ネットワークACLとは何ですか？

ネットワーク上の通信を許可・拒否するルールの一覧表。IPアドレスやポート番号に基づいてパケットをフィルタリングし、不正なアクセスを遮断する。

ネットワークACLのポイントは？

IPアドレス、ポート番号、プロトコルを条件にして通信の許可・拒否を決めるルールリスト。ルーターやファイアウォールに設定し、ネットワークの境界でトラフィックを制御する。AWSのVPCではサブネット単位で適用され、セキュリティグループと併用される。ステートレス（戻りの通信も明示的に許可が必要）な点がセキュリティグループとの大きな違い

【ねっとわーくえーしーえる】

ネットワークACL とは？

💡 ネットワークの入口に置かれた『通行許可リスト』

📌 このページのポイント

IPアドレス、ポート番号、プロトコルを条件にして通信の許可・拒否を決めるルールリスト
ルーターやファイアウォールに設定し、ネットワークの境界でトラフィックを制御する
AWSのVPCではサブネット単位で適用され、セキュリティグループと併用される
ステートレス（戻りの通信も明示的に許可が必要）な点がセキュリティグループとの大きな違い

ネットワークACLのイメージ

ひよこ

ネットワーク ACLって、ファイアウォールとは違うの？

ペンギン先生

ファイアウォールの一機能とも言えるね。ACLは『送信元IPが192.168.1.0/24でポート80宛ての通信は許可』みたいなルールの一覧表で、これをルーターやファイアウォールに設定して使うんだ

ひよこ

AWSでよく聞くけど、クラウドだけのものなの？

ペンギン先生

いや、もともとはCiscoなどのルーターで使われてきた概念だよ。AWSのVPCではサブネット単位で適用するネットワーク ACLがあって、クラウドでも同じ考え方が使われているんだ

ひよこ

セキュリティグループとは何が違うのかな？

ペンギン先生

大きな違いはステートレスかステートフルか。セキュリティグループはステートフルだから行きの通信を許可すれば戻りも自動で通る。ACLはステートレスだから、行きも戻りも両方ルールを書かないといけないよ

ひよこ

ルールの優先順位ってどうなってるの？

ペンギン先生

ACLにはルール番号があって、番号が小さいほど先に評価されるよ。最初にマッチしたルールが適用されて、それ以降は見ない。だからルール番号の設計が重要で、間を空けて番号を振るのがベストプラクティスだね

ひよこ

ACLだけで十分なの？

ペンギン先生

ACLはネットワーク層の基本的なフィルタリングだから、これだけでは不十分。アプリケーション層の攻撃は防げないから、WAFやIDS/IPSと多層防御で組み合わせるのがセキュリティの鉄則だよ

まとめ：ざっくりこれだけ覚えればOK！

「ネットワーク ACL」って出てきたら「通信の許可・拒否ルールの一覧」と思えればだいたいOK！

📖 おまけ：英語の意味

「Network Access Control List」＝ネットワークアクセス制御リスト

💬 ACLは『Access Control List（アクセス制御リスト）』の略で、誰を通して誰を止めるかのルール表だよ

← 用語集にもどる