Amazon VPC(Virtual Private Cloud)は、AWSのクラウド上に論理的に切り離された仮想ネットワークを構築できるサービスです。本記事では、Amazon VPCの構築に必要な8つの構成要素や料金体系をはじめ、実務で頻出する標準的な構成例や、構築時に失敗しないための3つの注意点を解説します。
Amazon VPCを活用することで、インターネットへの公開範囲を厳密に制御したセキュアな環境や、Webシステムに最適化された可用性の高いネットワーク構成が実現できます。オンプレミスやレンタルサーバーからの移行に際し、自由度の高いネットワーク設計に戸惑っている方にとって、本記事で紹介する構成パターンは有効な解決策となります。
Amazon VPC構築に必要な8つの構成要素
Amazon VPCを理解するには「どの要素がどのような役割をしているか」全体像を把握することが重要です。
ここからは、VPCを構成するうえで欠かせない8つの要素について解説します。
- サブネット(Subnet)
- ルートテーブル(Route Table)
- インターネットゲートウェイ(IGW)
- NATゲートウェイ(NAT Gateway)
- VPCエンドポイント
- Elastic IP(固定IPアドレス)
- ACL
- セキュリティグループ
1.サブネット(Subnet)
サブネットとは、VPCという大きなネットワーク空間を、用途ごとに小さく区切った「部屋」のようなものです。
インターネットへの出入り口がある「パブリックサブネット」と、閉ざされた「プライベートサブネット」の2種類があります。
| 名称 | 特徴 | 主な設置リソース |
|---|---|---|
| パブリックサブネット | ・インターネットへ出るルートが確保されている部屋。 ・インターネットゲートウェイへの通信経路をもっている。 | ・Webサーバー ・ロードバランサー ・NATゲートウェイなど |
| プライベートサブネット | ・インターネットへ出る道がない、隔離された部屋。 ・外部からの直接攻撃を防ぎ、セキュリティを高める必須構成。 | ・データベース ・アプリケーションサーバ ・キャッシュサーバなど |
また、サブネット作成時には「CIDR(サイダー)」という表記で住所の範囲(部屋の広さ)を決めます。
末尾の「/〇〇」という数字は、IPアドレスの総ビット数(32ビット)のうち「固定する桁数」を表しています。つまり、残りのビット数(32 – CIDR)を2の乗数にしたものが、そのネットワークで使えるIPアドレスの総数です。
主なCIDRとIPアドレス数の計算数は以下のとおりです。
| CIDR | 全IP数 | 計算式 |
|---|---|---|
| /16 | 65,536個 | 32-16 = 16(ビット):2の16乗 = 65,536 |
| /24 | 256個 | 32 – 24 = 8(ビット):2の8乗 = 256 |
| /26 | 64個 | 32 – 26 = 6(ビット):2の6乗 = 64 |
2.ルートテーブル(Route Table)
通信パケットを「次はどこへ送るか」を決める、ネットワーク上の地図のようなルール表です。サブネットが「パブリック」か「プライベート」かは、名前ではなく「どのルートテーブルが紐付いているか」で決まります。
具体的には、送信先「0.0.0.0/0(インターネット上の全アドレス)」のターゲットを「インターネットゲートウェイ」に向けたルールを持つ場合、そのサブネットはパブリックとして機能します。一方で、ローカル通信のみの場合はプライベートとなります。
3.インターネットゲートウェイ(IGW)
VPC内部とインターネットを繋ぐための「唯一の出入り口」です。
VPC作成直後は完全に閉ざされたプライベートな空間となっています。Webサーバーを外部に公開するためには、このIGWを作成し、VPCにアタッチする必要があります。
物理ルーターと異なりAWS側で管理されるため、帯域幅制限や単一障害点のリスクを抑えられます。通常、1つのVPCにつき1つだけ作成して使用します。
4.NATゲートウェイ(NAT Gateway)
プライベートサブネットからインターネットへ「出ていく」ための一方通行の出口です。
例えば、外部から隔離されたDBサーバーが、OSのセキュリティ更新や外部API連携を行う際に使用します。
重要なのは、NATゲートウェイ自体は「パブリックサブネット」に配置する必要がある点です。結果として、「外からの侵入は遮断しつつ、内部から外部への通信だけを許可する」という、Webシステムに必須のセキュアな環境が実現できます。
なお、2025年11月のアップデートで「ゾーナル(単一AZ)」と「リージョナル(リージョン全体)」の2モードが選択できるようになりました。新規構築では、1つ配置するだけでマルチAZの高可用性が自動確保されるリージョナルモードが推奨されています。
5.VPCエンドポイント
インターネットゲートウェイを経由せずに、S3やDynamoDBなどのAWSサービスへ、AWSの内部ネットワークを通じて安全に接続するための機能です。
大きく分けて2つの種類があり、接続したいサービスや仕組みが異なります。
| 種類 | 仕組み | 対象サービス | 料金 |
|---|---|---|---|
| ゲートウェイ型 | ルートテーブルで経路制御 | S3、DynamoDB | 無料 |
| インターフェース型(PrivateLink) | ENI(ネットワークインターフェース)を作成して接続 | 上記以外のサービス(CloudWatch、SNSなど) | 有料 |
6. Elastic IP(固定IPアドレス)
インスタンスを停止・再起動しても変わらない、固定のパブリックIPアドレスです。
通常のEC2インスタンスに割り当てられる「自動割り当てIP」と比較すると、その必要性がよく分かります。
| 種類 | 再起動後のIPアドレス | 主な用途 |
|---|---|---|
| 自動割り当てIP | 変わる | ・IPが変わっても困らない用途 ・一時的な検証サーバなど |
| Elastic IP | 変わらない | ・Webサーバの公開 ・NATゲートウェイへの付与など |
Webシステムの本番環境では、IPが変わるとDNS設定との不整合が起きるため、外部公開する箇所には必ずElastic IPを使用します。
なお、2024年2月より料金体系が変更され、使用中・未使用を問わずすべてのパブリックIPv4アドレスに対して0.005 USD/時間の料金が発生します。Elastic IPも対象のため、不要なIPアドレスはこまめに解放する運用が重要です。
7. ACL(ネットワークACL)
サブネット単位で設定する防御機能です。
サーバー直前で守る「セキュリティグループ」に対し、こちらはネットワークの入り口で守るための「ファイアウォール」のような役割を果たします。
後述するセキュリティグループとの違いは以下のとおりです。
| 機能 | 適用単位 | 動作 | 推奨される使い方 |
|---|---|---|---|
| セキュリティグループ | インスタンス(サーバごと) | ステートフル(戻りの通信は自動許可) | 通信に必要なポートのみ許可 |
| ACL | サブネット | ステートレス(戻りの通信も個別に許可が必要) | 特定のIPをブロックするときに利用 |
設定が複雑になりやすいため、基本的には「すべて許可」のまま運用し、特定の攻撃IPをブロックしたい場合など、明確な意図がある時のみ設定を変更します。
8. セキュリティグループ
サーバー単位で設定する「仮想ファイアウォール」です。
「どのIPから、どのポートへの通信を通すか」という許可リスト形式で管理します。前述のACLとは異なり「ステートフル(戻りの通信は自動許可)」なのが特徴です。
実務における一般的なWebシステムの設定例は以下の通りです。
| 対象サーバ | プロトコル | ポート | 送信元(許可する相手) | 設定の意味 |
|---|---|---|---|---|
| Webサーバ | HTTP | 80 | 0.0.0.0/0 | Webサイト閲覧用(世界中から許可) |
| HTTPS | 443 | 0.0.0.0/0 | Webサイト閲覧用(世界中から許可) | |
| SSH | 22 | 会社の固定IP | 管理者によるメンテナンス用 | |
| DBサーバ | MySQLなど | 3306 | WebサーバのセキュリティグループID | Webサーバ経由のアクセスのみ許可 |
このように、「Webサーバーは広く公開」する一方で、「DBサーバーはWebサーバーからの通信のみを通す」という形で役割ごとにグループを分けることで、不正アクセスを防ぐ堅牢なセキュリティを実現します。
Amazon VPCの料金体系
VPCの設計において、コスト感覚を持つことは大切です。無料で作れるものと有料のものがありますので、それぞれを解説します。
- 無料で作れるリソース(VPC・サブネット・ルートテーブル)
- 料金が発生する3つの要素(NAT GW・データ転送量・VPN)
1. 無料で作れるリソース(VPC・サブネット・ルートテーブル)
AWSのネットワーク構築において、基本の骨組みを作成すること自体には料金はかかりません。
具体的には、以下のリソースは無料で作成・利用できます。
- VPC
- サブネット
- ルートテーブル
- インターネットゲートウェイ
- セキュリティグループ / ネットワークACL
ただし、以下のような「実際の設備」や「数に限りがある資源」を使う場合には料金が発生します。
- パブリックIPv4アドレス:世界中で数が不足しているグローバルIPを確保するため、もっているだけで料金がかかる
- VPCエンドポイント:側で専用の通信設備が動いているため、利用料がかかる
2. 料金が発生する3つの要素(NAT GW・データ転送量・VPN)
VPC自体は無料ですが、Webアプリケーションを運用する上で「従量課金」の対象となる重要な要素が3つあります。これらは知らずに使い続けると、想定外の高額請求の原因になりやすいため、仕組みを正しく理解しておきましょう。
| 項目 | 課金の仕組み | 料金目安(東京リージョン) | 注意点 |
|---|---|---|---|
| NATゲートウェイ | 時間課金・データ処理 | 約0.062 USD/時間 +データ処理/GB | ・常時稼働で高額化しやすい ・稼働時に費用が発生するため、不要時は削除が必要。 |
| データ転送量 | アウトバウンド通信 | 0.114 USD/GB | ・アップロードは無料 ・ダウンロードは有料 |
| VPN接続 | 接続時間・データ転送 | 0.048 USD/時間 | ・サイト間VPNやClient VPN利用時に料金が発生 |
※令和7年1月時点のAWS公式価格に基づく目安です。
Amazon VPCの具体的な構成例
ここからは、前述の要素を組み合わせた具体的な構成例を紹介します。代表的な以下2パターンを見ていきましょう。
- 標準的なWebアプリケーション環境
- テスト環境
1.標準的なWebアプリケーション環境
Webシステムを構築する際、セキュリティとメンテナンス性を高めるために推奨されるのが「Web/DB分離構成」です。ここでは、コストを抑えつつ堅牢性を確保できる、シングルAZでの標準的な構成例を紹介します。
| 用途 | 企業のコーポレートサイト、業務システムなど、セキュリティが重視される環境 |
|---|---|
| 構成のポイント | パブリックサブネットにWebサーバー、プライベートサブネットにDBサーバーを配置し、顧客データをインターネットから隔離 |
【事例紹介】
サンアットマークでは、多くのWebシステム開発においてこの「標準的3層ウェブアプリケーション構築事例」を採用しています。理論上の話ではなく、実際の開発現場でもセキュリティと可用性を両立する「実務の正解」として運用されている構成です。
2.テスト環境
本番環境での使用を目的としない、開発者の検証用や学習用の環境であれば、コストを抑えたシンプルな構成が適しています。
| 用途 | 技術検証、一時的な開発環境、学習用 |
|---|---|
| 構成のポイント | ・図のように「1つのアベイラビリティゾーン」内に「パブリックサブネット」のみを作成するシンプルな構成 ・インターネットゲートウェイ(紫のアイコン)を介して、自分のPCから直接サーバー(中央のアイコン)へ接続 |
| セキュリティ | ・セキュリティグループ(図の赤枠)での制限 ・サーバーが直接インターネットに接しているため、セキュリティグループの接続元設定を「自分のPCのIPアドレス」だけに絞り、不正アクセスを遮断。 |
この構成は構築が簡単でNATゲートウェイなどのコストも抑えられますが、障害耐性やセキュリティ強度は低いため、本番環境での利用は推奨されません。
Amazon VPCの構築方法
Amazon VPCの構築方法には、AWSマネジメントコンソールを使う方法のほか、IaCツールを使ったコードベースの管理も広く採用されています。本記事では、視覚的にわかりやすいマネジメントコンソールを使った構築手順を解説します。
マネジメントコンソールでは、AZの数やNATゲートウェイの有無を選択するだけで、必要なリソースを1画面でまとめて作成できます。
また、作成済みのVPCは「リソースマップ」タブから、サブネット・ルートテーブル・NAT ゲートウェイ・インターネットゲートウェイといったリソースの接続関係とトラフィックの流れを1つの図で確認できます。設定ミスや意図しない構成の発見にも役立つ機能です。
実際の画面にそってAmazon VPCの構築方法を解説していきます。
①VPC入力し選択
AWSマネジメントコンソールにログインし、画面上部の検索窓に「vpc」と入力します。表示されたサービスの候補から「VPC」をクリックします。
②「VPCを作成」選択
VPCダッシュボードに移動したら、画面左上にあるオレンジ色の「VPCを作成」を選択します。
③「VPCなど」を選択し、各項目を入力
各項目を入力していきます。
- 「作成するリソース」:「VPCなど」を選択します。
- 名前タグの自動生成:任意の名称を入力します。
- IPv4 CIDRブロック:決めたIPv4CIDRを入力します。
- アベイラビリティゾーン(AZ)の数:冗長化のため「2」を選択します。
- パブリックサブネットの数:「2」を選択します。
④画面をスクロールし、各項目を入力→「VPCを作成」
画面を下にスクロールし、各項目を入力していき、最後に「VPCを作成」を選択します。
- プライベートサブネットの数:「2」を選択します。
- NATゲートウェイ:コストを抑えるなら「なし」。完全な冗長化が必要なら「リージョナル」か「Zonal」を選びます。(※料金に注意)
- VPCエンドポイント:S3ゲートウェイを選択します。
- DNSオプション:両方にチェックを入れます。
⑤作成が完了すれば「成功」と表示される
構築プロセスが開始され、数秒〜数十秒で完了します。すべてのリソースにチェックマークが付き、「成功」と表示されれば構築完了です。
右下の「VPCを表示」ボタンを押すと、作成されたVPCの詳細画面へ移動します。
⑥作成したVPCなどの一覧でパラメータを確認
設計どおりのネットワークができているか、最後に必ず確認しましょう。
Amazon VPC構築時に注意すべき3つのポイント
AWSのネットワーク設計において手戻りを防ぐために、以下の3点は必ず事前に確認してください。
- プライマリCIDRは後から変更できない
- DNSホスト名を有効化する
- 使用可能なIPアドレスは5つ減る
1. プライマリCIDRは後から変更できない
VPC作成後にプライマリCIDRブロックは変更・削除できません。なお、セカンダリCIDRブロックを後から追加することは可能ですが、プライマリと重複しないアドレス範囲に限られるため、根本的な設計ミスをカバーできないケースもあります。
例えば、「192.168.0.0/16」でVPCを作成したとします。後日VPN接続を行う際、接続先の社内LANも同じ「192.168.x.x」を使っていると、IPアドレスが重複して通信できません。
この場合、セカンダリCIDRを追加しても重複は解消されないため、VPCを削除して作り直す必要があります。リソースをすべて作り直さなければならず、大きな時間と手間がかかります。
将来VPNをつなぐ可能性があるなら、事前に社内ネットワーク担当者に使用可能なIP範囲を確認することが大切です。
2. DNSホスト名を有効化する
VPCの設定項目の中で、トラブルの原因になりやすいのが「DNSホスト名」の設定です。
この機能が無効になっていると、VPC内に起動したEC2インスタンスに対してパブリックDNS名が自動的に割り当てられません。Webアプリケーションによっては、内部連携で名前解決が必要な場合があり、システムエラーの原因になります。
VPCの作成完了後には、必ず設定画面で「DNS解決」と「DNSホスト名」の両方が「有効」になっていることを確認してください。
3. 使用可能なIPアドレスは5つ減る
サブネットの設計時によくある失敗が、IPアドレスの枯渇です。
AWS仕様では、各サブネット内にあるIPアドレスのうち計5つが予約分として確保されるため、利用者は使用できません。
【使用できない5つのIP】
- ネットワークアドレス
- VPCルーター用
- DNS用
- 将来の予約用
- ブロードキャストアドレス
特に「/28」のような小さなサブネットを作ると、実際に使えるのは11個だけです。ロードバランサー(ALB)やオートスケーリングですぐにIPが足りなくなるため、実務では「/24」など余裕を持ったサイズで設計しましょう。
| CIDR | 全IP数 | AWS予約 | 実際に使える数 |
|---|---|---|---|
| /28 | 16個 | 5個 | 11個 |
| /24 | 256個 | 5個 | 251個 |
Amazon VPC設計は堅牢な環境構成の土台!悩んだら専門家に相談
Amazon VPCは、Webシステムのパフォーマンスとセキュリティを支える「土台」です。IPアドレス範囲などの設計ミスは後戻りが難しく、セキュリティグループの設定ミスは情報漏洩などのセキュリティリスクに直結します。
「顧客データを扱うシステム」や「大規模なアクセスが予想されるサービス」の場合は、とくに慎重な設計が求められます。もし設計に不安がある場合や、失敗が許されないプロジェクトの場合は、AWS構築の実績が豊富な専門家への相談を検討してみてはいかがでしょうか。
サンアットマークでは、現状分析から設計・移行・運用設計までを一貫して支援し、お客様の状況に合わせた安全かつ無理のないクラウド移行プランをご提案しております。
以下より、お気軽にご相談ください。
