AWS社はこのほど、VPC暗号化制御を導入した。顧客は、VPC内およびVPC間の通信が暗号化されているかどうかを検証でき、対応している場合には暗号化を必須にできるようになった。 この機能により、暗号化されていない通信を可視化できるほか、互換性のあるNitroベースのインフラストラクチャーを用いた強制適用をサポートする。また、通信を暗号化できないリソースについては除外設定が可能である。
クラウド事業者であるAWS社によると、新機能は、AWS環境全体に一貫した暗号化基準を適用することを組織に促し、包括的な暗号化を求めるHIPAA、PCI DSS、FedRAMPといった規制フレームワークへの準拠を示す上で役立つという。
AWS社の主席デベロッパー・アドボケートであるSébastien Stormacq氏は、次のように説明している。
金融サービス、医療、政府、流通といった各分野の組織は、クラウドインフラ全体で暗号化の準拠を維持する上で、大きな運用上の複雑さに直面しています。 従来の手法では、複数のソリューションを組み合わせて利用し、複雑な公開鍵基盤(PKI)を管理する必要があるほか、異なるネットワーク経路における暗号化の状況を表計算シートで手作業で追跡してきました。
コミュニティーの反応はおおむね好意的だったが、当初は価格設定の手法に戸惑いを示す声や、セキュリティー制御にそもそも料金が発生するのはなぜかと疑問を呈する声も多かった。ユーザーのkei_ichi氏は次のように書いている。
その機能は、デフォルトで有効化されており、かつ無料であるべきです。
管理者は、既存のVPCに対してこの機能を有効化し、通信フローの暗号化状況を監視し、意図せず平文通信を許可しているVPCリソースを特定できる。 クラウドセキュリティーコンサルタントであり、AWS Security HeroでもあるChris Farris氏は、re:Inventの総括記事で次のように記している。
まず、これを避けるべき理由について述べたいと思います。空でないVPC1つ当たり、月額110ドルがかかるからです。HIPAAやPCI DSSといった厳格な準拠基準を満たし、暗号化基準への準拠を示す必要がある場合には、この費用を支払う価値は十分にあります。
VPC暗号化制御には、監視と強制の2つの運用モードがある。有効化後、強制モードでは、すべての新規リソースが互換性のあるNitroインスタンス上でのみ作成され、誤ったプロトコルやポートが検出された場合には、暗号化されていない通信は遮断される。
/filters:no_upscale()/news/2026/01/aws-vpc-encryption-controls/en/resources/12025-11-07_22-01-13-1767363704974.png)
出典:AWS ブログ
管理者は、すべてのリソースが暗号化準拠のインフラに移行した後にのみ、強制モードを有効化できる。Farris氏は次のように述べた。
VPC内に転送中の暗号化が施されていないリソースが存在する場合、強制モードを有効化できません。ここでの移行作業は大きな負担となりますが、監査担当者が手作業による対応を求めている場合、その労力に見合う価値があるといえます。
まず、対応するハードウェアや通信プロトコルへのアップグレードが必要となる。インターネットゲートウェイやNATゲートウェイなど、トラフィックがAWSネットワーク外に出るため暗号化をサポートしないリソースについては、特定の除外設定を構成できる。「Understanding VPC Encryption in Transit for Modern Cloud Security」と題した記事で、Anish Kumar氏は次のように述べている。
クラウドのセキュリティ態勢について、「自分のVPC全体のトラフィックは転送中にすべて暗号化されているか」という問いに、自信を持って証拠とともに答えられます。また、コンプライアンス監査の観点からは、フローログや除外リストにより、暗号化状況を示すことができます。
この新機能は現在、Northern Virginia、Ireland、London、Singaporeを含むAWSの一部リージョンで利用可能である。VPC暗号化制御は3月1日までは無料となり、それ以降は空でないVPCごとに固定の時間料金が発生する。料金は1時間あたり0.15米ドルから開始される。