コメントありがとうございます。
WEBサーバー側の制御は、WEBサーバーに設定された SG になりますのでその考えは間違っています。
セキュリティグループはステートフルになります。インスタンスからリクエストを送信する場合、そのリクエストのレスポンストラフィックは、インバウンドセキュリティグループルールにかかわらず、流れることができます。顧客の IP アドレスからのトラフィックを許可するために、セキュリティグループのルールを ELB に設定することで、顧客の IP アドレスからのトラフィックのみをウェブサーバー側へ渡すことができます。
合わせて、説明文をブラッシュアップしました。