前置き
AWSのデフォルトセキュリティグループはインバウンドルールもアウトバウンドルールもフル解放されており、使用しないことが推奨されています。
デフォルトセキュリティグループは削除できない仕様だったはずなので、AWS Configのルールでインバウンドルールを自動削除する設定をするのが望ましいと思います。
セキュリティグループが実際に使われているかを確認する
AWS CLIでEC2のReadOnly権限があれば、以下コマンドで確認することができます。
aws ec2 describe-instances --filters "Name=instance.group-id,Values=sg-xxx" --query "Reservations[*].Instances[*].[InstanceId,Tags[?Key=='Name'].Value|[0]]" --output table
※ValuesにはセキュリティグループIDを指定します