セキュリティグループとは何か、またアクセスをどのように制御するのか？

Question

Accepted Answer

**セキュリティグループ**は、AWSリソース（EC2インスタンスなど）への**インバウンドおよびアウトバウンドトラフィック**を制御する仮想ファイアウォールで、許可するポート、プロトコル、およびソースを定義します。これらはAWSネットワークセキュリティの基本です。

## セキュリティグループが行うこと

```text
A SECURITY GROUP is a virtual firewall attached to resources (EC2, RDS, etc.):
  → INBOUND rules — what traffic can REACH the resource (port, protocol, source)
  → OUTBOUND rules — what traffic the resource can SEND OUT
  → only ALLOW rules (no explicit deny); everything not allowed is DENIED by default
  → STATEFUL — if inbound is allowed, the response is automatically allowed back
```

## ルール例

```text
Inbound rules for a web server:
  Allow TCP 443 (HTTPS) from 0.0.0.0/0   → anyone can reach HTTPS
  Allow TCP 80  (HTTP)  from 0.0.0.0/0   → anyone can reach HTTP
  Allow TCP 22  (SSH)   from <your IP>/32 → ONLY your IP can SSH (not the whole world!)
→ everything else is blocked (default deny)
```

## 強力なパターン：他のセキュリティグループを参照する

```text
Rules can allow traffic from ANOTHER security group (not just IPs):
  → DB security group: allow port 5432 FROM the app-server security group
  → means: only the app servers (whatever their IPs) can reach the database
→ Tiered security: web SG → app SG → db SG (each layer only accepts from the previous)
```

## セキュリティグループ vs NACL

```text
SECURITY GROUPS → at the RESOURCE level; stateful; allow-only; the primary tool
NETWORK ACLs (NACLs) → at the SUBNET level; stateless; allow AND deny rules;
  a secondary, coarser layer
→ Use security groups as the main control; NACLs for subnet-wide rules.
```

## なぜ重要なのか

セキュリティグループを理解することが重要である理由は、それらが**AWSネットワークセキュリティ**の基本となっており、リソースに到達できるトラフィックを制御するため、セキュアなリソース構築のための実践的な知識が不可欠だからです。

セキュリティグループは**仮想ファイアウォール**として機能し、リソースとの間で許可されるトラフィック（ポート、プロトコル、ソース）を定義します。セキュアバイデフォルトのモデル（許可ルールのみ。明示的に許可されていないすべてのトラフィックは拒否される）およびステートフルな動作（許可されたトラフィックへの応答は自動的に許可される）を備えています。

ルールを正しく構成する方法を理解することはセキュリティのために不可欠です。例えば、Webサーバーの場合はどこからでもHTTP/HTTPSを許可しながら、**SSHアクセスを特定のIPに限定する**（インターネット全体ではなく、SSHを世界に公開することはセキュリティリスクであるため、重要な実践）。

**他のセキュリティグループを参照する強力なパターン**（そのIPに関係なく、アプリサーバーのセキュリティグループからのトラフィックのみを受け入れるようにデータベースのセキュリティグループを許可する）により、クリーンな**階層化されたセキュリティアーキテクチャ**（ウェブ→アプリ→データベース、各レイヤーは前のレイヤーからのトラフィックのみを受け入れる）が可能になります。これはエクスポーザーを制限し、ネットワークレベルで最小権限の原則に従う業界のベストプラクティスアプローチです。

**セキュリティグループ vs NACL**を理解する（リソースレベルでの主要なステートフルな許可のみのツールとしてのセキュリティグループ。サブネットレベルではより粗いステートレスな二次的なレイヤーとしてのNACL）は、階層化されたネットワークセキュリティモデルを明確にします。

リソースへのネットワークアクセスの制御はAWSセキュリティの基本であり（不正な設定（ポートの開きすぎ、またはSSH/データベースがワールドアクセス可能など）は実際の脆弱性を引き起こします）、セキュリティグループはこのための主要なメカニズムであり（セキュリティグループ参照パターンによって安全な階層化されたアーキテクチャが可能になります）、セキュリティグループを理解することは、リソースをセキュアに構築するための実践的で重要なAWSの知識です。これは、適切な構成（アクセスを適切に制限し、階層化されたセキュリティグループ参照を使用）が侵害につながるネットワークレベルのエクスポーザーを直接防ぐ、コアなセキュリティトピックです。