AWS請求書を見たら、NAT Gatewayの料金が想定以上に膨らんでいて驚いた経験はないでしょうか。EC2やRDSの利用料より、NAT Gatewayの方が高いというケースも珍しくありません。オンプレでは「NATは無料のルータ機能」という感覚だったため、クラウドで突然数万円単位の請求が発生する理由に戸惑うインフラエンジニアも多いはずです。
この記事では、AWS NAT Gatewayの料金体系と、現場で実施できるコスト削減の4つのアプローチについて、オンプレ経験者にもわかりやすく解説します。VPC Endpointの活用、NAT Instanceとの比較、Single NAT構成のトレードオフ、そしてCloudWatchを使ったトラフィック分析まで、実務で使える具体的な手順を網羅します。
なぜNAT Gatewayのコストは高くなるのか?(オンプレとの違い)
オンプレ環境では、プライベートネットワークからインターネットへ出るためのNAT機能は、ファイアウォールやルータに標準搭載されていました。ハードウェアの初期費用を払えば、データ転送量に応じて追加料金が発生することはありません。
AWS NAT Gatewayは、このNAT機能をマネージドサービスとして提供するものです。高可用性と自動スケーリングが担保される代わりに、従量課金の料金構造を持っています。ここが、オンプレ経験者が最初につまずくポイントです。
特に見落とされやすいのが「データ処理料金」です。NAT Gatewayを通過するすべてのトラフィック(アウトバウンドだけでなく、レスポンスとして返ってくるインバウンドも)に対して、1GB単位で課金されます。コンテナがS3からイメージをpullしたり、EC2がyumアップデートでパッケージをダウンロードするたびに、NAT Gatewayの料金メーターが回り続けます。
NAT Gatewayの料金体系を分解する
東京リージョン(ap-northeast-1)における料金は、以下の2つの要素で構成されています(2026年4月時点)。
| 課金項目 | 料金 | 特徴 |
|---|---|---|
| 時間課金 | USD 0.062/時間 | 1つのNAT Gatewayごとに発生。1か月稼働で約USD 45 |
| データ処理料金 | USD 0.062/GB | NAT Gatewayを通過した全データ量に対して課金 |
これに加えて、インターネットへの外部出力には別途データ転送料金(USD 0.114/GB、東京リージョン)も発生します。つまり、1GBのデータがプライベートサブネットのEC2から外部に出ていくと、合計でUSD 0.176/GBのコストがかかる計算になります。
マルチAZ構成での落とし穴
冗長性を確保するためにAZごとにNAT Gatewayを配置すると、時間課金だけで3AZ構成なら月額USD 135(約20,000円)の固定費が発生します。さらに、別AZのNAT Gatewayを経由するトラフィックには、AZ間データ転送料金(USD 0.01/GB、双方向)が追加されるため、ルーティング設計を誤ると想定外の請求につながります。
コスト削減の4つのアプローチ
NAT Gatewayのコストを下げる手段は、大きく4つに分類できます。それぞれトレードオフがあるため、ワークロード特性に合わせて選択する必要があります。
1. VPC Endpoint(Gateway型・Interface型)の活用
もっとも効果が大きく、かつ副作用が少ないのがVPC Endpointの活用です。VPC EndpointはAWSサービスへのプライベート接続を提供する仕組みで、NAT Gatewayを経由せずに直接AWSサービスと通信できます。
VPC Endpointには2種類あります。
・Gateway型: Amazon S3とAmazon DynamoDB専用。追加料金なしで利用可能。ルートテーブルに経路を追加するだけ。
・Interface型: SSM、ECR、CloudWatch Logs等のサービス向け。AZごとにENI(Elastic Network Interface)を配置し、時間課金USD 0.014/時間+データ処理USD 0.01/GBが発生。
2. NAT Instanceへの置き換え
NAT Instanceは、EC2インスタンス上で自前でNAT機能を動かす方式です。t4g.nanoのような小さいインスタンスを使えば、月額USD 3~5程度で運用可能です。
ただし、以下のような制約があります。
・単一障害点: インスタンス停止時にインターネット接続が切れる(AutoRecovery設定は可能)
・帯域幅の上限: インスタンスタイプに依存。大容量通信では性能不足
・運用コスト: OSパッチ適用、セキュリティ対応が必要
開発環境や検証環境、小規模プロジェクトでは有力な選択肢ですが、本番環境での採用は慎重に検討すべきです。
3. Single NAT構成(可用性とのトレードオフ)
3AZ構成を1つのNAT Gatewayに集約するアプローチです。全AZのプライベートサブネットが同じNAT Gatewayを使うため、時間課金は1/3になります。
デメリットは、そのAZが障害を起こすと他AZのワークロードも外部通信できなくなる点です。また、AZ間データ転送料金が発生します。SLAが厳しくない環境や、NAT Gatewayダウン時にもワークロードが継続できる設計(例: SQS経由の非同期処理)では有効です。
4. CloudWatchでのトラフィック分析
削減施策を実施する前に、どこでどれだけのトラフィックが発生しているかを可視化することが重要です。NAT GatewayはCloudWatchメトリクスで「BytesOutToDestination」「BytesInFromDestination」等を提供しており、VPC Flow Logsと組み合わせれば、通信先別の内訳まで把握できます。
多くの現場で、NAT Gateway通信の上位を占めるのは以下のような通信です。
・コンテナイメージのpull(ECR)
・ログ転送(CloudWatch Logs)
・OSアップデート(yum/apt)
・S3へのバックアップ・データ連携
・Systems Manager Session Manager経由の接続
これらはすべて、VPC Endpointへの置き換えで削減可能です。
VPC Endpoint設定手順(Gateway型S3の例)
もっとも効果が出やすいS3向けGateway型エンドポイントの設定手順を、AWSマネジメントコンソールと AWS CLIの両方で紹介します。
1. マネジメントコンソールでの作成手順
VPCダッシュボードから「エンドポイント」→「エンドポイントを作成」を開きます。サービスカテゴリで「AWSのサービス」を選択し、「com.amazonaws.ap-northeast-1.s3」のGateway型を選びます。対象VPCと、S3通信を行うサブネットのルートテーブルを選択して作成すれば完了です。
ポリシーはデフォルトで「フルアクセス」になっていますが、必要に応じて特定バケットのみに絞る設定も可能です。
2. AWS CLIでの作成例
# AWS CLI: S3向けGateway型VPC Endpointを作成 aws ec2 create-vpc-endpoint \ --vpc-id vpc-0abc123def456789 \ --service-name com.amazonaws.ap-northeast-1.s3 \ --route-table-ids rtb-0123abc rtb-0456def \ --vpc-endpoint-type Gateway
3. 動作確認と削減効果の測定
設定後は、EC2インスタンスからS3へのトラフィックがNAT Gateway経由でなくなっていることを、VPC Flow LogsまたはCloudWatchメトリクスで確認します。作成から数時間以内に、NAT GatewayのBytesOutToDestinationメトリクスが明確に低下していれば成功です。
料金の仕組み(コスト感覚)
具体例で削減効果を計算してみます。月間1TBの通信があり、そのうち600GBがS3、200GBがECR、100GBがCloudWatch Logs、残り100GBが外部API通信というケースを想定します(2026年4月時点の東京リージョン料金)。
| 構成 | 時間課金 | データ処理料 | 月額合計(概算) |
|---|---|---|---|
| NAT Gateway 3AZ 全トラフィック | USD 135 | USD 62 | 約USD 197 |
| + S3 Gateway型VPC Endpoint | USD 135 | USD 25 | 約USD 160 |
| + ECR/CWL Interface型VPC Endpoint | USD 150 | USD 9 | 約USD 159 |
| Single NAT構成 + VPC Endpoint | USD 60 | USD 9 | 約USD 69 |
Single NAT構成+主要VPC Endpointの組み合わせで、月額USD 128(約19,000円)の削減が見込めます。年間で23万円規模のインパクトになります。
応用・実務Tips
Interface型VPC Endpointは本当にお得か
Interface型は時間課金が発生するため、トラフィック量が少ないサービスでは、逆にコスト増になる可能性があります。月間10GB程度のCloudWatch Logs送信なら、NAT Gatewayのデータ処理料USD 0.62より、Interface型の時間課金USD 10の方が高くつきます。事前にCloudWatchメトリクスで通信量を把握し、損益分岐点を判断することが重要です。
NAT Gateway自体の削減も検討する
プライベートサブネットから外部通信が不要なワークロードなら、NAT Gatewayそのものを配置しない選択肢もあります。Lambdaや独立したAPI呼び出しが発生しないバッチ処理専用VPCでは、NAT Gatewayをゼロにできるケースがあります。
AZ間データ転送料金を見落とさない
Single NAT構成を採用すると、他AZからのトラフィックにAZ間データ転送料(USD 0.01/GB、双方向)が加算されます。通信量が多い場合はこの料金も無視できないため、事前にシミュレーションが必要です。
よくあるトラブルと対処法
VPC Endpoint作成後もNAT Gateway経由になる
Gateway型のVPC Endpointは、ルートテーブルへの経路追加が必要です。作成画面で対象ルートテーブルを選択し忘れると、エンドポイントは存在するのに経路がないため通信が流れません。VPC Endpointの詳細画面で「関連付けられているルートテーブル」を確認してください。
Interface型VPC EndpointでDNS解決ができない
Interface型でプライベートDNS名を有効化していないと、アプリケーションは従来通りパブリックエンドポイントに接続しようとし、NAT Gatewayを経由してしまいます。エンドポイント作成時に「プライベートDNS名を有効化」のチェックを忘れないようにします。
Gateway型VPC Endpointの対象リージョン
Gateway型はS3とDynamoDB限定かつ同一リージョン内通信のみ対象です。クロスリージョンのS3アクセスには適用されず、その場合はNAT Gatewayまたは別リージョン側のVPC Endpointが必要になります。
本記事のまとめ
AWS NAT Gatewayのコストは、適切な対策を取らないと月額数万円規模に膨らむ「静かなキラー」です。オンプレの感覚で放置すると、気づいたときには年間数十万円の請求になっていることも珍しくありません。
削減の基本戦略は、①CloudWatchで通信内訳を可視化する、②S3・DynamoDBはGateway型VPC Endpointで無料化する、③大口通信のサービスはInterface型VPC Endpointで転送量を削減する、④可用性要件に応じてSingle NAT構成も検討する、という順序です。
クラウドのコスト最適化は、サービス単体の料金を眺めるのではなく、ワークロード全体の通信パターンを理解することが出発点になります。AWSセキュリティの基礎については、姉妹サイトSecurityMaster.JPで詳しく解説しています。
NAT Gatewayの請求書を見て「何とかしたい」と感じていませんか?
VPC設計やコスト最適化は、オンプレ時代のネットワーク知識と、クラウド特有の課金モデルを橋渡しできる人が圧倒的に強いです。
オンプレの経験を活かしながら、現場で使えるクラウドスキルを体系的に身につけたい方へ、メルマガで実践的なクラウド活用ノウハウをお届けしています。
コメント