適切に​構築された​AWS VPCは、​セキュリティと​スケーラビリティの​観点から​明確な​ネットワーク境界を​提供します。​基盤レイヤーが​初期段階から​正しく​設計されている​際、​トラフィックや​データ量が​増えても、​システムは​予測可能で、​コンプライアンスを​満たし、​運用が​容易に​なります。

AWSに​おける​VPCとは？

VPC​（Virtual Private Cloud）は、​AWSが​アカウントごとに​提供する​分離された​仮想ネットワークであり、​AWS環境内に​おける​「専用の​領域」と​言えます。
この​中で、​ユーザーは​ネットワーク設計の​すべてを​自由に​コントロールできます：

• IP レンジの​決定
• サブネットの​作成
• ルーティングルールの​定義
• ゲートウェイの​接続

オンプレミス環境のように​インフラを​手作業で​構築・維持する​必要は​なく、​AWS VPCを​使えば、​運用負荷を​抑えつつエンタープライズレベルの​ネットワーク境界を​構築できます。

適切に​設計された​VPCは、​AWS上に​配置される​すべての​ワークロードの​基盤です。​VPCは​トラフィックの​流れ、​インターネットへ​接続できる​コンポーネント、​完全に​隔離すべきレイヤーを​決定します。

VPCを​「計画的に​区画された​デジタル上の​街区」と​考えると​分かりやすく、​各サブネットは​役割・アクセス制御・接続方​式が​異なる​独立ゾーンと​なります。​この​構造こそが、​安全で​スケーラブルかつ堅牢な​アーキテクチャを​実現する​ための​土台です。

実システムで​使われる​標準的な​アーキテクチャ

VPCを​設計するに​あたり、​まずは​本番環境に​共通する​コアネットワーク要素を​理解する​ことが​重要です。​これらが​トラフィックの​流れ、​インターネット接続の​可否、​ワークロード間の​分離方​法を​決定します。​この​基礎が​理解できれば、​3種類の​サブネットレイヤー​（Public、​Private、​Database）の​構成は​自然と​整理できます。

VPCの​主要コンポーネント

• サブネット
  VPC は​論理的な​ゾーンに​分割されます：
  • パブリック​（Public）​: Internet Gateway 経由で​インターネットに​接続可能
  • プライベート​（Private）​: 直接インターネットアクセス不可、​NAT Gateway 経由して​アウトバウンドのみ​可能
  • アイソレーテッド（Isolated）​: インターネットルートなし​（データベース向け)
• ルートテーブル
  サブネットごとに​トラフィックの​送信先を​制御：
  • パブリックサブネット​（Public）​ →インターネットゲートウェイ​（Internet Gateway）
  • プライベートサブネット​（Private）​ → NATゲートウェイ
  • データベースサブネット → VPC内部の​ローカルルートのみ
• インターネットゲートウェイ​（Internet Gateway）​ (IGW): パブリックサブネットの​インターネット入出力を​許可する​ゲートウェイ
• NATゲートウェイ: プライベートサブネットからの​アウトバウンド通信を​提供​（外部からの​着信は​不可）
• セキュリティグループ: ステートフルなリソースレベルの​ファイアウォール。​アプリ間通信を​制御
• ACLsネットワーク​（Network ACLs）​ (NACLs): サブネット境界に​おける​ステートレスルールに​よる​セキュリティ強化
• VPCエンドポイント​（VPC Endpoints）​: パブリックインターネットを​経由しない​AWS サービス​（S3、​DynamoDB）​への​プライベートアクセス

上記の​各コンポーネントは​それぞれ固有の​役割を​持っていますが、​サブネットレイヤーと​して​構成されて​初めて​意味を​持ちます。

• IGWが​パブリックサブネットに​関連付けられて​初めて​意味を​持つインターネットゲートウェイ
• NATゲートウェイは、​プライベートサブネットが​アウトバウンドアクセスを​必要とする​場合に​のみ​有効な​ネットワークアドレス変換ゲートウェイ
• ルートテーブルは、​各レイヤーの​接続性を​形成する​ルートテーブル
• セキュリティグループは、​レイヤー間​（ティア間）の​アクセスを​制御する​セキュリティグループ

このような​理由から、​本番環境の​VPCは​通常、​パブリック／プライベート／データベースの​3 層構成で​設計されます。
それでは、​各レイヤーに​ついて​詳しく​見ていきましょう。

パブリックサブネット​（インターネット向けレイヤー）

パブリックサブネットには、​インターネットからの​通信を​受け取る​必要が​ある​コンポーネントを​配置します。

• Application Load Balancer（ALB）
• AWS WAF（レイヤー 7 の​保護）
• CloudFront（グローバルエッジ配信）
• Route 53（DNS ルーティング）

これに​より、​クライアントからの​インバウンド通信は​常に​厳密に​管理された​入口ポイントを​通過し、​アプリケーション層や​データベース層へ​直接到達する​ことは​ありません。

プライベートサブネット​（アプリケーションレイヤー）

プライベートサブネットには、​パブリックIPを​持つ必要の​ない​アプリケーションサービスを​配置します。​主な​構成要素は​以下の​とおりです。

• バックエンド処理用の​ECSFargateまたは​EC2インスタンス
• Auto Scalingグループ
• データベースと​通信する​内部​サービス

パッケージ​更新や​外部​ API の​呼び出しなど、​必要な​アウトバウンド通信は、​パブリックサブネットに​配置された​ NAT Gateway を​経由します。
通信は​内側から​のみ​開始される​ため、​この​レイヤーは​不要な​インターネットアクセスから​アプリケーションを​保護しつつ、​正常な​動作を​維持できます。

データベースサブネット​（アイソレーションレイヤー）

アイソレーションレイヤーサブネットには、​以下のような​データストアを​配置します。

• Amazon RDS​（Multi-AZ 構成）
• その​他の​マネージド型データベースサービス

この​レイヤーには​インターネットへの​直接的なルートは​存在せず、​セキュリティグループの​ルールを​通じて​アプリケーションレイヤーから​のみ​アクセス可能と​なります。

この​厳格な​分離に​より、​外部からの​トラフィックが​データベースに​到達する​ことを​防ぎ、​リスクを​大幅に​低減します。​その​結果、​PCI DSSや​GDPRなどの​コンプライアンス要件への​対応にも​貢献します。

2025年に​適用すべきAWS VPCの​ベストプラクティス

ベストプラクティスを​適用する​前に、​現在の​VPCが​すでに​アーキテクチャ上の​限界を​示していないかを​確認する​ことが​重要です。​代表的な​兆候と​しては、​CIDRアドレス​空間の​枯渇、​アプリケーションの​スケール不全、​VPNや​専用線接続などの​ハイブリッド接続の​統合が​困難に​なることが​挙げられます。​これらの​問題が​発生している​場合、​多くは​部分的な​修正ではなく、​VPC全体の​構造的な​再設計が​必要である​ことを​示すサインです。

これらの​課題に​一貫して​対応する​ため、​現在の​本番環境では、​パブリックサブネット、​プライベートアプリケーションサブネット、​データベースサブネットを​分離し、​レイヤー間の​通信を​制御された​一方​向の​トラフィックフローに​限定する​標準的な​ネットワーク構成が​採用されています。

この​構成は、​セキュリティ境界の​明確化、​スケーラビリティの​向上および​機密性の​高い​ワークロードに​対する​コンプライアンス確保を​実現できる​ため、​現在​広く​利用されています。

ベストプラクティス #1 ― パブリックサブネット​（インターネットフェーシングレイヤー）

配置場所: 2つの​アベイラビリティゾーンに​分散した​2つの​サブネット​（10.0.1.0/24、10.0.2.0/24）

主要コンポーネント

• ACMの​SSL証明書を​使用した​Application Load Balancer​（ALB）
• レイヤー 7保護の​ための​AWS WAF
• エッジCDNと​しての​CloudFront
• DNS解決を​行う​Route 53

ルートテーブル

0.0.0.0/0 → インターネットゲートウェイ​（Internet Gateway）

目的:
本レイヤーは、​Webや​モバイルクライアントからの​外部​トラフィックを​受信し、​TLS終端処理、​悪意の​ある​リクエストの​フィルタリング、​静的コンテンツの​キャッシュ配信を​行います。​検証済みの​リクエストのみを、​プライベートな​アプリケーションレイヤーへ​転送します。

ベストプラクティス #2 ― プライベートサブネット​（アプリケーションレイヤー）

配置場所: 2つの​アベイラビリティゾーンに​分散した​2つの​サブネット (10.0.3.0/24, 10.0.4.0/24)

主要コンポーネント:

• ECS Fargateサービス:
  • バックエンドAPI​（Golang）
  • フロントエンドビルドパイプライン​（React）
• CPU／メモリ負荷に​応じて​スケールする​Auto Scalingグループ

ルートテーブル:

0.0.0.0/0 →　NATゲートウェイ​（NAT Gateway）

目的：
この​レイヤーでは、​すべての​ビジネスロジックを​パブリックIPを​持た​せずに​実行します。​ワークロードは​NATゲートウェイ経由で​アウトバウンド通信が​可能ですが、​インバウンドアクセスは​ ALBのみに​制限されます。​これに​より、​セキュリティ、​スケーラビリティ、​予測可能な​トラフィック制御が​実現されます。

ベストプラクティス #3 ― データベースサブネット​（アイソレーテッドレイヤー）

配置場所: 専用の​2サブネット (10.0.5.0/24, 10.0.6.0/24)

主要コンポーネント:

• RDS PostgreSQL（プライマリ + リードレプリカ構成）
• 高​可用性を​確保する​Multi-AZ配置

ルートテーブル:

10.0.0.0/16 → Local

(インターネットルートなし)

セキュリティ設定:

• セキュリティグループ:　アプリケーションレイヤーの​SGからの​5432ポート通信のみ​許可
• NACLルール:
  • 10.0.3.0/24および10.0.4.0/24からの​5432番ポートの​インバウンド通信を​許可
  • パブリックサブネットからの​すべての​アクセスを​拒否
  • その​他すべての​インバウンド通信を​拒否

 

• 保存時暗号化​（KMS）​および​通信時TLS暗号化を​有効化

目的:
データベースを​完全に​分離し、​インターネットからの​直接アクセスを​排除します。​制御・​監査可能な​アプリケーションレイヤー経由の​通信のみを​許可する​ことで、​高い​セキュリティと​コンプライアンスを​確保します。

ベストプラクティス #4 ― セキュアな​一方​向データフローの​強制

• インターネットからの​パケットが​RDS に​直接到達する​ことは​一切ない
• すべての​アプリケーションコンテナは​パブリックIPを​持たない
• 各通信経路​（ホップ）は、​セキュリティグループ、​NACL ルール、​IAMポリシーに​よって​厳密に​制御される

目的:
このように​構造化され、​予測可能な​通信フローを​採用する​ことで、​影響範囲​（Blast Radius）を​最小化し、​監査性を​向上させるとともに、​PCI DSS、​GDPR、​ISO 27001などの​セキュリティフレームワークへの​準拠を​確実にします。

Terraformに​よる​本アーキテクチャの​デプロイ​（コード例）

Terraformを​使用して​VPC​（いわゆる​AWS VPC Terraform構成）を​管理する​ことで、​ネットワーク設計を​バージョン管理可能で​レビューしやすいインフラと​して​扱う​ことができます。​これに​より、​dev／stage／prod 環境間の​一貫性を​保ち、​変更履歴の​監査を​可能にし、​AWS コンソール上での​手動操作に​よる​設定ドリフトを​防止できます。

以下は、​前述の​アーキテクチャに​基づき、​VPCと​3層サブネットを​構築する​Terraformの​完全な​構成例です。

1. VPCの​作成

すべての​ワークロードに​対する​ネットワーク境界を​定義します。

2. パブリックサブネット + インターネットゲートウェイ + ルートテーブル

パブリックサブネットには​インターネットゲートウェイ​（Internet Gateway）を​接続し、​アウトバウンド通信を​許可する​ルートテーブルを​設定します。

3. プライベートアプリケーションサブネット + NATゲートウェイ

アプリケーションワークロードを​外部に​公開する​ことなく、​アウトバウンドの​インターネットアクセスを​可能にします。

4. データベースサブネット―インターネット経路なし

データベースサブネットは、​ローカルルーティングのみに​限定し、​完全に​分離された​状態を​維持します。

5. ECSバックエンド用Security Group

信頼された​ALBからの​通信のみを​許可し、​不要な​インバウンドアクセスを​制限します。

6. RDS用Security Group ― ECS のみ​許可

データベースレイヤーへの​アクセスを​アプリケーションレイヤーのみに​限定します。

7. ECS Fargate サービスへの​アタッチ

正しい​セキュリティ境界を​持つプライベートサブネット内で​アプリケーションを​実行します。

よく​ある​VPCの​設計ミス​（および​その​回避方​法）

多くの​VPCの​問題は、​実際の​運用環境で​繰り返し見られる、​いく​つかの​基本的な​設定ミスに​起因しています。

1. データベースを​パブリックサブネットに​配置してしまう

初期の​接続が​容易に​感じられる​ため、​RDSインスタンスを​パブリックサブネットに​配置している​VPCは​意外と​多く​存在します。​しかし、​この​構成は​データベースを​不要なリスクに​さらし、​ほとんどの​セキュリティ要件や​コンプライアンス要件に​違反します。​データベースは​必ずインターネット経路を​持たない​分離サブネットに​配置し、​アクセスは​ アプリケーションレイヤーの​セキュリティグループのみに​制限すべきです。

2. アプリケーションインスタンスに​パブリックIPを​割り当てる

EC2や​ECSタスクに​パブリックIPを​付与すると、​手軽に​アクセスや​トラブルシューティングが​できるように​感じられます。​しかし、​この​方法は​セキュリティ境界を​不明確にし、​攻撃対象領域​（アタックサーフェス）を​大きく​広げてしまいます。​アプリケーションワークロードは​プライベートサブネットに​配置し、​アウトバウンド通信は​ NAT Gateway 経由とし、​運用アクセスは​ SSM や​プライベートな​踏み台ホストを​利用するのが​適切です。

3. すべての​サブネットで​同一の​ルートテーブルを​使用する

VPCの​分離性を​破壊してしまう​最も​起こりやすい​原因の​一つは、​同一の​ルートテーブルを​パブリック、​プライベート、​データベースの​各サブネットに​関連付けてしまう​ことです。

本来インターネット向けに​送信されるべきトラフィックが、​意図せず内部​へ​伝播してしまい、
ルーティングループの​発生や​レイヤー間の​不正な​接続漏れを​引き起こす​可能性が​あります。

適切な​設計では、​ルートテーブルを​明確に​分離します。

• パブリックサブネットは​インターネットゲートウェイへルーティング
• プライベートサブネットは​ネットワークアドレス変換ゲートウェイへルーティング
• データベースサブネットは​VPC内部の​ローカル通信のみに​限定

このように​構成する​ことで、​各レイヤー間の​通信境界が​保たれ、​安全で​予測可能な​ネットワーク構成を​実現できます。

4. CIDRブロックを​小さく​設定しすぎる

将来的な​拡張を​見込まずに​CIDRを​小さく​設定すると、​サービスや​サブネットの​追加時に​IPアドレスが​枯渇してしまいます。​後から​VPCを​拡張するのは​非常に​困難で、​多くの​場合、​移行作業や​複雑な​ピアリング構成が​必要に​なります。​最初から​十分に​大きな​CIDR範囲を​確保しておく​ことで、​インフラの​中断を​伴わずに​スケール可能な​アーキテクチャを​維持できます。

まとめ

整理され、​適切に​構成された​VPCは、​本格的な​AWSワークロードに​必要な​セキュリティ、​スケーラビリティ、​運用の​明確さを​提供します。​3層サブネットモデルを​採用し、​予測可能な​データフローを​強制する​ことで、​システムの​成長に​伴っても、​環境は​コンプライアンスを​維持しつつ、​管理しやすい​状態を​保てます。

これらの​原則を​自社インフラへ​適用する​方​法を​検討されている​場合、Haposoftの​AWSチームが​アーキテクチャレビューを​行い、​最適な​改善案を​ご提案します。
専門的な​サポートを​ご希望の​際は、​ぜひお気軽にお問い​合わせください。