1. はじめに
皆さん、こんにちは。
クラウド環境におけるネットワークセキュリティの要として、Azure Firewallは多くのシナリオで利用されています。しかし、運用を続ける中で「コストを抑えたい」「機能要件に合わせてSKUを見直したい」というニーズは少なくありません。
本記事では、Azure FirewallのSKUをダウングレードする際の手順と、その過程で発生する通信影響を検証した結果を紹介します。
特に、以下のような方に役立つ内容です:
- Azure Firewallを導入済みで、コスト最適化を検討している方
- SKU変更時の影響範囲を事前に把握したいネットワーク管理者
- Azure Firewallの構成や運用に関心のあるクラウドエンジニア
この記事を読むことで、ダウングレードの実現方法と注意点、通信影響の有無を理解し、より安全かつ効率的な運用判断に役立てていただけます。
目次
2. Azure Firewallの概要と構成
Azure Firewallは、Azure環境におけるネットワークセキュリティを強化するためのマネージドサービスで、L3~L7レベルのトラフィック制御を提供します。インバウンド・アウトバウンド通信のフィルタリング、ログ収集、脅威インテリジェンスベースの保護など、クラウドネイティブなセキュリティ機能を備えています。
SKUは主に以下の3種類に分かれます:
- Basic:シンプルな構成で小規模環境向け
- Standard:脅威インテリジェンスや高度なルール設定に対応
- Premium:TLS検査やIDPSなど、より高度なセキュリティ機能を提供
※詳細なSKU別機能を比較するには以下公式ドキュメントをご参照ください。
ニーズに合わせて適切な Azure Firewall SKU を選択する | Microsoft Learn
ご注意いただきたいのは、Azure FirewallのSKU変更機能がStandard ↔ Premium間のみサポートされている点です。Basic SKUはこの仕組みに対応していないため、Basicに変更する場合はAzure Firewallの新規作成が必要になります。
今回の検証では、Premium SKUからStandard SKUへのダウングレードを対象とし、以下の構成でテストを実施しました:
3. Azure FirewallのSKUダウングレード手順
では、実際に Azure Firewall の SKU をダウングレードしてみましょう。
後述しますが、ダウングレード作業中には環境条件に応じて通信影響が発生するため、適切な作業時間の検討が必要です。
- Azure Firewall ポリシーをStandardで新規作成する。
- ダウングレードしたい対象のAzure Firewall に紐づけられているAzure Firewall Premium ポリシーを、①で作成したStandardに切り替える。
※Premium SKU専用機能は事前に削除、もしくは無効化する必要があります。
- Azure Firewall のSKUをStandardに変更し、ダウングレードを実行する。
- およそ30分程度でSKUがStandardに変更されたことを確認。
作業手順は以上になります。
4. ダウングレードによる通信影響の検証結果
Microsoft Learn の「Change Azure Firewall SKU」のページでは、Easy SKU change を利用することで Standard ↔ Premium 間の切り替えがゼロダウンタイムで実行可能と記載されています。
Change Azure Firewall SKU (When to use easy SKU change) | Microsoft Learn
しかし実際には、インターネット接続や外部サービスへの疎通が一時的に中断するケースが確認されています。
以上を踏まえ、今回はAzure Firewall を経由してインターネットへ接続する仮想マシンからの通信を、継続的に監視することで検証しました。具体的には、対象仮想マシンから外部サイトへの疎通を一定間隔で実行し、ダウングレード手順②と③の応答状況を記録しました。
なお、疎通確認には以下PowerShellコマンドを使用しました。
|
1 2 3 4 5 6 7 8 9 10 11 12 13 |
[$interval = 1 # 秒数 $computerName = "www.microsoft.com" $port = 443 $count = 0 while ($true) { $count++ Write-Host "Attempt #$count" Test-NetConnection -ComputerName $computerName -Port $port Start-Sleep -Seconds $interval } ] |
4.1 Azure Firewall ポリシーの切り替え作業時(ダウングレード手順②)
毎秒の疎通確認で通信断が発生したタイミングは確認されませんでした。
4.2 Azure Firewall SKUの切り替え作業時(ダウングレード手順③)
開始からおよそ2分経過したタイミングで、2秒間の通信断を確認しました。
5. まとめ
本ブログでは、Azure Firewall の SKU ダウングレード手順と、作業時に発生する通信影響についてお伝えしました。今回の検証環境での場合では、SKU 切り替え処理中にごく短い通信断が発生することを確認しました。
この結果から、ダウングレード作業は大きな影響を伴うものではないものの、完全に無停止で行えるとは限らないことが分かります。特に継続接続が求められるサービスや、短時間の通信断でも影響が生じるシステムを運用している場合は、事前の検証およびメンテナンス時間帯での実施をお勧めいたします。本記事が安全な作業計画策定の一助となれば幸いです。
また、Azure Firewall を含め、コスト削減や運用管理の負荷軽減を目的とした構成変更をご検討される際にご不安をお持ちのお客様は、ぜひ弊社までお気軽にお問い合わせください。
この記事を書いた人
- 双日テックイノベーション(旧:日商エレクトロニクス)特設サイト「Azure導入支援デスク」サイトマスターです。
この投稿者の最新の記事
- 2026年1月6日ブログAzure FWのSKUダウングレードおよび通信影響
- 2025年12月19日ブログMicrosoft Ignite 2025 現地参加レポート Day4
- 2025年12月16日ブログMicrosoft Ignite 2025 現地参加レポート Day3
- 2025年12月8日ブログMicrosoft Ignite 2025 現地参加レポート Day2