複雑化するAWSのネットワークやセキュリティのアップデートを、日々の業務の中で追いかけるのは骨の折れる作業です。
本コラムでは、2026年3月に実施されたAWSの重要アップデートを現場目線でわかりやすく解説します。
最大のトピックである「VPC Encryption Controls」の正式有料化をはじめ、AWS SDK for .NET v3 / PowerShell v4のメンテナンスモード移行、AWS Configのサポート拡充など、運用に直結する変更を網羅しました。
これらの仕様変更がアーキテクチャに与える影響や、意図せぬコスト増・トラブルを防ぐための注意点を丁寧に紐解いていきます。
この記事の結論
2026年3月1日より、AWSのVPC内およびVPC間のネットワークトラフィックに対する暗号化状態を一元的に監査・強制する「VPC Encryption Controls」が、無償プレビュー期間を終了し正式な有料機能へと移行した。 本アップデート以降は、暗号化を監視するモニターモードまたは非準拠リソースを遮断するエンフォースモードが有効化され、かつ内部にネットワークインターフェイスを持つ「空ではないVPC」に対して、リージョンごとの固定時間料金が継続的に発生する。 特にTransit Gatewayの暗号化サポートを有効にしているネットワーク環境においては、接続されているすべてのVPCが設定状態に関わらず一律で課金対象となる特有の仕様が存在するため、事前のアーキテクチャ設計と厳密なコスト評価が不可欠である。
■目次
この記事はこんな人にオススメ
- VPC環境のネットワークセキュリティを根本から強化し、監査要件を満たしたい方
- 暗号化通信の客観的な証明が必要であり、コンプライアンス対応の自動化を模索している方
- 2026年3月以降のAWSインフラ請求額が増加する潜在的な要因を事前に把握したい方
アップデートの概要
2026年3月は、AWSのネットワークセキュリティとガバナンスの領域において、インフラ運用のあり方を大きく変える複数のアップデートが集中しました。
ここでは、メインとなるVPC Encryption Controlsの有料化に加え、開発・運用ツール周りの重要な変更点について全体像を解説します。
①VPC Encryption Controlsの有料化に関する全体像
VPC内およびVPC間のトラフィック暗号化を統合管理するガバナンス機能「VPC Encryption Controls」が、無償プレビューを経て2026年3月1日より正式な有料機能(Paid Feature)へ移行しました。
AWS環境ではNitroベースのインスタンス間通信などは自動的に暗号化されますが、本機能を利用することで、古い世代のインスタンスや設定漏れによる「意図しない非暗号化通信」を検知・ブロックできます。
今回の有料化に伴い、機能を有効化したVPCに対しては「時間単位の固定料金」が発生する新たな課金体系がスタートしています。
②開発・運用ツールのサポート終了に向けたタイムライン開始
同3月1日、現場で長らく愛用されてきた「AWS SDK for .NET v3」および「AWS Tools for PowerShell v4.x」が、公式にメンテナンスモードへ移行しました。
この期間中は、新サービス・新リージョンへの対応や新APIの追加は一切行われず、深刻なバグ修正やセキュリティアップデートのみが提供されます。段階的な退役プロセスが始まったため、運用担当者は最新バージョンへの移行計画を立てる必要があります。
③AWS Configのサポートリソース大幅拡充によるガバナンス強化
さらに3月3日には、リソースの構成管理を担う「AWS Config」で新たに30種類のリソースタイプがサポート対象に追加されました。
Amazon BedrockやAmazon Connectなど、近年利用が急増しているモダンなサービスも多数含まれています。
VPC Encryption Controlsによるネットワーク層の統制と併せ、クラウド環境全体のガバナンスとコンプライアンスをより強固かつ自動的に実現しようとするAWSの明確な方向性が伺えます。
ここからは、メイン機能である「VPC Encryption Controls」がインフラ運用の現場にもたらすメリットを、2つの動作モードとコンプライアンスの観点から解説します。
①VPC Encryption Controls有料化
メリット
モニターモードによる網羅的な可視化の実現
「モニターモード」を有効にすると、既存のVPCフローログに「通信が暗号化されているか」のステータス情報が自動付与されます。 すべての通信を物理的に止めることなく記録し続けるため(※高速道路の自動ナンバー認識カメラのイメージ)、本番環境に影響を与えることなく、「非暗号化トラフィックの発生源」や「非準拠リソースの現状」を安全にアセスメントできます。
エンフォースモードによるセキュア・バイ・デザインの強制
「エンフォースモード」は、暗号化要件を満たさないリソースの作成やアタッチを、AWSシステムレベルで強制的にブロック(Prevent)する強力な機能です。
- 主なブロック対象例:インターネットゲートウェイ、NATゲートウェイ、非暗号化VPCピアリング、VPC内のLambda関数、EFSなどの一部ストレージ
- メリット:人為的ミスやシャドーITによって、セキュリティ要件を満たさないリソースが立ち上がるインシデントリスクを根幹から排除できます。
厳格なコンプライアンス要件の監査プロセス大幅効率化
本機能最大のビジネスメリットは、PCI DSS、HIPAA、FedRAMPといった厳格なコンプライアンス監査対応が劇的にラクになる点です。
これまで手作業で行っていた「全リソースの暗号化状況のスクショ撮影や台帳作成」といった泥臭い作業が不要になり、「AWSの基盤システムによって暗号化が強制・監視されている事実」自体を強力な監査証跡として提示できるようになります。
できないこと・注意点
VPC Encryption Controlsの課金体系と想定されるコストインパクト(基本編)
前述の通り、本機能はプレビュー期間を終えて有料化されました。基本的な課金ルールは以下の通りです。
| リージョン名 | 1時間当たりの料金(USD) | 1ヶ月(730時間)換算の目安 (USD) |
| US East (N. Virginia) | $0.15 | $109.5 |
| US East (Ohio) | $0.15 | $109.5 |
| Europe (Spain) | $0.16 | $116.8 |
| Israel (Tel Aviv) | $0.17 | $124.1 |
| AWS GovCloud (US-East) | $0.18 | $131.4 |
| AWS GovCloud (US-West) | $0.18 | $131.4 |
※東京リージョン(ap-northeast-1)等においても、概ね同等かそれ以上の料金が設定されています(例:一部情報では0.21USD/時、月額約151ドルの報告あり)。
例えば、開発環境・ステージング環境・本番環境でシステムごとに数十個のVPCを運用している組織が、全社ポリシーとして一律で本機能を有効化した場合、1VPCあたり月額16,000円〜20,000円程度のコストが純増することになります。
対象とするVPCのスコープは、コンプライアンス要件と照らし合わせて慎重に選定する必要があります。
【最重要】Transit Gateway (TGW) 連携時の「強制課金」トラップ
TGWを用いたハブ&スポーク構成を採用している場合、以下の強烈な課金ルールが適用されます。
- 接続された全VPCへの課金波及:TGW側で「暗号化サポート」を有効にすると、アタッチされているすべてのVPCにVPC Encryption Controlsの課金が強制適用されます。
- 空のVPCや機能OFFのVPCも対象:TGWの暗号化が有効な限り、末端のVPC側で機能を「OFF」にしていても、リソースが空(ENIゼロ)であっても一律で課金されます(※重複課金は排除されます)。
公式ドキュメントで示されている具体的なシナリオをもとに、請求がどのように変化するかをシミュレーションしてみましょう(※N. Virginiaリージョン・$0.15/時の場合)。
| シナリオ | VPC環境の前提 | TGWの暗号化サポート状態 | 課金対象となるVPC | 1時間あたりの合計料金 |
| シナリオ1 (TGWなし) | 5つのVPCすべてで機能ON。 (3つはリソースあり、2つは空) | TGWへの接続なし | リソースがある 3つのVPCのみ | $0.45 ($0.15 × 3) |
| シナリオ2 (暗号化TGW接続) | シナリオ1の5つのVPCを、すべてTGWに接続する。 | 有効 (ON) | 空のVPCも含めた 5つのVPCすべて | $0.75 ($0.15 × 5) |
| シナリオ3 (機能OFFの混在) | 5つのVPCをTGWに接続。 (3つは機能ON、2つは機能OFF) | 有効 (ON) | 機能OFFのVPCも含めた 5つのVPCすべて | $0.75 ($0.15 × 5) |
| シナリオ4 (非暗号化TGW接続) | 5つのVPCをTGWに接続。 (3つはモニターモードON、2つはOFF) | 無効 (OFF) | モニターモードONの 3つのVPCのみ | $0.45 ($0.15 × 3) |
「通信そのものを暗号化する機能」という誤解
本機能はあくまで「ハードウェア(Nitro等)による暗号化が正しく適用されているかを監査し、非準拠を弾くツール」であり、通信を暗号化するエンジンではありません。
レガシーな環境でいきなり「エンフォースモード(強制)」を有効にすると、既存システム間の通信が強制遮断され、深刻な障害を引き起こす恐れがあります
必ず「モニターモード」での実態調査から開始してください。
他サービスとの関係
VPC Flow Logs & Amazon Athena
モニターモードで検知した「暗号化ステータス」はVPC Flow Logsに記録されます。これをS3に出力しAthenaで分析することで、非暗号化通信の送信元IPやポート番号をピンポイントで特定し、迅速な是正アクションに繋げられます。
AWS Transit Gateway (TGW)
複数VPCを接続するハブ。前述の通り、TGW側の暗号化設定(ON/OFF)が、接続先VPCの「VPC Encryption Controls」の課金に直接影響を及ぼすという、極めて強い依存関係を持っています。
②開発・運用ツールのサポート終了に向けたタイムライン開始
メリット
- システムのモダン化の機会:強制的に最新バージョン(.NET v4など)へ移行するきっかけになるため、後回しにされがちな古いコードを一掃でき、結果としてシステムのパフォーマンス向上や最新機能の恩恵を受けられるようになります。
- 猶予期間による「安全で計画的な移行」の担保:ある日突然使えなくなるのではなく、「新機能は追加されないが、重大なセキュリティパッチは提供される期間(3月〜6月)」がしっかり設けられているため、運用を止めずに安全な移行計画を立てられます。
- 組織全体のセキュリティリスク低減:古いバージョンのツールを使い続けることによる、将来的な脆弱性や非互換性のリスクをこのタイミングで組織全体から排除できます。
できないこと・注意点
開発・運用ツールの完全サポート終了(EOS)に向けたリスク
2026年3月1日にメンテナンスモードへ移行した「AWS SDK for .NET v3」や「AWS Tools for PowerShell v4.x」は、2026年6月1日に完全なサポート終了(EOS)を迎えます。
コード自体は動かなくなりませんが、今後の新サービスや新リージョンには対応できずエラーとなるリスクが高いため、6月を待たずに最新版への移行とCI/CDパイプラインの動作検証を急ぐ必要があります。
③AWS Configのサポートリソース大幅拡充
メリット
AWS Config拡張によるガバナンスの網羅性向上
2026年3月3日に追加された、AWS Configの新たな30種類のリソースタイプへの対応も、これらの運用を強力に後押しします。
| 分野 | 新規追加された代表的なリソース | 該当サービス |
| 生成AI・データ | AWS::Bedrock::DataSource 等 | Amazon Bedrock |
| データ連携・分析 | AWS::DataBrew::Recipe 等 | AWS Glue DataBrew |
| コンタクトセンター | AWS::Connect::RoutingProfile | Amazon Connect |
| 認証・基盤 | AWS::Cognito::LogDeliveryConfiguration 等 | Amazon Cognito, Private CA |
VPC Encryption Controlsでネットワークレベルの通信を統制しつつ、AWS Configでアプリケーションや基盤リソース(BedrockやCognitoなど)の設定逸脱を検知するという二段構えのアーキテクチャを構築することで、より包括的なクラウドガバナンスを実現できます。
できないこと・注意点
- 意図せぬコスト爆発:記録対象のサービス(Bedrockなど)が30種類も増えたため、「全リソースを記録」のままにしているとConfigの従量課金が跳ね上がる恐れがあります。
- 全件記録はNG: 思考停止ですべて記録せず、監査が本当に必要なリソース(本番環境など)だけに記録対象を絞り込む設定が必須です。
- 通知のスパム化リスク: 変更アラート(Slack通知など)を設定している場合、重要度の低い通知が大量に届き、重大なインシデントを見落とす危険があります。
他サービスとの関係
今回のアップデートで登場した機能は、単独ではなく他のAWSサービス群と連携することで真価を発揮します。全体のエコシステムとして捉えることが重要です。
AWS Config & AWS Security Hub
VPC Encryption Controlsが「ネットワークトラフィック(動的データ)」、AWS Configが「リソース設定(静的データ)」のガバナンスを担います。両者の結果をSecurity Hubに集約すれば、インフラ全体のコンプライアンス遵守状況を一元管理する強力なダッシュボードが完成します。
まとめ(編集後記)
今回は、2026年3月のAWS重要アップデートについて解説しました。
目玉となる「VPC Encryption Controls」は、これまで手作業で行っていた面倒な監査の手間を省いてくれる非常に便利な機能です。しかし、すべての環境でむやみに有効化すると、思わぬ高額請求(特にTransit Gateway連携時の課金トラップ)を招く恐れがあります。
導入にあたっては、まず自社のセキュリティ要件とコストのバランスを見極め、システムに影響を与えない「モニターモード」での実態調査から始めるのが最も安全でおすすめです。
また、日常的に使っているSDKやPowerShellツールも6月1日に完全なサポート終了(EOS)を迎えます。
ある日突然エラーで慌てないよう、いまのうちから早めの移行計画を立てておきましょう。
次々と新しい機能が登場するAWSですが、本記事が皆さまの安全で無駄のないインフラ運用の参考になれば幸いです。
【3月24日(火)】自社でできるAWSコスト最適化“4つ”の打ち手
AWSの利用が広がるほど、気づかないうちに「無駄なコスト」が積み上がります。
本セミナーでは、自社で実践できるAWSコスト削減の方法を、基本編2つ+応用編2つの計4施策で30分に整理して解説します。
AWSの利用料金、もう少し最適化できるかもしれません。
QuickSightを含むAWS活用をより効率的に進めたいなら、コスト面の最適化も重要です。SunnyPayをご利用いただくと、AWS利用料を一律5%割引しながら、サポートやセキュリティもそのまま維持できます。
Root譲渡不要、既存構成もそのまま。まずは資料で仕組みをご確認ください。
