【AWS】 ネットワークACLの使いどころについて

###前提・実現したいこと
現在、AWSを利用して複数台のサブネット、さらにそれぞれのサブネットの中に複数台のインスタンスが存在する。
ような構成でシステムを構築しております。

そこでセキュリティの観点で色々調べていたら、以下のようなものを見つけました。

• セキュリティーグループ(EC2に割り当てる
• ネットワークACL(サブネットに割り当てる

同一サブネット内のEC2にそれぞれセキュリティグループを割り当てるよりサブネットにACLを設定することでまとめて制御できていいのかなと考えておりました。

しかし、システムの構築には terraform を利用しており 1つセキュリティグループを作ってしまって、それを使いまわしで設定するのと何ら変わりないと思っています。

もう少し調べた結果 セキュリティグループと ACL の違いに ステートレス・ステートフルである点が違うということがわかりました。

しかしながら、 ACL は個別のインスタンスに対して設定するのではなくまとめて制御が可能という意義しか見出せておりません。

ステートレスであることから、 いわゆる エフェメラルポート に関して何らかの制御を加えたい場合は ACL でしかできないのだろうなと考えています。
その場合ってどのような場合なんだろう、と思いました。

結局聞きたいこと

• エフェメラルポーとを制御する場合ってどんなときだろう。
• まとめて制御する・1点目以外で ネットワークACL を利用する意義

宜しくお願いします ????