セキュリティグループとネットワークACL

【結論】

・セキュリティグループとネットワークACLは、
　いずれもセキュリティを強化する為に
　通信を制限したり許可する仕組み
　・セキュリティグループは、送受信両方を、
　ネットワークACLは送信か受信のどちらかを
　任意で設定できる違いがある。

【目次】

【本題】

インターネットのセキュリティを考える時、
真っ先に思い浮かぶのは「外部からのハッキング」ですが、
昨今は「標的型攻撃」と呼ばれる手法が増えています。

「標的型攻撃」とは、メールの添付ファイルを開いたり、
良く訪れるサイトに偽装された不正サイトにアクセスするなどして、
権限を乗っ取られて、不正操作をされるというものです。

この様な攻撃では、感染自体を防ぐのが最も重要ですが、
万が一感染したとしても、被害を最小限に食い止める対策も
同時に行う事が重要です。

そこで登場するのが「セキュリティグループ」と「ネットワークACL」です。

「セキュリティグループ」と「ネットワークACL」は、
いずれもセキュリティを強化する為に、
外部との通信を制限するファイアウォールの様な役割を果たす仕組みです。

これらにより、万が一パソコンがウィルスに感染したとしても、
あらかじめ制限されたネットワークとしか通信出来なかったり、
特定のデータにしかアクセス出来なくなる為、被害を最小限に留める事が可能です。

それぞれの違いを説明する際、
セキュリティグループは「ステートフル」
ネットワークACLは「ステートレス」と言われます。

「ステートフル」は状態を保持したまま通信すること、
「ステートレス」は状態を保持しない通信を指します。

セキュリティグループを設定すると、
外部との通信の「送信」「受信」ともに制限を掛ける事が出来ます。

対して、ネットワークACLは、
「送信」「受信」のそれぞれに対して設定が必要になります。

細かな違いは、AWSの公式サイトでは以下の様な表で説明されています。

正直よく分からない部分が多いので、改めて勉強して解説したいと思います。

ちなみに、ACL（アクセスコントロールリスト）は、
ユーザーごとにアクセス可能なサーバや
アプリケーションを制限する仕組みです。