すべてのプロダクト
Search
ドキュメントセンター

Elastic Compute Service:ネットワーク ACL によるネットワークアクセス制御の強化

最終更新日:Apr 28, 2026

ネットワーク ACL とセキュリティグループを組み合わせて、多層防御によるサブネットのトラフィック制御を実現します。

セキュリティリスク

セキュリティグループは NIC レベルで動作し、インスタンスごとのアクセスルールを定義します。ネットワーク ACL はサブネットレベルで動作し、サブネット間のトラフィックをフィルタリングします。これらを組み合わせることで多層防御を形成し、設定ミスのあるセキュリティグループルールや保護されていないインスタンスに起因するリスクを軽減します。

トラフィックが Virtual Private Cloud (VPC) に入ると、まず vSwitch に到達します。ネットワーク ACL は、セキュリティグループや Cloud Firewall よりも先にトラフィックをフィルタリングし、不正なインバウンドトラフィックをブロックして処理リソースを節約し、不要なアウトバウンドトラフィックを制限して帯域幅を節約します。

ネットワーク ACL によるセキュリティグループルールの補完

image

背景と課題

クラウド環境では、サービス間の通信を可能にするために、複数の VPC を接続することがよくあります。ここでは、2 つの VPC を想定します。

  • VPC1 (10.200.0.0/16): VPC2 のリソースにアクセスするアプリケーションをホストします。

  • VPC2 (10.1.0.0/16): 複雑なネットワーク環境でサービスインスタンスをホストします。

当初、開発の簡素化とデプロイの迅速化のため、VPC2 のセキュリティグループルールは過度に緩い設定になっていました。例えば、一部のセキュリティグループはポートを 10.0.0.0/8 の CIDR ブロック全体に開放しており、内部アクセスのみを意図した一部の Elastic Compute Service (ECS) インスタンスはすべてのソース (0.0.0.0/0) からのアクセスを許可していました。

VPC1 と VPC2 を VPC ピアリング接続で接続すると、これらのリスクが顕在化します。目標は、VPC1 のサービスが VPC2 内の 10.1.38.0/24 クラスターのポート 80 にアクセスできるようにすることです。しかし、ターゲットクラスターに対する正確なセキュリティグループルールだけでは不十分です。ピアリング接続は 10.200.0.0/16 と 10.1.0.0/16 の CIDR ブロックを部分的または全体的にリンクするため、VPC2 内の設定に不備があるインスタンスが、意図せず VPC1 に公開されてしまう可能性があります。

解決策: ネットワーク ACL によるセキュリティ境界の強化

明確なセキュリティ境界を確立するには、VPC2 内で VPC1 に接続する vSwitch にネットワーク ACL を設定します。ネットワーク ACL は、サブネットレベルで機能するステートレスなパケットフィルターです。これはサブネットファイアウォールとして機能し、セキュリティグループより先に適用されます。

設定ポリシーは以下の通りです:

  1. デフォルトで拒否: VPC1 (10.200.0.0/16) からのすべてのインバウンドトラフィックと、VPC1 へのすべてのアウトバウンドトラフィックを拒否するデフォルトルールを設定します。これにより、明示的な許可がなければ 2 つの VPC が通信できないという安全なベースラインを確立します。

  2. 特定のトラフィックを許可: VPC1 (10.200.0.0/16) と、VPC2 内のターゲットクラスター (10.1.38.0/24) との間でポート 80 での双方向通信を許可するために、より優先度の高いルールを追加します。

    • インバウンドルール: 10.200.0.0/16 から 10.1.38.0/24 へのポート 80 でのインバウンド TCP トラフィックを許可します。

    • アウトバウンドルール: 10.1.38.0/24 から 10.200.0.0/16 へのアウトバウンド TCP レスポンストラフィックをエフェメラルポート範囲で許可します。

この設定により、vSwitch はまずネットワーク ACL を使用して未承認のリクエストをフィルタリングします。明示的に許可されたトラフィックのみが ECS インスタンスに到達します。一部のセキュリティグループルールに不備があったとしても、インスタンスが VPC1 に公開されることはありません。