🔍 Amazon VPC Network Access Analyzer

ネットワークの「見えない穴」を見つけるセキュリティ監査官

📌 30秒でわかる Network Access Analyzer

🔍
意図しないアクセス経路を発見
VPC内のすべてのネットワーク構成を分析し、 想定外のアクセス経路を自動的に特定します
📋
コンプライアンス検証
「本番環境と開発環境は分離されている?」 「インターネットからDBにアクセスできない?」を証明
🤖
自動推論技術
IAM Access Analyzerと同じ技術を使用し、 設定の組み合わせを論理的に分析
数分で分析完了
手動チェックでは不可能な規模のネットワークを 数分で包括的に分析

🏢 たとえ話で理解しよう

🏢 「建物のセキュリティ監査官」で理解する

Network Access Analyzerは、ビル全体のセキュリティ監査を行う専門家のようなものです

🏢
オフィスビルの監査
🚪

すべてのドアをチェック

正面玄関、非常口、従業員用入口など、建物への入り口をすべて確認

🔐

アクセス権限の確認

誰がどのフロアに入れるか、カードキーの権限をチェック

🚨

想定外の経路を発見

「この非常階段から機密エリアに入れてしまう!」という穴を発見

📝

監査レポート

問題箇所を一覧にして、修正すべき点を報告

☁️
AWS VPCの監査
🌐

すべてのゲートウェイをチェック

Internet Gateway、NAT Gateway、VPN、Transit Gatewayなど全入口を確認

🛡️

セキュリティ設定の確認

Security Group、NACL、Route Tableの設定を組み合わせて分析

⚠️

想定外の経路を発見

「VPC Peering経由でDBに到達できてしまう!」という穴を発見

📊

Findings(検出結果)

問題のあるネットワークパスを一覧で表示

⚙️ 動作の仕組み

1
📋
スコープ定義
検出したいネットワーク経路の条件を設定
(どこからどこへのアクセス?)
2
🔬
自動分析
すべてのVPCリソースの
設定を論理的に分析
3
🔍
経路探索
条件に一致する
ネットワークパスを特定
4
📊
結果表示
Findingsとして
検出結果をレポート

🤖 自動推論技術とは?

Network Access Analyzerは 「自動推論(Automated Reasoning)」 技術を使用しています。
これは、数学的・論理的手法でネットワーク設定を分析する技術で、
IAM Access AnalyzerReachability AnalyzerAmazon Inspector などにも使われています。

📌 単にトラフィックを監視するのではなく、設定の組み合わせから理論的に到達可能性を判定します。

🎯 Network Access Scope(スコープ)とは

スコープは「何を探すか」を定義する検索条件です。
「こういう経路があったら教えて」 という依頼書のようなものです。

🎯
MatchPaths
検出対象のパス

「この条件に一致する経路を見つけて」という設定

  • 📍 Source: 経路の開始点(どこから)
  • 📍 Destination: 経路の終点(どこへ)
  • 📍 ThroughResources: 経由するリソース
🚫
ExcludePaths
除外するパス

「この条件に一致する経路は無視して」という設定

  • ✅ 正当な例外を除外
  • ✅ 許可済みの経路をスキップ
  • ✅ ノイズを減らして重要な発見に集中
🔴
MatchPathsの例

「違反の可能性がある経路」を定義

例1: インターネットからVPCへの侵入経路
Source: Internet Gateway
Destination: 任意のENI
例2: 本番環境と開発環境の分離違反
Source: 開発VPC
Destination: 本番VPC
例3: DBへの直接アクセス
Source: Internet Gateway
Destination: RDSインスタンス
🟢
ExcludePathsの例

「正当な例外」を除外してノイズを減らす

例1: Webサーバーは除外
Destination: Webサーバー(ALB経由OK)
→ Webサーバーへのパスは問題なし
例2: 許可済みのVPN接続
Source: 特定のVPN Gateway
→ 許可したVPN経由は除外
例3: 管理用踏み台サーバー
Destination: Bastionホスト
→ 運用に必要な経路は除外

📦 AWS提供のデフォルトスコープ

Network Access Analyzerを初めて使用すると、AWSが4つのデフォルトスコープを自動作成します

📥
All-IGW-Ingress
インターネットゲートウェイから
ネットワークインターフェースへの
インバウンド経路を検出
🌐 インターネット → VPC内
📤
AWS-IGW-Egress
ネットワークインターフェースから
インターネットゲートウェイへの
アウトバウンド経路を検出
☁️ VPC内 → インターネット
🔗
AWS-VPC-Ingress
IGW、Peering、VPC Endpoint、
VPN、Transit GatewayからVPCへの
すべての侵入経路を検出
🔀 各種ゲートウェイ → VPC
🚪
AWS-VPC-Egress
VPCからIGW、Peering、
VPC Endpoint、VPN、TGWへの
すべての流出経路を検出
🔀 VPC → 各種ゲートウェイ

🎛️ 分析対象のリソース

Network Access Analyzerは以下のリソースの設定を分析します

🛡️
Security Groups
📋
Network ACLs
🗺️
Route Tables
🔌
ENIs
💻
EC2 Instances
⚖️
Load Balancers
🌐
Internet Gateway
🔄
NAT Gateway
🚇
Transit Gateway
🔗
VPC Peering
🔒
VPN Gateway
🎯
VPC Endpoints
🔥
Network Firewall
📦
Prefix Lists
🏷️
Resource Groups

💼 実践ユースケース

🏦
金融機関のコンプライアンス
📋 シナリオ
顧客データが保存されたDBが、インターネットから直接アクセスできないことを監査で証明する必要がある
✅ 解決策
IGW→RDSの経路を検出するスコープを作成し、「Findings: 0」であることを証明書として提出
🏥
医療機関のデータ分離
📋 シナリオ
患者データを扱う本番環境と、開発・テスト環境が完全に分離されていることを確認したい
✅ 解決策
開発VPC→本番VPCの経路を検出し、意図しないPeering接続やTransit Gateway経由の経路がないか確認
🛒
ECサイトのセキュリティ監査
📋 シナリオ
複雑化したネットワーク構成で、DBへの直接アクセスが可能な「穴」がないか定期的にチェックしたい
✅ 解決策
定期的にNetwork Access Analyzerを実行し、新たな脆弱性が発生していないか継続監視
🔐
セキュリティインシデント調査
📋 シナリオ
セキュリティ侵害が発生し、攻撃者がどの経路から侵入できた可能性があるか調査が必要
✅ 解決策
インシデント発生時点のネットワーク設定を分析し、潜在的な侵入経路を特定

📊 分析結果(Findings)の見方

⚠️
Findings Detected
MatchPathsに一致する経路が見つかった

→ 想定外のアクセス経路が存在
→ 設定を見直す必要あり
No Findings Detected
MatchPathsに一致する経路がなかった

→ ネットワーク設定は意図通り
→ コンプライアンス証明に使用可能

📋 Findingsの詳細情報

🚀 Start
経路の開始点(ENI)
🏁 End
経路の終点(ENI)
🔀 Path Details
経由するリソース一覧
🛡️ Security Config
関連するSG/NACLの設定

🔄 Reachability Analyzerとの違い

似たような名前の2つのサービス、目的が異なります!

項目 🔍 Network Access Analyzer 🛤️ Reachability Analyzer
主な目的 意図しないアクセス経路の発見 特定の2点間の接続性のトラブルシューティング
分析対象 VPC全体(多対多) 特定のソース→デスティネーション(1対1)
典型的な質問 「どこかに穴がないか?」 「なぜAからBに繋がらない?」
使用シーン セキュリティ監査、コンプライアンス 接続障害の原因調査
出力 条件に一致する全経路のリスト 到達可能/不可能 + 原因

📌 簡単に覚える方法:

🔍 Network Access Analyzer = 「セキュリティ監査」(穴を探す)
🛤️ Reachability Analyzer = 「トラブルシューティング」(繋がらない原因を探す)

✨ ベストプラクティス

1
定期的な分析の実行
ネットワーク設定は時間とともに変化します。
定期的(週次/月次)に分析を実行して
新たな脆弱性を早期発見しましょう。
2
ExcludePathsを活用
正当な例外はExcludePathsで除外し、
本当に重要なFindingsに集中できる
ようにしましょう。
3
タグベースのスコープ
Resource Groupsとタグを活用して、
「本番環境」「開発環境」など
論理的なグループで分析しましょう。
4
Security Hubとの連携
Findingsをセキュリティハブに集約し、
他のセキュリティイベントと
一元管理しましょう。
5
変更時の再分析
VPC、サブネット、ゲートウェイなど
ネットワーク構成を変更したら
必ず再分析を実行しましょう。
6
コンプライアンス証跡の保存
「No Findings」の結果は
監査証跡として保存し、
コンプライアンス証明に活用しましょう。

❓ よくある質問

💰 Q: Network Access Analyzerの料金は?
分析したネットワークインターフェース(ENI)の数に基づいて課金されます。
スコープの作成自体は無料です。分析を実行するたびに、
分析対象のENI数に応じた料金が発生します。
最新の料金はAWS公式サイトで確認してください。
🔄 Q: Reachability Analyzerとどう使い分ける?
目的によって使い分けます:

Network Access Analyzer: 「穴がないか」を探す(セキュリティ監査)
Reachability Analyzer: 「なぜ繋がらないか」を調べる(トラブルシューティング)

両方を併用することで、より堅牢なネットワーク管理が可能です。
🌍 Q: クロスアカウント分析はできる?
現在、単一アカウント・単一リージョン内の分析が対象です。
AWS Organizationsを使ったクロスアカウント分析機能は
今後のロードマップに含まれています。
複数アカウントを分析するには、各アカウントで個別に実行する必要があります。
⏰ Q: 分析にはどのくらい時間がかかる?
通常、数分で完了します。
ネットワークの複雑さやリソース数によって異なりますが、
一般的なVPC環境であれば2〜5分程度です。
大規模な環境ではより長くなる場合があります。

🎓 まとめ

🔍
発見
意図しない経路を
自動的に特定
📋
証明
コンプライアンス
要件を証明
🛡️
強化
セキュリティ
体制を改善
効率化
手動チェックの
時間を大幅削減
🏢 建物のセキュリティ監査官のように:

🔍 すべての入口・通路をチェック
🚨 想定外のアクセス経路を発見
📝 問題箇所をレポート
✅ 「問題なし」の証明書を発行

Network Access Analyzerで、VPCの「見えない穴」を可視化しよう!🎯

Created by SSuzuki1063

AWS SAP Learning Resources