Amazon RDS のセキュリティとコンプライアンス

Amazon Relational Database Service (Amazon RDS) におけるセキュリティとコンプライアンスは、AWS クラウドでリレーショナルデータベースを効果的に運用する上で極めて重要な側面です。AWS は、データベース環境を保護し、規制要件を満たすための多岐にわたる機能を提供していますが、その基盤には責任共有モデルがあります。

責任共有モデル

このモデルの下では、AWS は「クラウドのセキュリティ」に責任を負います。これには、AWS が提供するすべてのサービスを支えるインフラストラクチャ（ハードウェア、ソフトウェア、ネットワーキング、施設など）の保護が含まれます。

一方で、利用者は「クラウド内のセキュリティ」に責任を負います。これには以下が含まれます：

DB インスタンスの構成
セキュリティグループの管理
IAM ポリシーの設定
データ暗号化
データ分類
アプリケーションのセキュリティ
オペレーティングシステムの更新

Amazon RDS Custom のようなサービスでは、より高度なカスタマイズが可能になり、それに応じて利用者の責任範囲も広がります。

主要なセキュリティ機能

1. アクセス制御と認証

VPC セキュリティグループ

DB インスタンスへのネットワークアクセスは、Amazon Virtual Private Cloud (Amazon VPC) とそれに紐づくセキュリティグループを通じて厳密に制御されます。これにより、データベースにアクセスできる IP アドレス範囲や他の AWS セキュリティグループを細かく指定できます。

IAM ポリシーと IAM データベース認証

AWS Identity and Access Management (IAM) を使用することで、RDS リソースに対するきめ細かなアクセス許可を設定できます。IAM データベース認証を利用すると、IAM ユーザーやロールの認証情報を使ってデータベースに直接接続でき、一時的な認証情報や多要素認証（MFA）の恩恵を受けることができます。

Kerberos 認証

一部のデータベースエンジンでは、既存のディレクトリサービス（Microsoft Active Directory など）と連携するKerberos 認証もサポートされており、集中管理された認証メカニズムを提供します。

マスターユーザーアカウント権限

DB インスタンスの作成時に設定されるマスターユーザーは、データベース管理タスクを実行するための初期の権限を持ちます。

RDS Proxy

RDS Proxy は、データベース接続の管理とセキュリティ強化に役立ちます。接続プーリング機能を提供し、データベースに対する接続数を効率的に管理することで、過負荷を防ぎます。また、IAM 認証と連携して認証情報を安全に管理できるため、アプリケーションがデータベース認証情報を直接保持する必要がなくなります。

2. データ保護（暗号化、バックアップ、可用性）

暗号化

RDS は、転送中のデータを保護するために暗号化された接続をサポートしています。さらに、「簡易作成」オプションを使用して DB インスタンスを作成する場合（特に Oracle や SQL Server の場合）、ストレージの暗号化がデフォルトで有効になっています。これにより、保存されているデータが自動的に保護されます。

保存時の暗号化

AWS KMS（Key Management Service）を使用した暗号化
暗号化されたストレージボリューム
暗号化されたバックアップとスナップショット
暗号化されたリードレプリカ

転送時の暗号化

SSL/TLS を使用した接続の暗号化
データベースエンジンごとの暗号化設定
証明書の管理と更新

バックアップと復元

RDS は、自動バックアップと手動スナップショットを提供し、データの耐久性と回復性を確保します。自動バックアップは、DB インスタンスが削除された後も指定された保持期間内であれば保持でき、ポイントインタイムリカバリ（特定の時点への復旧）を可能にします。

また、DB スナップショットデータは Amazon S3 バケットにエクスポートすることも可能で、外部ツールでの分析や長期保存に利用できます（ただし、Db2、Oracle、SQL Server のスナップショットは S3 へのエクスポートには対応していません）。

リードレプリカとマルチ AZ 配置

リードレプリカ

リードレプリカは、ソース DB インスタンスの非同期コピーとして機能し、主に読み取り集中型ワークロードのスケーリングに利用されますが、災害復旧のシナリオにおいても重要な役割を果たします。クロスリージョンリードレプリカは、異なる AWS リージョンにレプリカを配置することで、地域的な障害からの回復力を高めます。

マルチ AZ 配置

マルチ AZ 配置は、異なるアベイラビリティーゾーンに同期スタンバイレプリカを自動的にプロビジョニングし、高可用性とデータの冗長性、自動フェイルオーバーサポートを提供します。これにより、プライマリ DB インスタンスに問題が発生した場合でも、自動的にスタンバイに切り替わり、I/O フリーズの排除やシステムバックアップ中のレイテンシースパイクの最小化が実現されます。

3. モニタリングと監査

Amazon CloudWatch

DB インスタンスのパフォーマンスとヘルス状態に関するメトリクスを自動的に CloudWatch に送信します。CPU 使用率、IOPS、レプリカラグなどの主要なメトリクスを監視し、CloudWatch アラームを設定して異常を通知できます。

Amazon RDS Performance Insights

データベースの負荷を可視化し、パフォーマンス上のボトルネックや問題のあるクエリを特定して分析するのに役立ちます。

拡張モニタリング

DB インスタンスが実行されているオペレーティングシステム（OS）レベルのメトリクスを詳細に収集し、OS 関連の問題を特定するのに役立ちます。

データベースアクティビティストリーム

Oracle および SQL Server のデータベースで、詳細なデータベースアクティビティ（例えば、監査ログ）をリアルタイムでストリーミングして監視できます。

AWS CloudTrail

Amazon RDS に対するすべての API コールを記録し、誰がいつ、どのリソースに対して何を行ったかという監査証跡を提供します。これはセキュリティ監査とコンプライアンス検証に不可欠です。

GuardDuty RDS Protection

データベース内の脅威を継続的にモニタリングし、異常なデータベースアクセスパターンや潜在的なセキュリティリスクを検出します。

RDS イベント通知

DB インスタンスのセキュリティパッチの利用可能性など、重要なイベントが発生した際に通知を受け取ることができます。

セキュリティベストプラクティス

ネットワークセキュリティ

VPC 内での DB インスタンスの配置
セキュリティグループの最小権限原則の適用
プライベートサブネットの使用
VPC エンドポイントの活用

アクセス管理

IAM ポリシーの細かい権限設定
定期的なアクセス権限の見直し
多要素認証（MFA）の有効化
データベース認証情報の安全な管理

データ保護

暗号化の有効化（保存時・転送時）
定期的なバックアップの実行
クロスリージョンバックアップの設定
データの分類とラベリング

監視と対応

CloudWatch アラームの設定
ログの定期的な確認
セキュリティインシデント対応計画の策定
定期的なセキュリティ監査の実施

コンプライアンスの維持

Amazon RDS は、多くの国際的なセキュリティ基準と業界のコンプライアンス要件に対応するための機能を提供しています。

主要なコンプライアンス基準

HIPAA: 医療情報の保護
PCI DSS: クレジットカード業界のデータセキュリティ基準
SOC: システムおよび組織の統制
ISO 27001: 情報セキュリティ管理システム
GDPR: EU 一般データ保護規則

コンプライアンス維持のポイント

データベースエンジンのバージョン管理

データベースエンジンのバージョンを最新の状態に保つことは、既知の脆弱性への露出を減らし、セキュリティ、パフォーマンス、およびコンプライアンスを維持するために推奨されるベストプラクティスです。

リソース管理とタグ付け

RDS リソースにタグ付けすることで、IAM ポリシーを通じてアクセスを制御し、コスト配分と同時にコンプライアンス目的でのリソース管理を容易にすることも可能です。

監査とドキュメント化

定期的なセキュリティ監査の実施
アクセスログの保存と分析
セキュリティポリシーの文書化
インシデント対応手順の整備

データ保護とプライバシー

データの分類と取り扱い基準の設定
個人情報の適切な管理
データ保持期間の設定
データ削除手順の確立

セキュリティ機能の実装例

1. VPC セキュリティグループの設定

# データベース用セキュリティグループの例
- インバウンドルール:
  - MySQL/Aurora: ポート 3306
  - PostgreSQL: ポート 5432
  - ソース: アプリケーションサーバーのセキュリティグループ
- アウトバウンドルール:
  - 必要最小限のアクセスのみ許可

2. IAM データベース認証の設定

# IAM ユーザーにデータベースアクセス権限を付与
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "rds-db:connect"
      ],
      "Resource": [
        "arn:aws:rds-db:region:account-id:dbuser:db-instance-id/db-user-name"
      ]
    }
  ]
}

3. 暗号化の設定

KMS キーの作成と管理
DB インスタンス作成時の暗号化有効化
既存インスタンスの暗号化（スナップショット経由）

まとめ

Amazon RDS は、多層的なセキュリティ機能、堅牢なデータ保護メカニズム、包括的なモニタリング・監査ツール、そして共有責任モデルを通じて、利用者が高レベルのセキュリティとコンプライアンスを維持しながらデータベースを運用できる環境を提供します。

セキュリティの主要な柱

アクセス制御: VPC、IAM、Kerberos 認証による多層防御
データ保護: 暗号化、バックアップ、高可用性構成
監視と監査: CloudWatch、CloudTrail、GuardDuty による包括的な監視
コンプライアンス: 国際基準への準拠と継続的な改善

成功のポイント

責任共有モデルの理解と適切な責任分担
最小権限の原則に基づくアクセス制御
定期的なセキュリティ監査と改善
継続的なモニタリングと迅速な対応

これらの機能とベストプラクティスを適切に実装することで、AWS 環境における RDS データベースのセキュリティとコンプライアンスを確保し、ビジネス要件と規制要件の両方を満たすことができるでしょう。

Amazon RDS のセキュリティとコンプライアンス ​

責任共有モデル ​

主要なセキュリティ機能 ​

1. アクセス制御と認証 ​

VPC セキュリティグループ ​

IAM ポリシーと IAM データベース認証 ​

Kerberos 認証 ​

マスターユーザーアカウント権限 ​

RDS Proxy ​

2. データ保護（暗号化、バックアップ、可用性） ​

暗号化 ​

保存時の暗号化 ​

転送時の暗号化 ​

バックアップと復元 ​

リードレプリカとマルチ AZ 配置 ​

リードレプリカ ​

マルチ AZ 配置 ​

3. モニタリングと監査 ​

Amazon CloudWatch ​

Amazon RDS Performance Insights ​

拡張モニタリング ​

データベースアクティビティストリーム ​

AWS CloudTrail ​

GuardDuty RDS Protection ​

RDS イベント通知 ​

セキュリティベストプラクティス ​

ネットワークセキュリティ ​

アクセス管理 ​

データ保護 ​

監視と対応 ​

コンプライアンスの維持 ​

主要なコンプライアンス基準 ​

コンプライアンス維持のポイント ​

データベースエンジンのバージョン管理 ​

リソース管理とタグ付け ​

監査とドキュメント化 ​

データ保護とプライバシー ​

セキュリティ機能の実装例 ​

1. VPC セキュリティグループの設定 ​

2. IAM データベース認証の設定 ​

3. 暗号化の設定 ​

まとめ ​

セキュリティの主要な柱 ​

成功のポイント ​

参考リンク ​