すべてのプロダクト
Search

このプロダクト

    Elastic Compute Service:送信元/送信先チェック

    ドキュメントセンター

    Elastic Compute Service:送信元/送信先チェック

    最終更新日:Nov 09, 2025

    場合によっては、攻撃者は IP 偽装を使用して、偽造された送信元 IP アドレスを持つパケットを送信します。これにより、パケットは信頼できるネットワークから送信されたように見えます。Elastic Network Interface (ENI) の送信元/送信先チェック機能を有効にすると、これらの攻撃を防ぎ、ネットワークセキュリティを向上させるのに役立ちます。

    送信元/送信先チェックとは

    ENI で送信元/送信先チェック機能が有効になっている場合、ENI は自身の IP アドレス宛のパケットのみを受信し、自身の IP アドレスを送信元として使用するパケットのみを送信します。逆に、この機能が無効になっている場合、ENI は送受信するパケットの IP アドレスを検証しません。

    説明

    Elastic Compute Service (ECS) インスタンスのセキュリティと安定性を継続的に向上させるため、2025 年 4 月 22 日から段階的リリースを通じて、インスタンスまたは ENI の作成時にこの機能がデフォルトで有効になります。詳細については、「お知らせ」をご参照ください。

    送信元/送信先チェックを有効にするメリット

    • IP 偽装の防止: この機能は、パケットの送信元 IP アドレスがそれを送信したデバイスの IP アドレスと一致することを確認することで、潜在的な IP 偽装攻撃を防ぎます。送信元 IP アドレスがインターフェイスの IP アドレスと一致しない場合、パケットはドロップされます。

    • セキュリティの強化: 送信元/送信先チェックを有効にすると、不正なデータ送信のリスクが軽減されます。これは、サーバーを他のサービスのパケットルーティングポイントとして機能させたくない場合に特に役立ちます。送信元/送信先チェックが有効になっている場合、サーバー宛のトラフィックのみが処理されます。これにより、潜在的なセキュリティ脆弱性を防ぐことができます。

    • ネットワークの安定性と効率の維持: この機能は、不適切なルーティングによって引き起こされるデータフローの問題を防ぐのに役立ちます。これにより、ネットワークシステム全体の安定性が維持され、ネットワークリソースの利用率が向上します。

    送信元/送信先チェックだけでは、すべての種類のネットワーク脅威から保護するには不十分であることに注意してください。必要に応じて、複数のテクノロジーとポリシーを組み合わせて、さまざまな攻撃からネットワークを保護できます。これらには、セキュリティグループの構成、ネットワーク ACL、SSL/TLS 暗号化、ID 検証メカニズム、DDoS 対策、および重要なデータのバックアップが含まれます。

    サポートされているリージョン

    送信元/送信先チェック機能は、一部のリージョンでのみ利用可能です。他のリージョンでは、この機能はデフォルトで無効になっています。

    サポートされているリージョンのリストを表示するにはクリックしてください

    エリア

    リージョン名

    リージョン ID

    アジアパシフィック - 中国

    中国 (青島)

    cn-qingdao

    中国 (北京)

    cn-beijing

    中国 (張家口)

    cn-zhangjiakou

    中国 (フフホト)

    cn-huhehaote

    中国 (ウランチャブ)

    cn-wulanchabu

    中国 (杭州)

    cn-hangzhou

    中国 (上海)

    cn-shanghai

    中国 (南京 - ローカルリージョン)

    cn-nanjing

    中国 (福州 - ローカルリージョン)

    cn-fuzhou

    中国 (深圳)

    cn-shenzhen

    中国 (河源)

    cn-heyuan

    中国 (広州)

    cn-guangzhou

    中国 (成都)

    cn-chengdu

    中国 (香港)

    cn-hongkong

    中国 (武漢 - ローカルリージョン)

    cn-wuhan-lr

    アジアパシフィック - その他

    シンガポール

    ap-southeast-1

    マレーシア (クアラルンプール)

    ap-southeast-3

    インドネシア (ジャカルタ)

    ap-southeast-5

    フィリピン (マニラ)

    ap-southeast-6

    タイ (バンコク)

    ap-southeast-7

    日本 (東京)

    ap-northeast-1

    韓国 (ソウル)

    ap-northeast-2

    ヨーロッパ & アメリカ

    米国 (バージニア)

    us-east-1

    米国 (シリコンバレー)

    us-west-1

    メキシコ

    na-south-1

    ドイツ (フランクフルト)

    eu-central-1

    英国 (ロンドン)

    eu-west-1

    中東

    UAE (ドバイ)

    me-east-1

    送信元/送信先チェックを無効にする必要があるシナリオ

    特定の特殊なネットワーク構成では、送信元/送信先チェックを無効にする必要があります。一般的なシナリオは次のとおりです。

    • マルチ ENI シナリオ: 複数の ENI を持つインスタンスでは、パケットが 1 つのネットワークインターフェイス (eth1 など) から入り、別のネットワークインターフェイス (eth0 など) から出ることがあります。プライマリ ENI で送信元/送信先チェックが有効になっている場合、セカンダリ ENI のデータフローに影響を与える可能性があります。

      この問題を解決するには、インスタンスに ENI をアタッチした後に、ポリシーベースルーティングを設定します。詳細については、「ENI のポリシーベースルーティングを設定する」をご参照ください。

    • ネットワークアドレス変換: インスタンスがネットワークアドレス変換 (NAT) デバイスとして機能する場合、ネットワーク内の他のインスタンスからパケットを受信し、それらをインターネットまたは他のネットワークに転送する必要があります。この場合、トラフィックが自由に通過できるように、送信元/送信先チェックを無効にする必要があります。

    • ルーター: インスタンスがルーターとして構成されている場合、直接送信されたパケットだけでなく、それを通過するすべてのトラフィックを処理する必要があります。この場合、パケットを正しく転送するために、送信元/送信先チェックを無効にする必要があります。

    • カスタムロードバランサー: サーバーがカスタム Server Load Balancer として機能する場合、クライアントリクエストを受信し、それらを異なるバックエンドサーバーに分散させる必要があります。この場合も、このトラフィックパターンを許可するために、送信元/送信先チェックを無効にする必要があります。

    • VPN エンドポイント: インスタンスが VPN サーバーとして使用される場合、異なるネットワークからのパケットを処理する必要がある場合があります。これも、これらのパケットを通過させるために、送信元/送信先チェックを無効にする必要があります。

    • 高度なネットワークアーキテクチャ: より複雑なネットワーク設計では、特定の要件を満たすために送信元/送信先チェックを無効にする必要がある場合もあります。例としては、特定のトラフィックシェーピングルールの実装、特別なファイアウォールソリューションの統合、または詳細なネットワークモニタリングの実行などがあります。

    ENI の送信元/送信先チェック機能の設定

    ENI 作成時の送信元/送信先チェックの有効化または無効化

    ENI を作成する際に、送信元/送信先チェック機能を有効または無効にできます。お使いのシナリオが送信元/送信先チェックを無効にする必要があるシナリオのいずれでもない場合は、ネットワークセキュリティを向上させるためにこの機能を有効にすることをお勧めします。

    インスタンスでの ENI の作成

    ECS インスタンスを購入する際に、インスタンスと共に作成される ENI (プライマリ ENI とセカンダリ ENI) の送信元/送信先チェックを有効または無効にできます。詳細については、「ウィザードを使用してインスタンスを作成する」をご参照ください。

    説明

    • 一部の ECS インスタンスタイプは、インスタンス作成時にセカンダリ ENI のアタッチをサポートしていません。インスタンス作成後に別途アタッチできます。詳細については、「停止する必要がある ECS インスタンスタイプ」をご参照ください。

    • インスタンスを購入する際、最大 2 つの ENI、つまり 1 つのプライマリ ENI (自動的に一致) と 1 つのセカンダリ ENI をアタッチできます。

    image

    ENI の個別作成

    スタンドアロン ENI を作成する際に、その送信元/送信先チェック機能を設定できます。その後、ENI をインスタンスにアタッチできます。詳細については、「ENI の作成と使用」をご参照ください。

    説明

    CreateNetworkInterface 操作を呼び出して ENI を作成することもできます。SourceDestCheck パラメーターを `true` に設定して送信元/送信先チェックを有効にするか、`false` に設定して無効にします。

    image

    ENI の送信元/送信先チェックの変更

    ENI が作成された後、そのプロパティを変更して送信元/送信先チェック機能を有効または無効にできます。

    コンソールでの変更

    1. [ECS コンソール - Elastic Network Interfaces] に移動します。

    2. 上部のナビゲーションバーで、リージョンとリソースグループを選択します。地域

    3. ターゲット ENI の ID をクリックして、その詳細ページを開きます。

    4. 送信元/送信先チェック機能の現在のステータスを表示し、設定を変更します。

      image

    API を使用した変更

    • ModifyNetworkInterfaceAttribute 操作を呼び出します。SourceDestCheck パラメーターを `true` に設定して、指定した NetworkInterfaceId の送信元/送信先チェックを有効にするか、`false` に設定して無効にします。

    • 変更が成功した後、DescribeNetworkInterfaceAttribute を呼び出して、指定した NetworkInterfaceId のプロパティをクエリできます。応答では、SourceDestCheck パラメーターは送信元/送信先チェックが有効になっているかどうかを示します。値 `true` は機能が有効であることを示し、値 `false` は機能が無効であることを示します。