AWSセキュリティグループとは？ベストプラクティスや設定の方法

AWSにおけるセキュリティグループの基本情報

セキュリティグループとは仮想ファイアフォール機能を指します。オンプレミス環境では登場することはありませんが、AWSを始めとしたクラウドサービス環境では必須の概念となるので、重要度は高いといえるでしょう。

そもそもセキュリティグループとは

AWSセキュリティグループは、AWSの仮想ネットワークであるAWS VPC内でAmazon EC2などのリソースに適用できる仮想ファイアウォール機能です。セキュリティグループをリソース（例えばAmazon EC2インスタンス）に関連付けることで、そのインスタンスへのインバウンド（外部からインスタンスへ）およびアウトバウンド（インスタンスから外部へ）の通信をコントロールできます。

セキュリティグループとネットワークACLとの違い

セキュリティグループとよく比較されるものにネットワークACL (Access Control List) があります。どちらもVPC内の通信を制御しますが、その適用範囲や動作に違いがあります。簡単に例えるなら、セキュリティグループが「各サーバー（インスタンス）の玄関にいる門番」だとすれば、ネットワークACLは「サブネット全体の入り口にある門」のようなイメージです。それぞれの主な違いを以下の表にまとめました。

上記のような違いから、使い分けも変わってきます。基本的には細かなアクセス制御はセキュリティグループで行い、ネットワークACLは必要に応じてサブネット全体への追加の防御策として使われるケースが多いです。日常的にはセキュリティグループ中心でOKですが、例えば「特定のIPアドレスからのアクセスをサブネットレベルでまとめて遮断したい」場合などに、ネットワークACLを併用すると効果的です。ただし両方を使うと管理も複雑になるため、本当に必要な場合に限定して導入を検討すると良いでしょう。

セキュリティグループの構成要素

セキュリティグループは大きく「AWSリソース」「グループ（セキュリティグループ本体）」「ルール」という要素で構成されています。

AWSリソース：リソースとはセキュリティグループを適用する対象で、Amazon EC2インスタンスやAmazon RDSデータベースなどVPC内のサービスが該当します。通常5つまでセキュリティグループを割り当てることができます。

セキュリティグループ：グループという概念の本体で、特定のVPCに属し、名前と説明、および複数のルールの集合体として機能します。設定可能なルールは通常60ルールまでです。

ルール：ルールには方向（インバウンドかアウトバウンド）、プロトコル（例: TCP、UDP、ICMP）、ポート番号（例: 22や443など、範囲指定も可能）、通信相手（インバウンドなら送信元(Source)、アウトバウンドなら送信先(Destination)）を指定します。通信相手はIPアドレスやCIDRブロック（例: 203.0.113.0/24）、プレフィックスリスト、他のセキュリティグループIDなどで指定可能です。

例えば「インターネット全体にHTTP(80番)を開放」する場合は、インバウンドルールでTCPポート80、送信元を0.0.0.0/0（全てのIPv4アドレス）にします。逆に「特定の社内IPからのみリモートデスクトップを許可」したいなら、インバウンドでRDP(3389番)をプロトコルTCPで許可し、送信元に社内ネットワークのIPアドレス範囲をCIDRで指定すればOKです。こうしたルールを必要に応じて追加し、セキュリティグループとしてリソースに関連付けることで、細かなアクセスコントロールが可能になります。

AWSにおけるセキュリティグループのベストプラクティス

AWS環境を安全に運用するためには、セキュリティグループの正しい設計と運用が不可欠です。ここでは代表的なベストプラクティスを紹介します。AWS初心者の方でもすぐ実践できるように、ポイントごとに解説します。

セキュリティグループの数は必要最小限に収める

セキュリティグループは必要に応じていくつでも作成できますが、数が増えすぎると管理が複雑になり設定ミスの原因になります。例えば似たような役割のサーバーごとに別々のセキュリティグループを作りすぎると、自分でも把握しきれなくなる恐れがあります。役割ごとにまとめられるものはまとめ、セキュリティグループの数は必要最小限に絞りましょう。

特定のユーザーにだけ作成・変更を許可する

組織内で誰でもセキュリティグループを編集できてしまう状態は危険です。意図せず不用意なポートを開けてしまったり、誤って必要なルールを消してしまったりするリスクがあります。そこで、AWSのIAM（Identity and Access Management）機能を使ってセキュリティグループの作成・変更権限を限定された管理者のみに与えることがベストプラクティスです。

必要最低限のポートのみ開放する

セキュリティグループでは許可するポート番号を細かく指定できますが、必要のないポートまで開放しないことが原則です。例えばサーバー上でウェブサービスだけ提供するなら、80番(HTTP)や443番(HTTPS)以外のポートは閉じておくべきです。ポートを広範囲に開けてしまうと、それだけ不正アクセスの入り口が増えることになります。よく分からないからとりあえず「全部許可」は厳禁です。

インバウンドは特定のIPアドレスのみ許可する

インターネット経由でアクセス可能にする場合でも、可能な限り許可する相手先（送信元）のIPアドレスを限定しましょう。特にSSHやRDPなど管理用のアクセスは、社内ネットワークや担当者の固定IPからだけ許可する設定がおすすめです。

AWSが公開しておいるユースケースを参照する

セキュリティグループの設定に迷ったときは、AWS公式が公開しているユースケース別のルール例が参考になります。AWSドキュメントには「Webサーバー用のルール」「データベースサーバー用のルール」「自分のPCからSSH接続するためのルール」など、様々なケースに応じたセキュリティグループ設定例が掲載されています。

AWSのセキュリティグループの設定方法

それでは実際に、AWSマネジメントコンソールからセキュリティグループを設定する手順を説明します。ここではAWSコンソール上で新しいセキュリティグループを作成し、必要なルールを追加する一般的な流れを解説します。

• STEP1：AWSにログイン後、「サービス」を選択して一覧を表示する
• STEP2：「VPC」を選択する。
  サービス一覧から「VPC」を選択し、画面左側メニューの「セキュリティグループ」をクリックします。
• STEP3：「セキュリティグループ」を選択する
• STEP4：「セキュリティグループを作成」を選択する
• STEP5：「基本的な詳細」の内容を入力する
  セキュリティグループの名前と説明欄に分かりやすい名称と用途のメモを書きます。次にこのグループを属させるVPCを選択します。

以上が基本的な設定手順です。ポイントは「必要な通信だけを許可するインバウンドルール」を丁寧に設定することです。設定後は、実際に意図した通信が通るか（不要な通信は遮断されているか）をテストして確認すると安心です。

AWSパートナー活用のすすめ

セキュリティグループは、AWSにおけるアクセス制御の基本ですが、ルールの増加や構成変更を重ねるうちに設定漏れが起きやすい領域でもあります。複数環境・複数システムを運用する場合、設計時の方針を保ったまま継続的に管理することが重要です。

セキュリティグループを含めたネットワーク設計や権限管理、監査・見直しを自社だけで継続するのが難しい場合には、AWSに精通した外部パートナーの活用も選択肢になります。第三者の視点を取り入れることで、設定ミスや属人化を防ぎ、セキュリティレベルを維持しやすくなります。

サーバーワークスの支援内容

サーバーワークスは、最上位のAWSプレミアティアサービスパートナーとして、エンタープライズ企業を中心に多数のAWS導入・運用を支援してきました。VPC設計やセキュリティグループを含むネットワークセキュリティ設計、IAM管理、監視体制の構築まで、AWS環境全体を見据えた支援を行っています。

AWSのセキュリティ設定を「作って終わり」にせず、継続的に改善・運用したい企業を設計から運用まで一貫して支援します。

>> AWSのセキュリティ対策「サバソック」の詳細はこちら