この記事で扱う範囲(CLF向け)
AWS Certified Cloud Practitioner(CLF)では、「AWS上のネットワーク通信をどう制御するか」をサービス名と用語の対応で理解できることが重要です。本記事では、VPC(仮想ネットワーク)における“仮想ファイアウォール”の代表要素として次を整理します。
- セキュリティグループ(Security Group)
- ネットワークACL(Network ACL / NACL)
- AWS Network Firewall
- AWS Firewall Manager(複数アカウント横断の集中管理)
1. まず覚える用語:フィルタリング/インバウンド/アウトバウンド
フィルタリング(Filtering)
ネットワーク通信を「許可(Allow)するか」「拒否(Deny)するか」をルールに基づいて判定することです。
インバウンド/アウトバウンド
- インバウンド:外部 → 内部(例:利用者がWebサーバへHTTPSでアクセス)
- アウトバウンド:内部 → 外部(例:サーバが外部APIへ通信、OS更新の取得)
2. VPCの基本:セキュリティグループとネットワークACL
CLFで最重要なのは、セキュリティグループ(SG)とネットワークACL(NACL)の違いです。両方ともVPC内の通信制御に使いますが、効く場所・性質が異なります。
| 項目 | セキュリティグループ(SG) | ネットワークACL(NACL) |
|---|---|---|
| 適用単位 | 主にリソース(EC2等)に紐づくネットワークインターフェース単位 | サブネット境界(サブネット単位) |
| ルールの性質 | ステートフル(通信の状態を追跡) | ステートレス(状態を追跡しない) |
| 許可/拒否 | 基本は許可(Allow)ルールで制御(拒否の考え方は別設計で担保) | 許可(Allow)と拒否(Deny)を明示可能 |
| 試験での覚え方 | 「個別の部屋(サーバ)の出入口」 | 「サブネット全体の門(敷地のゲート)」 |
3. ステートフル/ステートレスを例で理解する
ステートフル(SG):戻り通信を“自動で”許可しやすい
ステートフルとは「行き(要求)」と「帰り(応答)」を関連付けて扱うイメージです。代表例として、利用者がWebサーバへHTTPS(TCP/443)アクセスするケースを考えます。
- 利用者 → Webサーバ:TCP/443(インバウンド)
- Webサーバ → 利用者:応答(戻り通信)
SGは通信状態を追跡するため、典型的には「インバウンドで443を許可」すれば、応答の戻り通信を成立させやすい設計になります(“戻り側の穴あけ”を個別に意識しにくくてよいのがポイント)。
ステートレス(NACL):イン/アウトの両方向でルール設計が必要になりやすい
ステートレスは「行き」と「帰り」を別物として扱うイメージです。NACLでは、インバウンドだけでなくアウトバウンドも含めて、通信が成立するようにルールを設計します。
試験対策としては、「NACLはサブネット境界・ステートレス=行きと帰りをそれぞれ考える」の一文を確実に押さえるのが近道です。
4. ルール設計の基本(CLFで問われやすい考え方)
最小権限(Least Privilege)
必要な通信だけを許可し、それ以外は許可しない(あるいは拒否する)という原則です。セキュリティに限らずAWS全体の基本思想として頻出です。
よくある構成例(3層:Web / App / DB)
代表的な学習例として、VPC内にWeb層・アプリ層・DB層がある構成を想定します。
- Web層:インターネットからHTTPSで到達する必要がある
- App層:原則インターネットから直接到達させない
- DB層:さらに到達元を限定(App層からのみ等)
このとき、SGで「どの層からの通信を許可するか」を段階的に絞ると理解しやすく、試験でも選択肢判断がしやすくなります。
5. さらに高度:AWS Network Firewall(VPC内に“検問所”を作る)
AWS Network Firewallは、VPC内のトラフィックをより集中的に検査・制御するためのマネージドファイアウォールです。SG/NACLが基本だとすると、Network Firewallは「VPC内の要所に検査ポイント(検問所)を設置して、通る通信をまとめてチェックする」イメージです。
使いどころの例
- アウトバウンド制御:サーバから外部へ出ていく通信を厳密に制御したい(想定外の外部通信を止める)
- 東西トラフィック(VPC内部)の検査:サブネット間の通信も監視・制御したい
- より高度な検査:単純なポート制御に加えて、ルールグループで検査を強化したい
6. 組織全体で統制:AWS Firewall Manager(集中管理)
AWS Firewall Managerは、複数アカウントや複数VPCにまたがるセキュリティポリシーを一元的に適用・管理するためのサービスです。個別に設定がバラつくと「ある環境だけ守りが薄い」といった事故が起きやすいため、組織横断の統制を目的に導入されます。
使いどころの例
- アカウントや環境(開発・検証・本番)が増えても、セキュリティ基準を一貫して適用したい
- ルールの抜け漏れや不適合を減らしたい
7. 試験で混同しやすいポイント(短期暗記用)
- SG:リソース寄り/ステートフル/基本は許可で制御
- NACL:サブネット境界/ステートレス/許可と拒否を明示できる
- Network Firewall:VPC内に検査ポイントを設け、集中的に制御・検査
- Firewall Manager:複数アカウント横断でポリシー適用・統制
公式一次情報(参照リンク)
- Amazon VPC ユーザーガイド:Security groups
- Amazon VPC ユーザーガイド:Network ACLs
- AWS Network Firewall 開発者ガイド:What is AWS Network Firewall?
- AWS公式サービスページ:AWS Network Firewall
- AWS公式サービスページ:AWS Firewall Manager
- AWS Firewall Manager 開発者ガイド:What is AWS Firewall Manager?
不確かな点の扱い(本記事内での整理)
(1) 確実に言えること
- セキュリティグループはステートフル、ネットワークACLはステートレスであり、適用単位も異なる(上記のVPC公式ドキュメント参照)。
- AWS Network Firewall と AWS Firewall Manager は、VPCのネットワークセキュリティを強化・統制するためのマネージドサービスである(公式サービスページおよび開発者ガイド参照)。
(2) 推測(可能性が高い/低い等の確度と根拠)
- CLFの設問では、詳細な実装手順よりも「どのサービスが何を担当するか(責務の切り分け)」が問われる可能性が高い(CLFは基礎概念の理解を主目的とするため)。
(3) 不明点(追加で確認すべき点)
- Firewall Managerで一括管理できる“対象サービス(ポリシー種別)”はアップデートされる可能性があるため、受験時点の範囲は公式ドキュメントの該当章で確認が必要(上記「AWS Firewall Manager 開発者ガイド」参照)。