用語解説
AWSセキュリティグループとは、EC2インスタンスやRDS等のAWSリソースに適用する仮想ファイアウォールです。インバウンド(受信)とアウトバウンド(送信)のトラフィックをプロトコル・ポート・送信元/送信先IPで制御します。
セキュリティグループはステートフルで、許可ルールのみを設定します(拒否ルールは存在しません)。リソースには複数のセキュリティグループを適用でき、送信元にIPではなく他のセキュリティグループIDを指定することでサービス間の通信を柔軟に制御できます。
どんな場面で活用するか
- Webサーバー(ALB)からのHTTPS通信のみEC2インスタンスへの443ポートアクセスを許可する場合
- RDSへの接続をEC2のセキュリティグループIDからのみ許可しIP直接指定を避けてセキュリティを高める場合
- 開発チームのオフィスIPからのみSSH(22番ポート)接続を許可してリモートアクセスを制限する場合
よくある誤解
「セキュリティグループの「全トラフィックを許可」は一時的なテスト用途なら問題ない」は誤りです。正しくは開発環境であっても0.0.0.0/0への全開放はセキュリティリスクです。最小権限の原則に従い必要なポートと送信元のみを許可してください。
判断のヒント
設計パターン:環境(Web層・App層・DB層)ごとにセキュリティグループを作成し、上位層のSGから下位層SGへの通信のみ許可するタイアード設計が推奨です。AWS Security Hubで設定の自動チェックが可能です。
