【設計ガイドライン】会社組織/システムへ Amazon VPC を導入する際の検討事項

作成日: 2025/06/14, 更新日: 2025/06/14

Amazon VPC は、AWS クラウド内に仮想プライベートクラウドを構築するサービスです。
VPC を利用することで、AWS クラウド内に独自のネットワークを構築することができます。
本記事では、Amazon VPC の概要の説明と会社組織/システムへ導入を検討するにあたって確認すべきポイントを紹介いたします。

Amazon VPC とは？
導入検討
1. VPC 内に起動が必要なリソースは？
設計検討

Amazon VPC とは？

VPC (Virtual Private Cloud) は、AWS 上に仮想的なネットワークを構築するサービスです。
VPC を使用することで、AWS リソースをプライベートなネットワーク内で安全に運用できます。
VPC は、サブネット、ルートテーブル、インターネットゲートウェイ、NAT ゲートウェイなどのコンポーネントで構成されます。

関連記事
- Amazon VPC の概要 - Amazon Virtual Private Cloud

導入検討

VPC 内に起動が必要なリソースは？

AWS の仕様上、VPC 内に起動するリソース（プライベートIPアドレスを持つリソース）は、EC2 インスタンス、RDS インスタンス、ELB (Elastic Load Balancer) などがあります。

それに対し、VPC 内に起動できないリソースは、S3 バケットや DynamoDB テーブルなどのサーバーレスリソースがあります。
もちろん、VPC 内に起動できないリソースも、VPC からインターネットゲートウェイ、もしくは VPC エンドポイントを介してアクセスすることは可能です。

VPC 内/外どちらも起動できるリソースは、Lambda 関数や Glue ジョブなどがあります。
この「VPC 内/外どちらも起動できるリソース」は、セキュリティやアプリケーションの要件に応じて決定します。

以下の表は、AWS サービスとそのリソースタイプ、および VPC 対応の有無を示しています。

AWSサービス名	AWSリソースタイプ名	VPC 対応
AWS IAM	ユーザー	×
〃	グループ	×
〃	ロール	×
〃	ポリシー	×
AWS CloudTrail	証跡	×
AWS Config	レコーダー	×
〃	アグリゲータ	×
〃	ルール	×
Amazon GuardDuty	ディテクター	×
Amazon Route 53	ゾーン	×
〃	レコード	×
〃	リゾルバーエンドポイント	◯
Elastic Load Balancing	ロードバランサー	◯
〃	リスナー	×
〃	ターゲットグループ	×
Amazon EC2	インスタンス	◯
Amazon Auto Scaling	オートスケーリンググループ	×
Amazon ECS	クラスター	◯ ※タスク定義で設定
AWS Lambda	関数	◯（選択可能）
AWS Glue	ジョブ	◯（選択可能）
AWS Directory Service	シンプルディレクトリ	◯
〃	Microsoft AD	◯
Amazon SQS	キュー	×
Amazon SNS	トピック	×
Amazon RDS	インスタンス	◯ ※サブネットグループで設定
〃	クラスター	◯ ※サブネットグループで設定
Amazon Dynamo DB	テーブル	×
Amazon Redshift	クラスター	◯
Amazon Redshift Serverless	ワークグループ	◯
Amazon S3	S3バケット	×
Amazon FSx	ファイルシステム	◯
Amazon ECR	レポジトリ	×
AWS CodeCommit	レポジトリ	×
AWS CodePipeline	パイプライン	×
AWS CodeBuild	ビルドプロジェクト	◯（選択可能）
Amazon Athena	ワークグループ	×
Amazon CloudWatch	ダッシュボード	×
〃	ロググループ	×
〃	メトリクスフィルター	×
〃	サブスクリプションフィルター	×
〃	アラーム	×
Amazon EventBridge	ルール	×
〃	スケジュール	×
AWS Backup	ボールト	×
〃	プラン	×
〃	セレクション	×
AWS Systems Manager	パラメータ	×
〃	ドキュメント	×

<表の解説>

VPC 対応の有無は、リソースが VPC 内で起動するかどうかを示しています。
VPC 対応が「◯」の AWS リソースを利用する場合、VPC を利用する必要があります。
検討ポイントとなるのは、VPC 対応が「◯（選択可能）」のとなるサーバレスリソースを VPC 内で起動するかどうかです。これについて後述します。

前提知識として AWS のセキュリティ設定を評価する Security Hub の Lambda コントロールの一つに[Lambda.3] Lambda 関数は VPC 内に存在する必要があります。というものがあります。
このコントロールは、Lambda 関数が VPC 内で実行されることを推奨しています。
このコントロールの説明にある通り VPC 内で Lambda 関数を実行することで、以下の引用のようなセキュリティとコントロールの強化が期待できます。

VPC にリソースをデプロイすると、ネットワーク設定のセキュリティとコントロールが強化されます。
このようなデプロイでは、複数のアベイラビリティーゾーンにわたってスケーラビリティと高い耐障害性も提供されます。
VPC デプロイをカスタマイズして、さまざまなアプリケーション要件を満たすことができます。

引用元: Lambda の Security Hub ブコントロール - AWS Security Hub

では、VPC 内で Lambda 関数などのサーバレスリソースを実行することでどのようなセキュリティとコントロールの強化が期待できるのでしょうか？以下にいくつかのポイントを挙げます。

Security Group と Network ACL を使用して、Lambda 関数からのアウトバウンドトラフィックを制御。
VPC エンドポイントを使用して、特定の AWS アカウント/AWS リソースに対してのみアクセスを許可。
VPC フローログを使用して、Lambda 関数のネットワークトラフィックを監視。
Network Firewall を使用して、Lambda 関数のトラフィックをフィルタリング。

これらのセキュリティとコントロールの強化により、Lambda 関数が内部不正や外部攻撃によって不正利用された場合でも、被害を最小限に抑えることができます。
とは言え、EC2 インスタンスと比較するとサーバレスリソースはファイルを持ち込んだり、人がログインして操作する手段が少ないため、セキュリティリスクは低いと考えられます。
参考として、サーバレスリソースを VPC 内で起動するか判断するフローを以下に示します。

設計検討

メンバーアカウントの VPC / サブネットはどのような構成にするか？

VPC のサブネットの構成は、ルーティングの要件やセキュリティの要件に応じて決定します。
一般的な構成として、以下のようなサブネットの種類があります。

サブネットの種類	確認する要件	説明
Public	社内ルール	インターネットからアクセス可能なリソース（例: ALB、NAT ゲートウェイ）を配置します。
Private	-	インターネットから直接アクセスできないリソース（例: EC2 インスタンス）を配置します。インターネットに対するアクセスは NAT Gateway 経由で行います。
Secure	社内ルール	より厳格なセキュリティ要件を持つリソース（例: データベース）を配置します。このサブネットはインターネットに対するアクセスができません。
Transit	社内ルール	Transit Gateway のアタッチメントを持つサブネットで、他の VPC やオンプレミスネットワークとの接続を行います。
Firewall	社内ルール	Network Firewall などのプロキシを配置します。
(静的IPアドレス用)	システム	IP アドレスが固定されたリソースを配置し IP アドレス管理を行います。

これらのサブネットの種類から社内ルールやシステムの要件に応じて、必要なサブネットの種類を選択します。
上の表のうち、確認する要件が「社内ルール」となっているサブネットは、社内のセキュリティポリシーや運用ルールに基づいて決定します。

Public サブネットは、インターネットからアクセス可能なリソースをどの AWS アカウントに配置するかによって決定します。社内ルールとして外接アカウントが存在しており、外部からのアクセスを許可するリソースはそのアカウントに配置するような方針がある場合は Public サブネットはメンバーアカウントには配置しないようにします。
Secure サブネットは、データベースや機密情報を扱うリソースを配置するためのサブネットであり、社内ルールとしてセキュリティ要件が厳格な場合に採用します。
Firewall サブネットは、Network Firewall などのプロキシを配置するためのサブネットであり、社内ルールとしてトラフィックの監視や制御が必要な場合でかつ、メンバーアカウントで Network Firewall を利用する場合に採用します。
Transit サブネットは、他の VPC やオンプレミスネットワークとの接続を行うために Transit Gateway を利用する場合に採用します。社内ルールとして、VPC 間の接続を Transit Gateway で一元管理するような方針があるか確認しましょう。
(静的IPアドレス用) サブネットは、IP アドレスが固定されたリソースを配置するためのサブネットであり、システムの要件として IP アドレス管理が必要な場合に採用します。

メンバーアカウントの VPC の CIDR はどのように決めるか？

VPC の CIDR ブロックは、VPC 内で使用する IP アドレスの範囲を定義します。
オンプレミス環境や外部システムとの接続を考慮し、CIDR ブロックの選定は慎重に行う必要があります。
オンプレミス環境を今まで利用していた場合はエクセルなどの管理台帳で IP アドレス範囲を管理することが多いかと存じます。
AWS では必要に応じて IPAM (IP Address Manager) を利用して IP アドレスの管理を行うことができます。

なお、今後メンバーアカウントの VPC を拡張、追加する場合はなるべく大きめの CIDR ブロックを確保する必要があります。
IP アドレス帯が不足している場合は、ネットワーク同士の接続（VPC↔︎VPC、VPC↔︎オンプレミスなど）の接続を行わない設計を検討するのも一つの方法です。

名前解決の方法は？

VPC 内の AWS リソースからの名前解決は以下の通信元/通信先に大分類されます。これらの通信元/通信先に対して、それぞれどのように名前解決を行うかを検討します。

① VPC 内のリソース
② オンプレミス環境のリソース
③ インターネット上のリソース

まず、前提知識として以下の 2 つの事項について解説いたします。

前提知識１）VPC 内のリソースはパブリック DNS 名を持つことができる
前提知識２）VPC 外の DNS サーバーと連携するにはリゾルバーエンドポイントを利用する

前提知識１）VPC 内のリソースはパブリック DNS 名を持つことができる

VPC 内のリソースはパブリック DNS 名を持つことができ、オンプレミス環境のリソースやインターネット上のリソースからもインターネットにさえ接続できれば名前解決が可能です。
Route 53 のプライベートホストゾーンを利用して、VPC 内のリソースに対してカスタム DNS 名を設定する場合はインターネット経由では名前解決ができません。
パブリック DNS を有効化するには、VPC の設定で「DNS ホスト名の有効化」と「DNS サポートの有効化」を行う必要があります。

関連記事
- EC2 インスタンスの DNS ホスト名を表示する - Amazon Virtual Private Cloud

前提知識２）VPC 外の DNS サーバーと連携するにはリゾルバーエンドポイントを利用する

VPC 外の DNS サーバーと連携するには、Route 53 のリゾルバーエンドポイントを利用します。
リゾルバーエンドポイントを利用することで、VPC 内のリソースから Resolerver エンドポイントを介して VPC 外の DNS サーバーに名前解決のリクエストを送信できます。
リゾルバーエンドポイントには、以下の 2 種類があります。

インバウンドエンドポイント: オンプレミス環境（VPC 外）の DNS サーバーからの名前解決リクエストを受け付けるためのエンドポイントです。オンプレミス環境から VPC 内のリソースに対して名前解決を行う場合に利用します。
アウトバウンドエンドポイント: VPC 内のリソースからオンプレミス環境（VPC 外） DNS サーバーに名前解決リクエストを送信するためのエンドポイントです。 VPC 内のリソースからオンプレミス環境のリソースに対して名前解決を行う場合に利用します。
関連記事
- VPC へのインバウンド DNS クエリの転送 - Amazon Route 53
- ネットワークへのアウトバウンド DNS クエリの転送 - Amazon Route 53

なお、Active Directory を利用している場合は、アウトバウンドエンドポイントを利用して、Active Directory の DNS サーバーに名前解決リクエストを送信することも可能です。

参考
- Route 53 Resolver を利用し Amazon Provided DNS に MSAD を名前解決させる - サーバーワークスエンジニアブログ

リゾルバーエンドポイントを利用する場合は、エンドポイントごとに以下の料金が発生します。

ENI ごとに 0.125 USD/時間

引用元: 料金 - Amazon Route 53 | AWS

1 USD = 145 円で計算した場合、1ヶ月あたりの料金は 9,450 円となります。
高額ではありませんが、VPC の数が増えるとコストが増加するため、外接アカウントを利用する場合はリゾルバーエンドポイントを集約することを検討します。

関連記事
- マルチアカウント環境におけるAmazon Route 53 Resolver エンドポイントの集約構成（複数リージョン対応） | DevelopersIO

名前解決の方法整理

通信元/通信先毎の名前解決の方法の選択肢を以下の表にまとめます。

通信元/通信先	VPC	オンプレミス環境のリソース	インターネット上のリソース
VPC	選択肢1) Amazon Route 53 Resolver 推奨選択肢2) [ADを利用する場合] AWS 上の Active Directory の DNS サーバー	選択肢1) Amazon Route 53 Resolver *1 推奨選択肢2) オンプレミス環境の DNS 選択肢3) [ADを利用する場合] AWS 上の Active Directory の DNS サーバー	選択肢1) Amazon Route 53 Resolver 推奨選択肢2) オンプレミス環境の DNS 選択肢3) [ADを利用する場合] AWS 上の Active Directory の DNS サーバー
オンプレミス環境のリソース	選択肢1) オンプレミス環境の DNS *2 推奨選択肢2) Amazon Route 53 Resolver 選択肢3) パブリック DNS サービス選択肢4) [ADを利用する場合] AWS 上の Active Directory の DNS サーバー	選択肢1) オンプレミス環境の DNS *2 推奨選択肢2) Amazon Route 53 Resolver 選択肢3) [ADを利用する場合] AWS 上の Active Directory の DNS サーバー	選択肢1) オンプレミス環境の DNS 推奨選択肢2) パブリック DNS 選択肢3) [ADを利用する場合] AWS 上の Active Directory の DNS サーバー
インターネット上のリソース	選択肢1) パブリック DNS サービス選択肢2)Amazon Route 53 パブリックホストゾーン	選択肢1) パブリック DNS サービス選択肢2)Amazon Route 53 パブリックホストゾーン	-

*1: アウトバウンドエンドポイント利用
*2: インバウンドエンドポイント利用

可用性などを考慮せずに選択肢を上げると選択肢が多くなりますが、可用性を考慮した場合はやはり環境毎に用意した DNS サーバーを利用するのが良いでしょう。
VPC 内のリソースからの名前解決は、Amazon Route 53 Resolver を利用、オンプレミス環境のリソースからの名前解決はオンプレミス環境の DNS サーバーを利用するのが一般的です。
システム間連携が少ない、コストを抑えたい場合は他の選択肢を検討します。

VPC フローログはどこへ出力するか？

VPC フローログは、VPC 内のネットワークトラフィックの情報を記録するための機能です。
VPC フローログの出力先は、以下のいずれかを選択できます。

CloudWatch Logs
S3 バケット
Kinesis Data Firehose

出力先の選定は、ログの分析や監視の要件に応じて決定します。
VPC フローログはネットワークログであり、監査ログとして長期間保存することが一般的です。
そのため、S3 バケットを出力先として選択することが多いです。AWS 環境以外でログ基盤を構築している場合は、Kinesis Data Firehose を利用してログを転送することもあります。
リアルタイムでの監視やログ分析が必要な場合は CloudWatch Logs を選択するのが良いでしょう。

ログの蓄積は「VPC を構成しているアカウント」もしくは「ログ集約アカウント（ログアーカイブアカウントと呼ばれることが多い）」で行います。
会社組織としてログを集約するアカウントを定めている場合は、ログ集約アカウントに出力するようにします。

VPC エンドポイントはどのように利用するか？

VPC エンドポイントは、VPC 内のリソースが AWS サービスにアクセスする際に、インターネットを経由せずに直接接続するための機能です。
また、VPC エンドポイントポリシーを利用することで、VPC エンドポイントを通じてアクセスできる AWS サービスやリソースを制限することができます。
これにより、セキュリティを強化し、データの漏洩を防ぐことができます。

VPC エンドポイントを採用する理由として、インターネットを経由せずに AWS サービスにアクセスする要件から VPC エンドポイントを採用されているケースもありますが、これは適切ではありません。
以下の引用のように、インターネットゲートウェイ経由のトラフィックは AWS のプライベートネットワークを通過するため、インターネットを経由しません。

2 つのインスタンスがパブリック IP アドレスを使用して通信する場合、またはインスタンスがパブリックな AWS のサービスエンドポイントと通信する場合、トラフィックはインターネットを経由しますか?
いいえ。パブリック IP アドレスを使用する場合、AWS でホストされているインスタンスとサービス間のすべての通信は AWS のプライベートネットワークを使用します。
AWS ネットワークから発信され、AWS ネットワーク上の送信先を持つパケットは、AWS 中国リージョンとの間のトラフィックを除いて、AWS グローバルネットワークにとどまります。

さらに、データセンターとリージョンを相互接続する AWS グローバルネットワークを流れるすべてのデータは、安全性が保証された施設を離れる前に、物理レイヤーで自動的に暗号化されます。
すべての VPC クロスリージョンピアリングトラフィックや、カスタマーまたはサービス間のトランスポート層セキュリティ (TLS) 接続などといった追加の暗号化レイヤーもあります。

引用元：よくある質問 - Amazon VPC | AWS

VPC エンドポイントを採用する理由としては以下の 2 点が挙げられます。

① VPC 外のリソースから AWS サービスにアクセスする際に、VPC エンドポイントを利用することで、インターネットを経由せずに直接接続できる。
② VPC エンドポイントポリシーを利用して、VPC エンドポイントを通じてアクセスできる AWS サービスやリソースを制限することで、セキュリティを強化できる。

① のユースケースとして、例えば Site-to-Site VPN 接続を利用してオンプレミス環境から AWS サービスにアクセスする場合、VPC エンドポイントを利用することで、インターネットを経由せずに直接接続できます。
マネジメントコンソールや S3 のアクセスなど、運用時に必要な AWS サービスに対しては、VPC エンドポイントを利用することで、セキュリティを強化しつつ、インターネットを経由せずにアクセスできます。
これを開発期間中にも利用してしまうと、かなりの数の VPC エンドポイントが必要となり、コストが増加する可能性があります。

② のユースケースとして、VPC エンドポイントポリシーを利用して、特定の AWS サービスやリソースへのアクセスを制限することができます。
例えば、以下の様なポリシーを設定することで、組織内のリソースに対してのみアクセスを許可し、組織外のアカウントへデータを送信することを防ぐことができます。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowRequestsByOrgsIdentitiesToOrgsResources",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:PrincipalOrgID": "my-org-id",
                    "aws:ResourceOrgID": "my-org-id"
                }
            }
        },
        {
            "Sid": "AllowRequestsByAWSServicePrincipals",
            "Effect": "Allow",
            "Principal": {
                "AWS": "*"
            },
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "Bool": {
                    "aws:PrincipalIsAWSService": "true"
                }
            }
        }
    ]
}

参考
- インターフェイス VPC エンドポイントを使用して Amazon Athena に接続する - Amazon Athena
これをすべての AWS サービスの VPC エンドポイントを構成するのはエンドポイントや運用のコストが増加してしまうため、最低限のリスク対策として以下の様なデータベースやストレージ系のサービスに対してのみ VPC エンドポイントを構成するのが良いでしょう。

AWS サービス名	データ漏洩/持ち込みリスクの高い IAM アクション例
Amazon S3(com.amazonaws.region.s3)	s3:PutObject, s3:GetObject
Amazon DynamoDB(com.amazonaws.region.dynamodb)	dynamodb:PutItem, dynamodb:GetItem
Amazon SQS(com.amazonaws.region.sqs)	sqs:SendMessage
Amazon SNS(com.amazonaws.region.sns)	sns:Publish
Amazon RDS Data API(com.amazonaws.region.rds-data)	rds-data:ExecuteStatement, rds-data:BatchExecuteStatement
Amazon Redshift Data API(com.amazonaws.region.redshift-data)	redshift-data:ExecuteStatement, redshift-data:BatchExecuteStatement
Amazon Kinesis Data Streams(com.amazonaws.region.kinesis)	kinesis:PutRecord, kinesis:GetRecords
Amazon Kinesis Data Firehose(com.amazonaws.region.firehose)	firehose:PutRecord, firehose:PutRecordBatch

参考
- AWS のサービスと統合する AWS PrivateLink - Amazon Virtual Private Cloud

VPC リソースの管理者は誰か？

VPC リソースの管理者を誰にするかは、組織の運用ルールやセキュリティポリシーに基づいて決定します。
一般的には、以下のような役割が考えられます。

ネットワーク管理者 : VPC の設計や構成、セキュリティグループやネットワーク ACL の設定を担当します。AWS アカウントやセキュリティサービスを含めて管理する基盤管理者がこの役割を担う場合もあります。
セキュリティ管理者 : VPC のセキュリティポリシーの策定や、VPC フローログの監視、セキュリティインシデントの対応を担当します。
運用担当者 : VPC 内のリソースの運用や監視、障害対応を担当します。
開発担当者 : VPC 内のリソースを利用するアプリケーションの開発やデプロイを担当します。

これらの役割は、組織の規模や運用体制に応じて異なる場合があります。
例えば、すべての開発をシステムの開発担当者が担う場合もあれば、ネットワーク管理者が VPC の設計や構築を行い、開発担当者はアプリケーションの開発に専念する場合もあります。
ネットワーク管理者が VPC の設計や構築を行う場合の VPC リソース毎の役割分担を整理した例を以下の表に示します。

VPC リソースの種類	設計	構築	運用	監視	セキュリティ
VPC	ネットワーク管理者	ネットワーク管理者	運用担当者	運用担当者	セキュリティ管理者
サブネット	ネットワーク管理者	ネットワーク管理者	運用担当者	運用担当者	セキュリティ管理者
ルートテーブル	ネットワーク管理者	ネットワーク管理者	運用担当者	運用担当者	セキュリティ管理者
インターネットゲートウェイ	ネットワーク管理者	ネットワーク管理者	運用担当者	運用担当者	セキュリティ管理者
NAT ゲートウェイ	ネットワーク管理者	ネットワーク管理者	運用担当者	運用担当者	セキュリティ管理者
VPC エンドポイント	ネットワーク管理者	ネットワーク管理者	運用担当者	運用担当者	セキュリティ管理者
セキュリティグループ	開発担当者	開発担当者	運用担当者	運用担当者	セキュリティ管理者
ネットワーク ACL	ネットワーク管理者	ネットワーク管理者	運用担当者	運用担当者	セキュリティ管理者
VPC フローログ	ネットワーク管理者	ネットワーク管理者	運用担当者	運用担当者	セキュリティ管理者
VPC リゾルバー	ネットワーク管理者	ネットワーク管理者	運用担当者	運用担当者	セキュリティ管理者
VPC ピアリング	ネットワーク管理者	ネットワーク管理者	運用担当者	運用担当者	セキュリティ管理者
Transit Gateway	ネットワーク管理者	ネットワーク管理者	運用担当者	運用担当者	セキュリティ管理者

セキュリティグループはシステム固有の要件に応じて開発担当者が設計・構築を行うことが多いです。
セキュリティグループも含めてネットワーク管理者が設計・構築を行う整理にしているお客様もいらっしゃいますが、セキュリティグループの設計の要件を詰めるのに時間がかかることが多く、開発のスピード感を損なう可能性があります。
このため、セキュリティグループの設計・構築は開発担当者が行うことを推奨します。