AWS【初心者向け】security groupについて

更新日：2026.5.3

このページの内容

今回の検証内容
security groupの編集方法
動作確認

今回の検証内容

	前回は上図のようにPC1からwindows VM（yk_winsv1）にRDP接続するところまで成功しました。今日はRDPでなくPingもやってみたいと思います。
	ん？RDPができたんだからPingも当然通るのでは・・・？やってみますね。 instance画面でyk_winsv1を起動し、instance stateは赤枠のとおりRunningに。動的GIP（Global IP address）であるpublic ipv4 addressも15.152.92.93が払出されました。そしたらRDPから。無事接続できました！そしたらpingもやってみます。 C:\Users\USER>ping 15.152.92.93 Pinging 15.152.92.93 with 32 bytes of data: Request timed out. Request timed out. Ping statistics for 15.152.92.93: Packets: Sent = 2, Received = 0, Lost = 2 (100% loss), あれ、飛ばないですね・・・。
	難しいと思うけど、理由として思いつくことあるかな？
	あ、windowsのfirewallでpingが拒否されているかも。許可してみます。よし。そしたらもう一度pingを。 C:\Users\USER>ping 15.152.92.93 Pinging 15.152.92.93 with 32 bytes of data: Request timed out. Request timed out. Ping statistics for 15.152.92.93: Packets: Sent = 2, Received = 0, Lost = 2 (100% loss), あれ、まだ飛ばないですね・・・。
	試してしまって申し訳ない。これは飛ばないが正なんだ。実機と同じように、VMにもNW接続用のinterfaceがある。そのinterfaceごとにSG（security group）っていうFW（Firewall）機能が下図のように強制的に紐づけられている。それによって今回はpingが拒否されているんだ。

そうだったんですね。
security groupってややこしい名前ですね。ADやEntra IDのsecurity groupとこんがらがりそう・・・。

たしかにね・・・。
で、VMを作成する時のSG設定画面で、特に設定を変えずにデフォルトのままにした場合は、メーカー推奨のSGが紐づけされる。その場合は通常、NW interfaceから送信するパケットは全許可になっているけど、NW interfaceが受信するパケットは最低限のものしか許可されていない。今回のwindows VMを構築した際に紐づけられたSGも、下図のようにRDPしか受信できない設定だったんだ。

	なるほど。これじゃpingは通らないわけですね。
	そうだね。

security groupの編集方法

Pingも許可するための手順は以下の通りです。

①Instances画面で対象のVMにチェックを入れ、画面下部のNetworkingへ。

※本当はSecurityタブを開くほうがsecurity groupの編集画面まで早く到達しますが、今回はあえてNW interfaceを経由していきます。

②画面を下にスクロールすると赤枠のようにwindows VMのNW interfaceのIDが表示されているため、これをクリック。

③NW interfaceの詳細画面が表示されます。赤枠がこのinterfaceに紐づけられているSecurity groupです。これをクリック。

④詳細画面が表示。Inbound rulesを見るに、TCP3389のRDPしか許可されていないことがわかります。右上のEdit Inbound rulesへ。

⑤左下のAdd ruleをクリック。typeはALL ICMP-IPv4。sourceは0.0.0.0/0を選択し、右下のSave rulesへ。

※本来はRDPもPingも送信元IPを限定したほうがよいですが、今回は検証なので割愛しました。

⑥編集成功と表示。

動作確認

	それでは再度pingを試してほしい。
	わかりました。 C:\Users\USER>ping 15.152.92.93 Pinging 15.152.92.93 with 32 bytes of data: Reply from 15.152.92.93: bytes=32 time=16ms TTL=112 Reply from 15.152.92.93: bytes=32 time=15ms TTL=112 Ping statistics for 15.152.92.93: Packets: Sent = 2, Received = 2 Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 15ms, Maximum = 20ms, Average = 16ms おお、無事成功です！
	ありがとう。
	よかった・・・。しかしこれ、いかにもよくハマリそうな罠ですね。
	そうなんだよ。私も何回も「ああ、開けていなかった！」ってなったことあるよ。あと最後に、security groupやNW interfaceは下記のように名前を付けておいたほうがよいです。

security groupはVPC dashuboard → 左メニューのsecurity groupへ進むと一覧が表示されます。
先程のyk_winsv1用のsecurity groupにはyk_SG_winsv1と名前を付けました。

ややこしいですが、NW interfaceはVPCではなく、EC2のdashboardの左メニューのNetwork interfacesへ進むと一覧が表示されます。
先程のyk_winsv1用のNW interfaceにはyk_NWIF_winsv1と名前を付けました。

ということで今回はここまで。閲覧ありがとうございました。

	前回は上図のようにPC1からwindows VM（yk_winsv1）にRDP接続するところまで成功しました。今日はRDPでなくPingもやってみたいと思います。
	ん？RDPができたんだからPingも当然通るのでは・・・？やってみますね。 instance画面でyk_winsv1を起動し、instance stateは赤枠のとおりRunningに。動的GIP（Global IP address）であるpublic ipv4 addressも15.152.92.93が払出されました。そしたらRDPから。無事接続できました！そしたらpingもやってみます。 C:\Users\USER>ping 15.152.92.93 Pinging 15.152.92.93 with 32 bytes of data: Request timed out. Request timed out. Ping statistics for 15.152.92.93: Packets: Sent = 2, Received = 0, Lost = 2 (100% loss), あれ、飛ばないですね・・・。
	難しいと思うけど、理由として思いつくことあるかな？
	あ、windowsのfirewallでpingが拒否されているかも。許可してみます。よし。そしたらもう一度pingを。 C:\Users\USER>ping 15.152.92.93 Pinging 15.152.92.93 with 32 bytes of data: Request timed out. Request timed out. Ping statistics for 15.152.92.93: Packets: Sent = 2, Received = 0, Lost = 2 (100% loss), あれ、まだ飛ばないですね・・・。
	試してしまって申し訳ない。これは飛ばないが正なんだ。実機と同じように、VMにもNW接続用のinterfaceがある。そのinterfaceごとにSG（security group）っていうFW（Firewall）機能が下図のように強制的に紐づけられている。それによって今回はpingが拒否されているんだ。

【初心者向け】security groupについて

今回の検証内容

security groupの編集方法

動作確認

直近の更新履歴