AWS VPCを理解しよう！ネットワーク構築とセキュリティ設定の基礎

こんにちは！AWSを学び始めた皆さん、「VPC」という言葉を聞いて「なんだか難しそう…」と思っていませんか？

実は私も最初はそうでした。ネットワークの専門用語がたくさん出てきて、どこから手をつけていいか分からない状態でした。

でも安心してください！VPCは一度理解してしまえば、AWSの他のサービスを使う上でとても重要な基盤になります。

今回は「図解即戦力 Amazon Web Servicesのしくみと技術が これ1冊でしっかりわかる教科書［改訂2版］」を参考に、VPCの基本からセキュリティ設定まで、初心者の方でも分かりやすく解説していきます！

AWSでネットワークを構築する前に知っておきたいこと

クラウドとオンプレミスのネットワークの違い

従来のオンプレミス環境では、物理的なサーバーやネットワーク機器を自社で管理していました。

一方、AWSなどのクラウド環境では、これらのインフラがすべて仮想化されています。

従来のオンプレミス：

• 物理的なルーターやスイッチでネットワークを構築
• ケーブルの配線や機器の設置が必要
• 障害時は現地での対応が必要

AWSクラウド：

• ソフトウェアで定義されたネットワーク
• Web上の管理画面で設定変更が可能
• 冗長化や可用性が標準で提供

この違いを理解することで、なぜVPCが必要なのかが見えてきます。

なぜAWSでVPCが必要なのか

AWSでは、複数のお客様が同じ物理インフラを共有しています。

そのため、自分専用の仮想的なネットワーク空間を作る必要があります。それがVPC（Virtual Private Cloud）です。

VPCを作ることで：

• セキュリティの確保: 他のお客様から完全に分離された環境
• ネットワーク設計の自由度: 自分好みのIPアドレス範囲やサブネット設計
• アクセス制御: 細かいレベルでの通信制御が可能

VPCは、いわば「AWS上に作る自分だけのデータセンター」のようなものです！

AWS VPCの基本概念を理解しよう

VPC（Virtual Private Cloud）とは

VPCは、AWS上に作成する仮想的なプライベートネットワークです。

VPCの主な特徴：

• 完全に分離された環境: 他のAWSアカウントからアクセス不可
• カスタマイズ可能: IPアドレス範囲を自由に設定
• 複数のアベイラビリティーゾーンにまたがる: 高可用性を実現

VPCを作成すると、その中にEC2インスタンスやデータベースなどの各種AWSサービスを配置できます。

リージョンとアベイラビリティーゾーン

AWSのインフラ構成を理解するために、重要な概念を押さえておきましょう。

リージョン：

• 世界各地にあるAWSのデータセンターの集合体
• 日本には東京リージョンと大阪リージョンがある
• VPCは特定のリージョン内に作成される

アベイラビリティーゾーン（AZ）：

• リージョン内の物理的に分離されたデータセンター
• 東京リージョンには複数のAZが存在
• 異なるAZに分散配置することで障害耐性を向上

VPCは1つのリージョン内に作成されますが、複数のAZにまたがってサブネットを配置できます。

サブネットの役割と設計

サブネットは、VPC内をさらに細かく分割したネットワーク領域です。

サブネットの種類：

• パブリックサブネット: インターネットからアクセス可能
• プライベートサブネット: インターネットからの直接アクセス不可

設計のポイント：

• Webサーバーはパブリックサブネットに配置
• データベースはプライベートサブネットに配置
• 各AZに同じ種類のサブネットを配置して冗長化

この設計により、セキュリティを保ちながら可用性の高いシステムを構築できます。

VPCでネットワークを構築する手順

VPCの作成から設定まで

実際にVPCを作成する基本的な流れを見てみましょう。

1. VPCの作成

• IPアドレス範囲（CIDR）を決定
• 例：10.0.0.0/16（65,536個のIPアドレス）

2. サブネットの作成

• パブリックサブネット：10.0.1.0/24
• プライベートサブネット：10.0.2.0/24

3. インターネットゲートウェイの作成と接続

• VPCをインターネットに接続するためのゲートウェイ

この手順で、基本的なVPCの骨格が完成します。

インターネットゲートウェイとNATゲートウェイ

ネットワークの出入り口となるゲートウェイには、用途に応じて2種類あります。

インターネットゲートウェイ：

• パブリックサブネットのリソースがインターネットとやり取り
• Webサーバーなど、外部からアクセスされるサービス用

NATゲートウェイ：

• プライベートサブネットからインターネットへの送信専用
• データベースサーバーのソフトウェア更新など

NATゲートウェイにより、プライベートサブネット内のリソースも安全にインターネットへアクセスできます。

ルートテーブルの設定方法

ルートテーブルは「どの宛先にどの経路で通信するか」を定義するものです。

パブリックサブネット用ルートテーブル：

• ローカル通信：VPC内（10.0.0.0/16）
• インターネット通信：インターネットゲートウェイ経由（0.0.0.0/0）

プライベートサブネット用ルートテーブル：

• ローカル通信：VPC内（10.0.0.0/16）
• インターネット通信：NATゲートウェイ経由（0.0.0.0/0）

この設定により、各サブネットの役割に応じた通信制御が実現されます。

セキュリティ設定で安全なネットワークを作ろう

セキュリティグループとネットワークACLの違い

AWSでは、2段階のセキュリティ機能でネットワークを保護します。

セキュリティグループ：

• インスタンスレベルのファイアウォール
• ステートフル（戻りの通信は自動で許可）
• 許可ルールのみ設定可能

ネットワークACL：

• サブネットレベルのファイアウォール
• ステートレス（戻りの通信も明示的に許可が必要）
• 許可・拒否ルール両方設定可能

この2つを組み合わせることで、多層防御によるセキュリティを実現できます。

セキュリティ設定のベストプラクティス

セキュリティを高めるための重要なポイントをご紹介します。

最小権限の原則：

• 必要最小限の通信のみ許可
• 不要なポートは閉じる
• 送信元IPアドレスを限定

具体的な設定例：

• Webサーバー：HTTP（80）、HTTPS（443）のみ許可
• データベース：アプリケーションサーバーからのみアクセス許可
• SSH：管理用IPアドレスからのみ許可

定期的にセキュリティグループの設定を見直すことも大切です。

VPCエンドポイントでセキュアな接続

VPCエンドポイントを使うと、インターネットを経由せずにAWSサービスに接続できます。

メリット：

• セキュリティの向上：インターネットを経由しない
• コストの削減：NATゲートウェイの使用量削減
• 性能の向上：AWS内部ネットワークでの高速通信

よく使われるエンドポイント：

• S3エンドポイント：ストレージサービスへの接続
• DynamoDBエンドポイント：NoSQLデータベースへの接続

これらの設定により、よりセキュアで効率的なアーキテクチャを構築できます。

実際の業務で使えるVPC設計パターン

Webアプリケーション用の基本構成

典型的な3層アーキテクチャをVPCで実現する方法を見てみましょう。

構成要素：

• フロントエンド層: パブリックサブネットのWebサーバー
• アプリケーション層: プライベートサブネットのアプリサーバー
• データベース層: プライベートサブネットのDBサーバー

セキュリティ設計：

• インターネット → Webサーバーのみアクセス可能
• Webサーバー → アプリサーバーへの通信
• アプリサーバー → DBサーバーへの通信

この設計により、セキュリティを保ちながら拡張性の高いWebアプリケーションを構築できます。

Elastic Load Balancingとの組み合わせ

負荷分散とVPCを組み合わせることで、高可用性を実現できます。

Application Load Balancer（ALB）：

• 複数のAZのパブリックサブネットに配置
• 背後の複数のWebサーバーに負荷分散
• ヘルスチェック機能で異常インスタンスを自動除外

設計のポイント：

• 最低2つのAZにサブネットを配置
• 各AZにWebサーバーを配置
• ALBが自動的にトラフィックを分散

この構成により、一部のAZに障害が発生してもサービスを継続できます。

Auto Scalingとの連携方法

需要に応じてサーバー台数を自動調整する仕組みも、VPCとうまく連携できます。

Auto Scalingの設定：

• 複数のAZのサブネットを指定
• CPUやメモリの使用率に基づいて自動スケール
• ALBとの連携で新しいインスタンスにも自動で負荷分散

運用上のメリット：

• コストの最適化：必要な時だけリソースを増加
• 可用性の向上：障害時の自動復旧
• 管理の簡素化：手動でのサーバー管理が不要

これらの機能を組み合わせることで、本格的なクラウドネイティブなシステムを構築できます。

VPCを更に深く学ぶために

書籍で学べるVPCの詳細設計

今回の記事では、VPCの基本的な概念と使い方をご紹介しました。

「図解即戦力 Amazon Web Servicesのしくみと技術が これ1冊でしっかりわかる教科書［改訂2版］」では、さらに詳しい内容が図解で分かりやすく解説されています。

書籍で学べる詳細内容：

• より複雑なネットワーク設計パターン
• VPCピアリングや Transit Gateway
• ハイブリッドクラウド構成
• セキュリティのベストプラクティス詳細
• 実際の企業での導入事例

特に図解が豊富なので、ネットワークの概念を視覚的に理解できるのが大きなメリットです。

次に学ぶべきAWSサービス

VPCを理解したら、次はこれらのサービスを学ぶことをおすすめします：

セキュリティ関連：

• AWS IAM：アクセス制御とユーザー管理
• AWS WAF：Webアプリケーション向けファイアウォール
• Amazon GuardDuty：脅威検知サービス

監視・運用関連：

• Amazon CloudWatch：システム監視とログ管理
• AWS CloudTrail：API呼び出しの記録
• AWS Config：設定変更の追跡

コンピューティング・ストレージ：

• Amazon EC2：仮想サーバーサービス
• Amazon S3：オブジェクトストレージサービス
• Amazon RDS：マネージドデータベースサービス

これらのサービスも同じ書籍で体系的に学べるので、AWSスキルを効率的に身につけることができます。

まとめ

今回は、AWS VPCの基本概念から実践的な設計パターンまでを解説しました。

重要なポイントをおさらいすると：

• VPCはAWS上の自分専用ネットワーク空間
• パブリック・プライベートサブネットで適切な配置
• セキュリティグループとネットワークACLで多層防御
• ALBとAuto Scalingで高可用性と拡張性を実現

VPCはAWSを使う上での重要な基盤技術です。

一度しっかりと理解すれば、他のAWSサービスとの組み合わせも理解しやすくなります。

まずは簡単な構成から始めて、徐々に複雑な設計にチャレンジしてみてください。

継続的な学習で、AWSのネットワーク設計スキルを身につけていきましょう！