VPC Block Public Access (BPA) とは
VPC Block Public Access (BPA) は、AWSアカウント内のVPCに対して、インターネットとの不要な通信を制限するための VPC レベルのセキュリティ機能 です。
参考画像:VPCマネージメントコンソールでVPC BPAを設定する箇所(2025年10月現在)
参考画像:VPC BPAがオンになっている状態(2025年10月現在)
VPC BPAの導入目的
クラウド環境では、設定の複雑さや手動作業による設定ミスに起因するセキュリティインシデントが発生する可能性があります。
VPC BPAを有効化することで、以下のようなリスクに対応できます。
- セキュリティ設定漏れにより、意図しないパブリックアクセスが発生する
- 単一アカウントのVPCにおいて、セキュリティポリシーの一貫性が無く、VPC毎にパブリックアクセス可否が異なってしまう
VPC BPAの導入は、とくに以下のような環境で有効です。
- 複数アカウントを運用している場合:組織としてのポリシーをAWS Organizationsで一括で設定することで、作業ミスによるパブリックアクセス発生を防止し、全アカウントで統一されたセキュリティポリシーの強制が実現できます。
- 複数VPCを管理している場合:1つのアカウント内で複数のVPCを管理する場合にアカウント内で一貫したセキュリティポリシーを適用することで、管理の手間とリスクを軽減できます。
VPC BPAの機能
VPC BPAは設定されたモードに基づき、インターネット経由のトラフィックをブロックします。
「双方向(Bidirectional)」と「イングレスのみ(Ingress-only)」の2つのモードがあり、それぞれインターネットとの通信方向に応じた制御が可能です。
アカウント全体でVPC BPAのモードを適用した後に、個別に除外するVPCやサブネットを個別に設定することもできます。
各モードのVPC BPAの設定モードと利用シーン例は以下です。
| 設定モード | 説明 | 利用シーン例 |
|---|---|---|
| 双方向(Bidirectional) | VPC内のリソースからインターネットへのアウトバウンドトラフィックと、インターネットからVPC内のリソースへのインバウンドトラフィックの両方をブロックします。 | インターネットとの通信を完全に遮断したい内部システムやバッチ処理環境 |
| イングレスのみ(Ingress-only) | インターネットからVPC内のリソースへのインバウンドトラフィックのみをブロックします。VPC内のリソースからのアウトバウンドトラフィックは許可されます。 | 外部APIへのアクセスは必要だが、外部からの接続は不要な環境(例:データ収集用のクローラー) |
なお、VPC BPAの設定は、AWS CLIやAWS Management Console、またはAWS Organizationsのポリシー管理機能を通じて行うことができます。
詳細な実装方法や制限事項については、AWS公式ドキュメントをご参照ください。
docs.aws.amazon.com
終わりに
VPC BPAは、AWS環境におけるセキュリティ対策の一環として、とくにインターネットとの不要な接続を防ぎたい場合に有効です。
導入にあたっては、単なる機能の理解だけでなく、運用体制やシステム設計との整合性を考慮することが重要です。
本資料が、VPC BPAの理解と適切な活用に役立つことを願っています。
