティプラットフォームで行われます。これはハイブリッドエンタープライズにとって大きな利点です。オンプレミスに50台のFortiGateを運用する組織は、既存のルールベース、オブジェクト、セキュリティプロファイルをAzureにシームレスに拡張できます。セキュリティチームは、長年培ってきた同じツールとワークフローを使用します。しかし、これはクラウドチームとの隔たりを生む可能性があります。ネットワークセキュリティチームがPanoramaからポリシーをプッシュする一方で、クラウドチームはTerraformを介してインフラストラクチャをデプロイします。適切に統制しないと、これは運用上の摩擦と2層の管理システムにつながる可能性があります。

2026年までに、ファイアウォールポリシーが既存のセキュリティ装置の拡張であるのか、それともクラウドインフラストラクチャコードの統合コンポーネントであるのかを決定する必要があります。正解はありませんが、どちらかを選択する必要があります。

最終的に、Azure Firewall vs. NVAの決定は、より広範なクラウド戦略議論、つまりPaaS vs. IaaSの縮図です。アジリティ、DevOps統合、クラウドネイティブ環境での運用簡素化を優先する組織にとって、Azure Firewall Premiumは強力で実行可能な選択肢です。一方、ハイブリッド環境全体でクラス最高のセキュリティ、詳細な制御、一貫したポリシーフレームワークを必要とするエンタープライズにとっては、Palo AltoまたはFortinet NVAの実証された能力は、運用上の複雑さが追加されるにもかかわらず、依然として優れた選択肢です。決定する前に、特定のスループットとロギングのニーズについてTCO計算を実行してください。結果はあなたを驚かせるかもしれません。Azureセキュリティを設計する準備はできましたか？ techleague.ioの専門家がTCOをモデル化し、適切なソリューションを設計するお手伝いをします。Azure Route ServerとBGPの深掘り、そしてハイブリッドクラウドにおけるPanoramaとFortiManagerの選択に関する私たちのフォローアップ記事もご覧ください。