「VPC内通信もTLSにすべき?」と聞かれて ── そもそもAWS内で盗聴できるのか脅威モデルで確かめた話 - Qiita

はじめに GMOコネクトの永田です。 公共系の案件で「ゲートウェイ(ALB)までは暗号化されているけど、その内側、VPCの中は平文ですよね。それで問題ないんですか?」と指摘されました。 VPCがSDN(Software Defined Ne...
🔒 90
💬 27
JULYぼんやりと、「現実的に盗聴は不可能だけど、推奨はされる」ぐらいの認識だったけど、想像以上に詳細に調査されていて、非常に良い。惜しむらくは、所属会社が今話題の会社の系列なのが...
2026/07/03 09:41
nguyen-oiVPC内の暗号化はセキュリティ対策じゃなくてコンプライアンス要件への対応って整理、すごく腑に落ちるな。この手の「なんとなくTLS」に一石を投じる良記事
2026/07/05 17:10
ShinwikiL2が無いんで。の一言でケムにまくのはダメなのかしら。arp移す発想がなくて苦労してんだ逆に。ははは。
2026/07/05 17:14★★
kyahi227全文通して"IPsec"が一度も出てこない恐怖の記事
2026/07/05 18:48
choota「問題ない」ロジックを整理するの大変だし、よい記事。//ALB通してる時点でL7層の話なのに、IPsecへの言及がないことをあげつらうコメントがよくわからん。
2026/07/05 19:02★★★★
hasiduki勉強になる!!!!!!!!
2026/07/05 19:24
osakana110AWSのVPC内はSDN(ソフトウェア定義ネットワーク)制御でありARPスプーフィング等の受動的盗聴は成立しない。TLS化の実利はほぼゼロであり本件はセキュリティ向上ではなく「コスト対ガイドライン準拠」の判断ってことか
2026/07/05 19:28★★★★
emiya726VRFで分離されているのかと思っていたけれど。他顧客に盗聴されるというよりかはAWSを信頼するかしないかになるのではと思ったり。
2026/07/05 19:34
caffephiliaCloudFront ⇔ ALB 間はどうなのかが気になった(デフォルトだと HTTPS だけど HTTP も選択できた気がするので)
2026/07/05 20:06★★
daishi_nCloudFrontはオリジンとの間が必ずしもAWSプライベートネットワークと限らないのでHTTPS推奨。HTTPでアクセスした場合に備えてHSTSヘッダー応答とHTTPSリダイレクトをCFでやらせるのが定石。Direct Connect暗号化よりお手軽に実現可
2026/07/05 20:10★★★★★
petite_blue自分でCA立てて自己署名証明書を作って接続先の/etc/ca-certificatesに放り込むとかは駄目なんだろうか。試したことないけど。
2026/07/05 20:20
odakahoCloudFront > ALB は、去年くらいにprivateサブネットのALBに直接繋げられるようになった
2026/07/05 20:29★★★
beerbeerkunこういう当たり前だが正面切って確認されないものこそ面白い
2026/07/05 21:05
nappy1120これずっと気になってた
2026/07/05 21:05
ToTheEndOfTime仮想PC内の通信はTLS化しなくても大丈夫ですよ。基本的にMACアドレスで通信します(ARP通信)
2026/07/05 21:32
wittroTLS
2026/07/05 22:01
ryunosinfxawsが米帝の法に従い米政府の監査を受けたらスッポンポンなのは何しても一緒か…設定変更で気がつけるだけ一応設定はしておいてもいいけどvm基盤レベルで踏み込まれたらもうアウトだしな、ここは信用するしか無いか
2026/07/05 22:04
dollarss示唆に富むセキュリティの話
2026/07/05 22:04
napsucksAWSを信頼するかという話かと思ったが、まあそれ言い出したらインスタンスも個別暗号化しないといけないね
2026/07/05 22:12
rxh素晴らしい検証記事でした。
2026/07/05 22:22