【AWS Certified Cloud Practitioner】VPC Flow Logsとは？要点を整理

VPC Flow Logsの概要

VPC Flow Logs は、Amazon VPC 内のネットワークインターフェイス（ENI）に出入りする IP トラフィック情報を記録する機能です。Cloud Practitioner 試験向けに一言でまとめると、「VPC 内の通信状況を確認するためのログ機能」です。

ここで重要なのは、VPC Flow Logs が記録するのは通信のメタデータであり、パケット本文そのものではない、という点です。たとえば、送信元 IP、宛先 IP、ポート番号、プロトコル、許可されたか拒否されたか、といった情報は見えますが、HTTP リクエスト本文や SQL 文の中身をそのまま読む用途ではありません。

まず覚えるべきポイント

• 何をするサービスか：VPC 内の IP 通信の情報を記録する
• どこに対して設定できるか：VPC、サブネット、ネットワークインターフェイス（ENI）
• 出力先：Amazon CloudWatch Logs、Amazon S3、Amazon Data Firehose
• 取得対象：許可された通信、拒否された通信、またはその両方
• よくある用途：接続障害の調査、通信経路の把握、監査・セキュリティ確認

VPC Flow Logsで分かること

VPC Flow Logs では、通信フローに関する情報を確認できます。Cloud Practitioner 試験では、次のような理解ができていれば十分です。

• どの IP アドレスからどの IP アドレスへ通信したか
• どのポートを使ったか
• どのプロトコルを使ったか
• 通信が ACCEPT（許可）なのか REJECT（拒否）なのか
• 通信量やパケット数の概況

たとえば、「EC2 インスタンスに SSH 接続できない」という場面で、VPC Flow Logs を見ると、ポート 22 宛ての通信が拒否されているのか、そもそも到達していないのかの切り分けに役立ちます。

VPC Flow Logsで分からないこと

試験ではここがひっかけになりやすい部分です。VPC Flow Logs は便利ですが、何でも見えるわけではありません。

• パケット本文やリクエスト内容そのもの
• アプリケーションログのような詳細な処理内容
• すべての IP トラフィック

特に AWS 公式ドキュメントでは、Amazon DNS サーバーへの通信、インスタンスメタデータ（169.254.169.254）への通信、Amazon Time Sync Service（169.254.169.123）との通信、DHCP、ARP などは記録されないと案内されています。

どの単位で有効化できるか

VPC Flow Logs は次の単位で作成できます。

• VPC 単位：その VPC 全体の通信を広く確認したいとき
• サブネット単位：特定のサブネットだけを確認したいとき
• ENI 単位：特定インスタンスや特定インターフェイスだけを確認したいとき

試験では、「VPC 全体を監視したい」「特定のインスタンス通信だけを確認したい」といった要件に対して、どの粒度で設定するのが自然かを考えられるようにしておくと有利です。

出力先の違いをどう覚えるか

VPC Flow Logs の出力先は、Amazon CloudWatch Logs、Amazon S3、Amazon Data Firehose です。Cloud Practitioner では厳密な設計より、用途の違いをざっくり理解できれば十分です。

• CloudWatch Logs：すぐに確認したい、検索したい
• S3：長期保存や後から分析したい
• Data Firehose：別の分析基盤や配信先へ流したい

問題文で「長期保存」「監査」「後で集計」が強ければ S3、「運用中に素早く確認」が強ければ CloudWatch Logs をまず疑うと整理しやすいです。

試験で特に重要なログ項目

Cloud Practitioner では細かいフィールド一覧を全部暗記する必要はありませんが、次は見ておく価値があります。

• srcaddr / dstaddr：送信元 / 宛先 IP アドレス
• srcport / dstport：送信元 / 宛先ポート
• protocol：プロトコル
• action：ACCEPT / REJECT
• log-status：OK / NODATA / SKIPDATA

特に action は試験で重要です。通信が許可されたのか、拒否されたのかを判断する中心になるためです。

リアルタイム監視ではない点に注意

VPC Flow Logs は、パケットをその瞬間に逐次表示する仕組みではありません。AWS 公式では、フローログレコードは集約間隔でまとめられ、最大集約間隔はデフォルトで 10 分、任意で 1 分にできます。また、Nitro ベースインスタンスにアタッチされたネットワークインターフェイスでは、集約間隔は常に 1 分以下になります。

そのため、VPC Flow Logs は「リアルタイムのパケットキャプチャ」ではなく、通信状況の確認やトラブル調査に使うログ機能として理解するのが正確です。

代表的な用途

• セキュリティグループやネットワーク ACL が厳しすぎないか確認する
• どこからどこへ通信しているかを把握する
• 通信拒否の有無を調べる
• 監査ログとして保存する
• 異常な通信パターンの調査に役立てる

Cloud Practitioner では、「通信トラブルや監査に役立つサービス」として覚えるのが実用的です。

混同しやすい関連サービスとの違い

CloudTrail との違い

CloudTrail は AWS API 操作の記録です。誰がいつどの API を実行したか、という監査向けです。一方、VPC Flow Logs はネットワーク通信の記録です。

たとえば、「誰がセキュリティグループを変更したか」は CloudTrail、「変更後に通信が拒否されているか」は VPC Flow Logs で確認する、という整理になります。

Amazon GuardDuty との違い

GuardDuty は脅威検出サービスであり、VPC Flow Logs などのデータソースを分析して不審な挙動を見つけます。つまり、VPC Flow Logs はログそのもの、GuardDuty はそのログを使って脅威を検出する側です。

Traffic Mirroring との違い

Traffic Mirroring はネットワークトラフィックをコピーして詳細に解析する仕組みです。内容検査や詳細なパケット解析が必要ならこちらで、VPC Flow Logs はそこまで深い用途ではありません。

試験向けにどう覚えるか

暗記するときは、次の対比が有効です。

• 通信の記録 → VPC Flow Logs
• AWS API 操作の記録 → CloudTrail
• 脅威の検出 → GuardDuty
• 詳細なパケット解析 → Traffic Mirroring

この4つを切り分けられるだけで、選択肢問題の正答率はかなり上がります。

Cloud Practitioner 試験の観点での整理

AWS Certified Cloud Practitioner（CLF-C02）は、AWS クラウド全体の基礎理解を問う試験で、実装や詳細トラブルシューティングそのものは主目的ではありません。そのため、VPC Flow Logs については「細かな設定手順」よりも、役割・用途・他サービスとの違いを中心に押さえるのが効率的です。

確実に言えること

• VPC Flow Logs は、VPC 内のネットワークインターフェイスに出入りする IP トラフィック情報を記録する機能です。
• AWS Certified Cloud Practitioner（CLF-C02）は基礎理解を測る試験であり、試験ガイドでも実装やトラブルシューティングは主対象ではないと示されています。
• そのため、Cloud Practitioner では VPC Flow Logs の詳細な実装手順よりも、目的やユースケース、関連サービスとの違いの理解が重要です。

推測

• 可能性が高いこととして、試験では「どのサービスを使うべきか」を問う形で VPC Flow Logs が出ることが考えられます。根拠は、CLF-C02 がサービスの役割理解と一般的なユースケースの識別を重視する試験だからです。
• 可能性が低いこととして、Flow Logs の細かなレコード形式や高度なカスタムフィールド設計が深く問われる可能性は高くありません。根拠は、試験ガイド上で実装・詳細トラブルシューティングが主対象ではないためです。

不明点

• 実際の本試験でどの表現・難易度で出題されるかは公開されていません。
• したがって、「この項目が必ず出る」とまでは断定できません。最終的には公式の試験ガイドと公式学習教材で出題範囲を確認するのが安全です。

試験直前チェック

• VPC Flow Logs は通信のログである
• CloudTrail はAWS API 操作のログである
• GuardDuty は脅威検出である
• Flow Logs はパケット本文を直接見る用途ではない
• VPC / サブネット / ENI 単位で有効化できる
• 出力先は CloudWatch Logs / S3 / Data Firehose
• 許可通信・拒否通信・両方を選べる
• すべての通信が記録されるわけではない

参考リンク（AWS公式）

• https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/flow-logs.html
• https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/flow-logs-basics.html
• https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/flow-log-records.html
• https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/flow-logs-limitations.html
• https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html
• https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html
• https://docs.aws.amazon.com/vpc/latest/mirroring/what-is-traffic-mirroring.html
• https://aws.amazon.com/jp/certification/certified-cloud-practitioner/
• https://docs.aws.amazon.com/pdfs/aws-certification/latest/cloud-practitioner-02/cloud-practitioner-02.pdf