【AWS】VPCの「セキュリティグループ」と「ネットワークACL」の特徴や違いを解説！

AWSでインフラ構築をしているとよく登場するのが「セキュリティグループ」と「ネットワークACL（NACL）」という2種類のアクセス制御機能です。どちらもセキュリティを高めるために欠かせない存在ですが、それぞれの役割や動作には違いがあります。

この記事では、初心者の方でも理解しやすいように、図や具体例を交えながら両者の違いを徹底的に解説します。

「セキュリティグループ」と「ネットワークACL」の違い

セキュリティグループは「インスタンス単位で設定するファイアウォール機能」、ネットワークACL（NACL）は「サブネット単位で設定するファイアウォール機能」です。どちらもVPC内の通信を細かく制御するために使われます。

後ほど「セキュリティグループ」と「ネットワークACL（NACL）」について詳しく説明しますが、各々の特徴を表形式でまとめると以下のようになります。

比較項目	セキュリティグループ	ネットワークACL
適用単位	EC2インスタンスなどリソース単位	サブネット単位
ステートフル / ステートレス	ステートフル → 戻り通信は自動で許可される	ステートレス → 戻り通信も明示的に許可が必要
許可／拒否	許可のみ設定可能	許可・拒否の両方を設定可能
ルールの評価順	優先順位なし （すべてのルールが評価対象）	ルール番号順に評価 （小さい番号が優先）
デフォルトの動作	インバウンド：すべて拒否 アウトバウンド：すべて許可	インバウンド：すべて許可 アウトバウンド：すべて許可

セキュリティグループとは？

セキュリティグループは、EC2インスタンスなどの個別リソースに適用される仮想ファイアウォールです。主にインスタンスへのインバウンド（受信）・アウトバウンド（送信）通信の制御を行います。

インバウンドルールの例（セキュリティグループ）

インバウンドルールの例を以下に示します。

Name	セキュリティグループルールID	IPバージョン	タイプ	プロトコル	ポート範囲	ソース	説明
Webアクセス（HTTPS）	sgr-abc123def456	IPv4	HTTPS	TCP	443	0.0.0.0/0	世界中からのHTTPSアクセスを許可。戻りの通信（レスポンス）は自動的に許可されます。
SSH管理アクセス	sgr-ghi789jkl012	IPv4	SSH	TCP	22	203.0.113.10/32	管理者が使用する特定のIPアドレス（例：203.0.113.10/32）からのSSH接続を許可。
DB接続	sgr-mno345pqr678	IPv4	MySQL	TCP	3306	sg-12345678abcdefg	指定のセキュリティグループからの接続のみ許可。

• Webアクセス（HTTPS）
  • 世界中のすべてのIPアドレス（0.0.0.0/0）からのHTTPS通信（ポート443）を許可するものです。セキュリティグループはステートフルであるため、インバウンド通信が許可されていれば、それに対応するアウトバウンド通信（レスポンス）は自動的に許可されます。つまり、この設定だけでHTTPSによる双方向の通信が可能になります。
• SSH管理アクセス
  • 管理者が使用する特定のIPアドレス（例：203.0.113.10/32）からのSSH接続（ポート22）を許可しています。/32は単一のIPアドレスを意味し、それ以外のアクセス元からのSSH通信はすべて拒否されます。
• DB接続（Appサーバー用）
  • MySQL（ポート3306）で動作するデータベースへの接続を、特定のセキュリティグループ（例：sg-12345678abcdefg）に所属するインスタンスに限定して許可しています。

アウトバウンドルールの例（セキュリティグループ）

アウトバウンドルールの例を以下に示します。

Name	セキュリティグループルールID	IPバージョン	タイプ	プロトコル	ポート範囲	送信先	説明
HTTPS通信のみ許可	sgr-aaa111bbb222	IPv4	HTTPS	TCP	443	0.0.0.0/0	外部のHTTPS通信のみ許可。
管理サーバー通信	sgr-ccc333ddd444	IPv4	SSH	TCP	22	203.0.113.10/32	特定の管理サーバーへのSSH通信のみ許可

• HTTPS通信のみ許可
  • 外部の任意のIPアドレス（0.0.0.0/0）に対して、HTTPS通信（TCPのポート443）だけを許可する設定です。このルールを設けることで、不必要なプロトコルやポートでの通信を制限し、セキュリティを高めています。
• 管理サーバー通信
  • インスタンスから特定の管理サーバー（IPアドレス：203.0.113.10/32）に対して、SSH通信（TCPのポート22）のみを許可しています。この設定により、インスタンスが外部にある管理サーバーと安全に接続することができます。

デフォルトのセキュリティグループ

セキュリティグループには「デフォルトのセキュリティグループ」があります。これは新しくVPCを作成すると、自動的に一緒に作られるものです。つまり、VPCを新規作成するたびに自動で用意されるため、毎回自分でセキュリティグループを作成する必要はありません。また、EC2などを作成する際にセキュリティグループを指定しなければ、このデフォルトセキュリティグループが自動的に適用されます。

便利な存在ではありますが、実際の運用ではあまり使用されず、必要に応じて独自のセキュリティグループを作成するのが一般的です。

また、デフォルトのセキュリティグループは編集できますが、基本的には変更せずそのままにしておくのが無難です。理由は、セキュリティグループの指定を忘れた場合に、このデフォルト設定が使われるためです。たとえば、デフォルトグループを「すべて拒否」に変更していた場合、セキュリティグループを指定せずに作成したEC2が通信できず、原因に気づきにくくなることがあります。デフォルトのセキュリティグループは削除できません。AWSを「ちょっと試してみたい」ときに使う“おまけ”のようなものと考えておけば良いでしょう。

このセキュリティグループの名前は「default」で、マネジメントコンソールでは「Name」列ではなく「セキュリティグループ名」列に表示されます。

デフォルトのセキュリティグループには、初期状態で以下のようなルールが設定されています。

• アウトバウンド（外への通信）：すべて許可
• インバウンド（外からの通信）：同じセキュリティグループが付与されたリソースからの通信のみ許可

つまり、同じセキュリティグループを使っているEC2同士であれば通信可能ですが、それ以外（外部や別のセキュリティグループからのアクセス）は許可されません。

ネットワークACL（NACL）とは？

ネットワークACLは、サブネット単位で全インスタンスに適用するファイアウォール機能です。VPCの中で「このサブネットにはこのルールを適用する」といった使い方をします。

セキュリティグループは「許可する通信」だけを設定できますが、ネットワークACLは「許可」と「拒否」の両方を設定できます。たとえば、「IPアドレスxx.xx.xx.xxからのSSH通信は拒否する」といった細かい制御が可能です。

インバウンドルールの例（ネットワークACL）

インバウンドルールの例を以下に示します。

ルール番号	タイプ	プロトコル	ポート範囲	送信元	許可/拒否	説明
100	HTTP	TCP	80	0.0.0.0/0	ALLOW	全世界からのHTTPアクセスを許可
110	SSH	TCP	22	203.0.113.10/32	ALLOW	管理者IPからのSSH接続を許可
＊	すべてのトラフィック	すべて	すべて	0.0.0.0/0	DENY	上記以外のすべての通信を拒否

ルール番号100では、全世界のIPアドレス（0.0.0.0/0）からのHTTP通信（TCPのポート80）を許可しています。ネットワークACLはステートレスなため、戻りの通信についてはアウトバウンドルール側にも別途許可設定が必要です。

ルール番号110では、特定の管理者のIPアドレス（203.0.113.10/32）からのSSH通信（TCPのポート22）を許可するものです。SSHはリモートサーバーに安全にログインするためのプロトコルで、管理者による操作に必要不可欠です。

番号がアスタリスク（*）のルールは、その通信がどの番号のルールとも一致しない場合に適用されます。上記のHTTPやSSHなど、明示的に許可した通信を除き、それ以外のすべてのトラフィックはブロックされます。このように許可ルールの後に拒否ルールを設けることで、想定外の通信が入ってこないようにし、安全性を高めています。

アウトバウンドルールの例（ネットワークACL）

アウトバウンドルールの例を以下に示します。

ルール番号	タイプ	プロトコル	ポート範囲	宛先（送信先）	許可/拒否	説明
100	HTTP	TCP	80	0.0.0.0/0	ALLOW	WebサーバーからのHTTP通信を許可
110	DNS (UDP)	UDP	53	0.0.0.0/0	ALLOW	DNSの名前解決用の通信を許可
＊	すべてのトラフィック	すべて	すべて	0.0.0.0/0	DENY	その他すべてのアウトバウンド通信を拒否

ルール番号100では、インスタンスから外部（0.0.0.0/0）へのHTTP通信（TCPのポート80）を許可するものです。ネットワークACLはステートレスであるため、対応するインバウンドルール側でも戻りのレスポンスを許可しておく必要があります。

ルール番号110では、外部（0.0.0.0/0）のDNSサーバーに対する名前解決のための通信を許可するものです。

デフォルトのネットワークACL

ネットワークACLには「デフォルトのネットワークACL」があります。これは新しくVPCを作成すると、自動的に一緒に作られるものです。つまり、VPCを新規作成するたびに自動で用意されるため、毎回自分でネットワークACLを作成する必要はありません。また、新しく作成したサブネットには、このデフォルトのネットワークACLが自動的に関連付けられます。

このデフォルトのネットワークACLには、初期状態で「すべての通信を許可するルール」が設定されています。具体的には、インバウンド（受信）とアウトバウンド（送信）の両方で、すべてのトラフィックを許可するルールのみが含まれています。つまり、VPC内にあるサブネットに対して、特に制限をかけずに自由に通信ができる状態です。

一見便利な設定に見えますが、セキュリティ要件が厳しい本番環境などでは、このまま使うのは望ましくありません。たとえば、外部からの不正アクセスを防ぎたい、特定のポートやIPからの通信だけ許可したいといった場合には、この「すべて許可」ルールでは対応できないからです。

そういった場合でも、デフォルトのネットワークACLを直接編集するのは避けたほうが無難です。既存のサブネットや将来の構成に影響を与える可能性があるためです。もし制御が必要な場合は、新しく自分でネットワークACLを作成し、それをサブネットに関連付けて使うことをおすすめします。

このデフォルトのネットワークACLはマネジメントコンソールでは「デフォルト」列に「はい」と表示されているものです。

なお、デフォルトのネットワークACLは編集はできますが、削除はできません。セキュリティグループと同様に、「まずはAWSを使ってみたい」といった試用目的で最低限の通信確認を行うための“おまけ”のような存在と考えるとよいでしょう。

「セキュリティグループ」と「ネットワークACL」の使い分け

セキュリティグループとネットワークACLは、どちらもAWSで通信を制御するための機能ですが、基本的にはセキュリティグループを使えば十分です。セキュリティグループはインスタンス単位でアクセスを制御できるため、多くのケースでこれだけで対応できます。実務でも、セキュリティグループをいじることは多いですが、ネットワークACLを触ることはほとんどありません。

一方、ネットワークACLは、より細かい制御が必要なときに補助的に使うのがおすすめです。たとえば、「特定のIPアドレスからのアクセスをブロックしたい」といった場合や、「サブネット全体に対して一律の通信ルールを設定したい」といった場面では、ネットワークACLが効果を発揮します。