AWS Certified Cloud Practitionerでネットワークセキュリティをどう押さえるか
AWS Certified Cloud Practitionerでは、セキュリティの基礎理解が重要です。試験ガイドでも、AWSクラウドのセキュリティ概念や、VPCにおけるセキュリティの理解が求められています。ネットワーク分野では、特に Security Group、Network ACL、AWS WAF、AWS Shield、VPC Flow Logs の役割差を整理して覚えると、問題文の見分けがかなり楽になります。参考:AWS Certified Cloud Practitioner Exam Guide (CLF-C02)
最初に結論を言うと、AWSネットワークセキュリティは次のように整理すると理解しやすくなります。
- Security Group:リソース単位で通信を許可する基本の仕組み
- Network ACL:サブネット単位で通信を許可・拒否する追加の仕組み
- AWS WAF:WebアプリへのHTTP/HTTPSリクエストを守る仕組み
- AWS Shield:DDoS対策
- AWS Network Firewall:VPC境界でより高度な検査を行うマネージドファイアウォール
- VPC Flow Logs:通信を止めるのではなく、通信記録を確認する仕組み
まずは全体像を比較する
| サービス / 機能 | 主な適用場所 | 何をするか | 試験での覚え方 |
|---|---|---|---|
| Security Group | EC2などの関連付け先リソース | インバウンド/アウトバウンド通信を許可 | まず最初に疑う基本の仮想ファイアウォール |
| Network ACL | サブネット | 通信を許可または拒否 | サブネット境界の追加制御 |
| AWS WAF | CloudFront、ALB、API Gatewayなど | HTTP/HTTPSリクエストを検査 | Web攻撃対策 |
| AWS Shield | AWSリソースの前段 | DDoS保護 | 可用性を落とす大量攻撃への対策 |
| AWS Network Firewall | VPC境界 | より高度なトラフィック検査 | 発展的なネットワーク保護 |
| VPC Flow Logs | VPC / サブネット / ENI | IPトラフィック情報を記録 | 防御ではなく監視・調査 |
1. Security Group:最重要の基本
Security Groupは、AWS公式で「関連付けられたリソースに到達できるトラフィック、およびリソースから発信できるトラフィックを制御する」と説明されている、VPCの基本的なセキュリティ機能です。たとえばEC2インスタンスに関連付けると、そのインスタンスへの通信を制御できます。参考:Amazon VPC User Guide – Security groups
Security Groupの重要ポイント
- リソース単位で効く
- ステートフルである
- 許可ルール中心で考える
- EC2にSSH、HTTP、HTTPSを開ける、といった基本問題でよく出る
ステートフルとは、往路を許可すれば、その応答トラフィックは戻り方向のルールを細かく追加しなくても通るという意味です。試験ではここがNetwork ACLとの大きな違いとして問われやすいポイントです。参考:Security group basics
たとえば、「WebサーバーのEC2に対してインターネットからHTTPSだけを許可したい」という設問なら、まずSecurity GroupでTCP 443を許可するイメージを持つと解きやすくなります。
2. Network ACL:サブネット単位での追加制御
Network ACLは、サブネットレベルで特定のインバウンドまたはアウトバウンドトラフィックを許可または拒否する仕組みです。AWS公式でも、Security Groupに似たルールを使って追加レイヤーのセキュリティを加える仕組みとして説明されています。参考:Amazon VPC User Guide – Network ACLs
Network ACLの重要ポイント
- サブネット単位で効く
- ステートレスである
- 許可と拒否の両方を設定できる
- ルール番号順で評価される
ステートレスなので、行きの通信を許可しても、戻りの通信に必要な側も別途考える必要があります。ここがSecurity Groupとの決定的な違いです。参考:Network ACL basics
たとえば、「このサブネットに対して特定IP帯からの通信は拒否したい」という考え方は、Security GroupよりもNetwork ACLのほうがイメージしやすいです。
3. Security GroupとNetwork ACLの違いを最短で覚える
| 比較項目 | Security Group | Network ACL |
|---|---|---|
| 適用単位 | リソース単位 | サブネット単位 |
| 通信の性質 | ステートフル | ステートレス |
| ルール | 許可中心 | 許可・拒否 |
| 戻り通信 | 自動的に扱いやすい | 別途考慮が必要 |
| 試験での位置づけ | 基本の第一候補 | 追加制御・明示拒否 |
AWS公式でも、Security GroupはNetwork ACLより汎用的で、追加の保護としてNetwork ACLを使う考え方が示されています。参考:Infrastructure security in Amazon VPC
4. AWS WAF:Webアプリ向けの防御
AWS WAFは、Web Application Firewallです。AWS公式では、保護対象リソースに転送されるHTTP(S) リクエストを監視・制御するサービスと説明されています。対象にはCloudFront、Application Load Balancer、API Gateway REST APIなどがあります。参考:AWS WAF Developer Guide
AWS WAFを使う場面
- Webサイトへの不正なHTTPリクエストを制御したい
- SQLインジェクションやクロスサイトスクリプティング対策をしたい
- レートベースルールで過剰アクセスを抑えたい
重要なのは、WAFはWebリクエストの内容や条件を見て制御する仕組みだという点です。つまり、EC2の22番ポートを開ける・閉じるという話ではなく、Webアプリに届くHTTP/HTTPSトラフィックを守るためのサービスです。
5. AWS Shield:DDoS対策
AWS ShieldはDDoS保護のサービスです。特にCloud Practitionerでは、Shield StandardはすべてのAWS利用者に自動で提供され、追加料金なしという点を押さえる価値があります。AWS公式では、一般的で頻繁に発生するネットワーク層・トランスポート層のDDoS攻撃に対する保護として説明されています。参考:AWS Shield Standard overview
試験では、次のように整理すると混乱しにくくなります。
- AWS WAF:WebアプリへのHTTP/HTTPS攻撃対策
- AWS Shield:DDoS対策
両者は似て見えますが、守る対象とレイヤーが異なります。参考:How AWS Shield and Shield Advanced work
6. AWS Network Firewall:VPC境界での高度な保護
AWS Network Firewallは、VPCの境界でネットワークトラフィックをフィルタリングできるマネージド型のネットワークファイアウォールです。AWS公式では、ステートフルなマネージド型ネットワークファイアウォールであり、侵入検知・侵入防止の機能も持つと説明されています。参考:Amazon VPC User Guide – AWS Network Firewall
Cloud Practitionerでは最重要の暗記対象とまでは言いませんが、Security GroupやNetwork ACLより高度で、VPC全体の通信設計に関わるサービスとして位置づけておくと十分です。さらに、利用時にはルートテーブルなどのVPC構成変更が必要になる点も、公式ドキュメントで示されています。参考:Configuring your VPC and other components for AWS Network Firewall
7. VPC Flow Logs:守る機能ではなく、調べる機能
VPC Flow Logsは、VPCのネットワークインターフェイスに出入りするIPトラフィック情報を記録する機能です。記録先としてCloudWatch Logs、Amazon S3、Amazon Data Firehoseを使えます。参考:Amazon VPC User Guide – VPC Flow Logs
ここで大事なのは、VPC Flow Logsは通信をブロックする仕組みではないということです。用途は主に次のとおりです。
- 到達している/拒否されている通信の調査
- 厳しすぎるSecurity Group設定の診断
- 通信方向や通信状況の可視化
つまり、試験で「通信を防ぎたい」と問われたらVPC Flow Logsは不正解になりやすく、「通信状況を確認したい」「監査したい」なら候補になります。
8. Route 53 Resolver DNS Firewall:DNSレベルでの制御
発展的な関連サービスとして、Route 53 Resolver DNS Firewallもあります。これはVPCからRoute 53 VPC Resolverを通って出ていくDNSクエリに対して、ドメイン名ベースで許可・ブロックを行う仕組みです。参考:How Resolver DNS Firewall works
Cloud Practitionerでは深く問われない可能性もありますが、「ネットワークセキュリティにはポート制御だけでなくDNS制御もある」と知っておくと理解が広がります。
9. インターネット公開とセキュリティの関係
ネットワークセキュリティを理解するには、インターネット公開の仕組みも軽く整理しておくと役立ちます。Internet Gatewayは、VPCからインターネットへアクセスするための構成要素ですが、それ自体が細かなアクセス制御をするファイアウォールではありません。利用にはVPCへのアタッチとルーティング設定が必要です。参考:Internet gateway basics
逆に、インターネットを経由させずにAWSサービスへ接続したい場合は、VPCエンドポイントやAWS PrivateLinkが有効です。AWS公式では、Internet Gateway、NATデバイス、パブリックIPアドレスなしでプライベート接続できると説明されています。参考:What is AWS PrivateLink?
試験的には、セキュリティを高めるには「公開するものを減らす」という設計も重要だと理解しておくとよいです。
10. 試験で混同しやすいポイント
- EC2へのSSH/HTTPS許可 → Security Groupをまず考える
- サブネット単位で拒否もしたい → Network ACL
- Web攻撃を防ぎたい → AWS WAF
- DDoS対策をしたい → AWS Shield
- VPC境界で高度な検査をしたい → AWS Network Firewall
- 通信の証跡を確認したい → VPC Flow Logs
11. 直前復習用の暗記フレーズ
- Security Group = リソース単位・ステートフル
- Network ACL = サブネット単位・ステートレス
- AWS WAF = HTTP/HTTPSのWeb保護
- AWS Shield = DDoS対策
- AWS Network Firewall = VPC境界の高度なネットワーク保護
- VPC Flow Logs = 防御ではなくログ
まとめ
AWSネットワークセキュリティで最も大切なのは、似た名前のサービスを丸暗記することではなく、どのレイヤーで、何を守るのかを切り分けて理解することです。
- まずはSecurity Groupを基本として理解する
- Network ACLはサブネット単位の追加制御として整理する
- Web攻撃はWAF、DDoSはShieldと役割を分ける
- Flow Logsは防御ではなく調査用と覚える
Cloud Practitioner対策としては、この役割分担を正確に説明できるようになるだけでも、ネットワークセキュリティ分野の選択肢をかなり絞りやすくなります。
参考リンク(AWS公式)
- AWS Certified Cloud Practitioner Exam Guide (CLF-C02)
- Amazon VPC User Guide – Security groups
- Amazon VPC User Guide – Network ACLs
- Infrastructure security in Amazon VPC
- AWS WAF Developer Guide
- AWS Shield Standard overview
- Amazon VPC User Guide – AWS Network Firewall
- Configuring your VPC and other components for AWS Network Firewall
- Amazon VPC User Guide – VPC Flow Logs
- How Resolver DNS Firewall works
- Internet gateway basics
- What is AWS PrivateLink?