「全アカウントに同じセキュリティグループを自動配布」する。全拠点に同じ鍵を配るイメージ。
「各SGのルール内容が基準を満たしているか検査」する。全拠点の防犯ルールが適正かチェックするイメージ。
「使われていない・重複するSGを検出して整理」する。使われていない鍵や不要な設備を棚卸しするイメージ。
Firewall Manager から分岐する3つのセキュリティグループポリシーの役割を図解
全アカウントに同じSGを配布
SGルールの中身を検査
未使用・重複SGを整理
Common Security Group Policy ― 全アカウントに同じSGを自動配布する
ビル管理会社の本部が「全ビル共通のマスターキー」を作成し、全国の各ビルにコピーを配布するイメージです。 本部がマスターキーの仕様を変更すれば、全拠点に自動で反映されます。新しいビルが増えても自動的にコピーが届きます。
Content Audit Security Group Policy ― SGルールの中身が基準に合っているか検査する
本部から「防犯査察官」が各ビルを回り、「入退室ルールが本部基準に従っているか」をチェックします。 例えば「外部からのSSH(22番ポート)を全世界に開放していないか?」というルール違反を発見し、是正指示を出します。
Usage Audit Security Group Policy ― 未使用・冗長なSGを見つけて整理する
本部の整理チームが全ビルを巡回し、「どの部屋にも使われていない鍵」「他の鍵と完全に同じ鍵(重複)」を一覧にして、 不要なものを回収・廃棄します。これにより、管理コストの削減とセキュリティリスクの低減を実現します。
ビル管理のたとえで3つの違いを視覚的に理解する
| 比較項目 | 🔵 共通SG | 🟢 コンテンツ監査 | 🟡 使用状況監査 |
|---|---|---|---|
| 主な目的 | SGの配布・統一 | SGルール内容の検査 | 未使用・冗長SGの整理 |
| たとえ話 | マスターキー配布 | 防犯ルール査察 | 不要な鍵の棚卸し |
| 対象 | EC2, ALB, ENI | SG, EC2, ENI | SG |
| SGを作成するか | ✅ レプリカを自動作成 | ❌ 作成しない | ❌ 作成しない |
| ルール内容を検査するか | ❌ しない | ✅ 基準と比較検査 | ❌ しない |
| 未使用SGを検出するか | ❌ しない | ❌ しない | ✅ 検出する |
| 自動修復 | ✅ 自動関連付け | ✅ ルール修正/削除 | ✅ SG削除 |
| 推奨初期設定 | ⚠️ 検知のみから開始 | ⚠️ 検知のみから開始 | ⚠️ 検知のみから開始 |
まず自動修復をOFFにして、非準拠リソースを「報告だけ」させる。影響範囲を事前に把握する。
影響範囲を確認後、自動修復をONにする。非準拠リソースが自動的に是正される。
実際の運用シーンごとに最適なポリシーを確認
新しいAWSアカウントが追加されたら、自動的に組織標準のSGが適用されるようにしたい。
🔵 共通SGポリシー高リスクポート(22, 3389)が0.0.0.0/0に開放されていないか、組織全体で常時監視したい。
🟢 コンテンツ監査ポリシー開発中に作成されたまま放置されたSGを組織全体で定期的に検出・削除したい。
🟡 使用状況監査ポリシー社内ポリシーで「特定CIDRからのみアクセス許可」を全アカウントに徹底させたい。
🟢 コンテンツ監査ポリシーFirewall Manager SGポリシーを使うために必要な準備
全アカウントにベースラインとなるSGを「配布」したいときに使う。新規アカウントにも自動適用。
各SGのルールが「正しいか」を基準と照合して「検査」したいときに使う。違反ルールを自動修正可能。
放置された未使用SGや重複SGを「整理」したいときに使う。組織のSG管理をクリーンに保つ。
Created by SSuzuki1063
AWS SAP Learning Resources