Amazon RDSを保護する方法

ここで学べること

‍

Table of contents

This is the block containing the component that will be injected inside the Rich Text. You can hide this block if you want.

Amazon Relational Database Service（Amazon RDS）は、AWSが提供する最も人気のあるデータベース・アズ・ア・サービス（DBaaS）製品の一つであり、データ移行、パッチ適用、バックアップ、復旧を含む、完全に管理されたデータベース管理サービスです。

Amazon RDSは、業界標準のリレーショナルデータベースを手頃な価格で、極めて信頼性が高く、スケーラブルな容量とともに提供し、一般的なデータベース管理タスクの簡素化を実現することで、組織が大規模なリレーショナルデータベースの管理という複雑さに対処することを可能にします。しかしながら、大きな課題は、Amazon RDSがクラウド「内」のセキュリティを保証するものではないという点です。むしろ、AWSの責任分担モデルによれば、AWSはクラウド「の」セキュリティに責任を負い、お客様であるお客様はクラウド「内」のセキュリティに責任を負います。では、これはAmazon RDSにとってどのような意味を持つのでしょうか？

クラウドのセキュリティ（of the cloud） – AWSは、AWSクラウド内でAWSサービス（この場合はAmazon RDS）を実行するインフラストラクチャの保護に責任を負います。
クラウド内のセキュリティ（in the cloud） – お客様は、ご利用になるAWS RDSサービスによって決定される、データの機密性、組織の要件、および適用されるすべての法令・規制について責任を負います。

本記事では、Amazon RDSのセキュリティについて、お客様がAmazon RDSをご利用になる際に直面するセキュリティリスクを含めてご説明いたします。また、Amazon RDSクラウドサービス「内」のセキュリティを確保するために、お客様が実施できるベストプラクティスをいくつかご紹介いたします。

Amazon Relational Database Service（Amazon RDS）とは？

Amazon Relational Database Service（RDS）は、Amazon Web Servicesが提供する管理型クラウドデータベースサービスの集合体です。クラウド上でのリレーショナルデータベースの構築、保守、スケーリングのプロセスを簡素化するために開発されたウェブサービスです。Amazon RDSは完全に管理されたリレーショナルデータベースサービスであり、2009年にMySQLをサポートするために最初にリリースされました。現在では、MySQL、MariaDB、Oracle、Microsoft SQL Server、およびAWS独自のAuroraデータベースを含む6つのデータベースエンジンオプションを提供しております。各データベースエンジンは独自のサポート機能セットを備えており、各DBエンジンのバージョンには新たなカスタム機能が含まれる場合があります。

Amazon RDSは自動化を活用して様々なリレーショナルデータベースの管理を簡素化し、複数のインスタンスを作成することで高いデータベース可用性を実現します。ほとんどのAWSサービスと同様に、Amazon RDSは従量課金制を採用しており、ホスティングおよび運用オプション、課金対象のストレージ、データ転送操作が含まれます。様々な価格オプションを提供することで、Amazon RDSはお客様が稼働中のインスタンスと使用したストレージ容量に対してのみお支払いいただく仕組みを実現しています。さらに、自動スケーラビリティ、バックアップ、リカバリ、パッチ適用、更新、監視、パフォーマンス、セキュリティなど、その他の重要な機能も提供しております。

Amazon RDSは安全なのか？

Amazon RDS自体に固有のセキュリティ上の欠陥はありませんが、安全かどうかという問いに対する答えは「はい」でもあり「いいえ」でもあります。AWSはサービスとインフラストラクチャにおいて堅牢なセキュリティ機能を提供することで広く知られています。しかしながら、前述の通り、AWSの責任分担モデルでは、お客様がAmazon RDSにアップロードするデータに関する責任はお客様自身にあることが明確に定められております。一方、AWSはマネージドサービスのセキュリティ設定、ならびにAWS RDSをホストする物理インフラストラクチャ、ソフトウェア、ハードウェアのセキュリティを最優先に考慮しております。

幸いなことに、AWS RDSはお客様がデータを保護し、コンプライアンス要件を満たすための複数のセキュリティ機能を提供しております。さらに、AWS RDSがサポートするデータベースエンジンには、保存されたデータリソースを保護するために設定可能な組み込みセキュリティ機能が備わっております。

Amazon RDSにおけるセキュリティリスクと懸念事項

Amazon RDSをご利用の際、ユーザー様は保存データのセキュリティを脅かす様々なミスを犯す可能性があります。Amazon RDSユーザー様が直面するセキュリティ上の懸念やリスクには、以下のようなものがあります：

可視性の不足：セキュリティおよびコンプライアンス担当チームは、特にAWS RDSで新規データベースを立ち上げるコストが非常に低廉であることから、組織のAWSアカウント内のデータベースを追跡できなくなる場合があります。組織内の利用ケースが拡大するにつれ、ユーザーはデータベースインスタンスの把握に苦労する可能性があります。これにはデータの機密レベルや適用されるコンプライアンス要件の認識も含まれます。チームがデータの存在を認識していなければ、その保護は不可能です。
監視の不十分さ：たとえユーザーがすべてのデータベースを可視化できていたとしても、データセキュリティやコンプライアンスを損なうデータ取引や活動がないことを確認するためには、データ資産全体を監視し続ける必要があります。クラウドサービスに関わるデータイベントの膨大な量を考えると、監査ログを確認するだけでは不十分かもしれません。
IDおよびアクセス管理の設定ミス： Amazon RDSにおける最大のセキュリティリスクの一つは、アクセス制御の設定ミスにより機密データへの不正アクセスを許してしまうことです。
説明責任の欠如： データガバナンスとプライバシーコンプライアンス要件が求められる現代においても、Amazon RDSユーザーはパブリッククラウドリソースの追跡と報告を継続的に行う必要があります。ユーザーは、特にユーザーおよびアプリケーションレベルのデータベースイベントに関して、データ説明責任の問題に苦労することがあります。例えば、保有するデータの内容、その保存場所、アクセスしたユーザー、イベント発生時刻、イベント発生理由などを把握できていない可能性があります。
データ暗号化の欠如： Amazon RDS内のデータが保存時および転送時に暗号化されていない場合、機密データが不正な第三者に晒される可能性があります。

Amazon RDS を安全に運用する方法：ベストプラクティスについて

Amazon RDSのセキュリティには、2つのアプローチがございます。Amazon RDSの機能をご利用いただくか、サードパーティのメカニズムを統合してRDSを保護することが可能です。

Amazon RDS のセキュリティ機能

アイデンティティおよびアクセス管理: Amazon RDS は、お客様がデータへのアクセス権限を細かく制御できる機能を提供します。また、IAM ロールに基づいて RDS リソースへのアクセス権を委任する機能も備えています。ユーザー様は、データベースに様々な認証メカニズムを統合することも可能です。
Amazon RDS 暗号化： AWS RDS は、業界標準の暗号化アルゴリズムを使用して、保存時および転送時の顧客データを暗号化します。データベースエンジンに応じて、製品パフォーマンスと反復速度を維持しながらセキュリティを実現するデータ暗号化オプションを選択できます。
監査： Amazon RDS では、ユーザーおよびアプリケーションレベルのアクティビティを含むすべてのデータベースアクティビティを記録する監査ログを設定できます。これにより、セキュリティ上の懸念事項を迅速に調査することが可能です。

Amazon RDSを保護するためのサードパーティ製メカニズム

お客様は、追加のセキュリティ機能を提供するサードパーティ製ソリューションと統合することで、AWS RDSサービスを保護することも可能です。以下にいくつかの例を挙げます：

CloudWatchとの統合による監視：CloudWatchは、Amazon RDS環境の可視性を提供し、データベース内の様々なメトリクス（ディスク容量の使用状況、ネットワークトラフィック、データベース接続数、キューの深さなど）を監視することを可能にします。常時監視により、RDS環境内の異常なイベントを検出することが可能です。
監査ログ記録のためのCloudTrailの活用：お客様はCloudTrailを設定し、ユーザー、ロール、またはAWSサービスによって実行されたすべてのアクティビティをログに記録できます。

では、どちらのソリューションがより適しているでしょうか？それは常にお客様の状況と環境によって異なりますが、これら2つの例についてさらに詳しく知りたい場合は、CloudWatchとCloudTrailの比較を詳しくご覧いただき、ご自身で判断されることをお勧めいたします。

まとめ

間違いなく、Amazon RDSのおかげでクラウド上でのリレーショナルデータベースシステムの管理は格段に簡素化されました。その豊富な機能セットと長期的な利点により、Amazon RDSはクラウド上のデータベース・アズ・ア・サービス（DBaaS）の新たな時代を切り開き、組織が業務効率の向上、データワークロードの改善、データの信頼性と完全性の向上を実現し、最終的にインサイト獲得までの時間を短縮することを支援しています。AWSの共有セキュリティ責任モデルによれば、Amazon RDS自体が本質的に安全でないわけではありません。ただし、完全に安全を確保するためには、お客様がご自身の責任範囲において、アップロードするデータを保護する必要があります。

FAQs

No items found.

セキュリティ専門家とともに、
クラウドを防御する正しい方法を試してみよう

デモを依頼