GuardDuty RDS Protection の有効化設定手順

このブログシリーズ 「クラウドセキュリティ 実践集」 では、一般的なセキュリティ課題を取り上げ、「なぜ危険なのか？」 というリスクの解説から、 「どうやって直すのか？」 という具体的な修復手順（コンソール、AWS CLI、Terraformなど）まで、分かりやすく解説します。

この記事では、GuardDuty RDS Protection を有効にする必要があるというセキュリティ課題の修正方法を解説します。

ポリシーの説明

Amazon GuardDutyのRDS Protection機能は、Amazon RDSデータベースへの潜在的な脅威や不正アクセス試行を自動的に検出する高度なセキュリティ機能です。この機能は、Aurora MySQL、Aurora PostgreSQL、Amazon RDS for PostgreSQLなどのデータベースエンジンに対応し、機械学習とAWSの脅威インテリジェンスを活用して、データベースへの悪意のあるアクティビティを特定します。

RDS Protectionは、データベースログインアクティビティログをCloudWatch Logs経由で収集し、機械学習とAWSの脅威インテリジェンスを活用して分析します。これにより、ブルートフォース攻撃、既知の悪意のあるIPアドレスからのアクセス、異常なログインパターン、Torネットワークからのアクセスなど、様々な脅威を検出します。データベースのセキュリティ体制を大幅に強化し、データ漏洩や不正アクセスのリスクを低減できます。

修復方法

コンソールでの修復手順

AWSのコンソールを使用して、GuardDuty RDS Protectionを有効にします。

前提条件

• GuardDutyサービス自体が有効化されていること
• 適切なIAM権限（guardduty:UpdateDetector、guardduty:UpdateMemberDetectors）を持っていること
• 対象のRDSデータベースが以下のサポートされているバージョンであること：
  • Aurora MySQL: 2.10.2以降、3.2.1以降
  • Aurora PostgreSQL: 10.17以降、11.12以降、12.7以降、13.3以降、14.3以降、15.2以降、16.1以降
  • Amazon RDS for PostgreSQL: 同上のバージョン
• RDSデータベースでログインアクティビティのログエクスポートが有効化されていること

手順1: GuardDutyコンソールからの有効化

1. AWS管理コンソールにログインし、GuardDutyサービスにアクセスします
   1. GuardDutyが有効化されていない場合は有効化を行います

1. RDS Protectionセクションを確認します
   • 「RDS login activity monitoring」のステータスを確認します「Disabled」と表示されている場合は、有効化が必要です
2. RDS Protectionのトグルスイッチをクリックして「Enabled」に変更します

最後に

この記事では、GuardDuty RDS Protection の有効化について、リスクと対策を解説しました。

GuardDuty RDS Protectionを有効にすることで、データベースへの不正アクセス試行や異常な動作を自動的に検出し、データ漏洩やセキュリティ侵害のリスクを大幅に低減できます。特に、機密データを扱うデータベースや、外部からのアクセスを許可しているデータベースでは、この機能の有効化は必須といえます。

この問題の検出は弊社が提供するSecurifyのCSPM機能で簡単に検出及び管理する事が可能です。 運用が非常に楽に出来る製品になっていますので、ぜひ興味がある方はお問い合わせお待ちしております。 最後までお読みいただきありがとうございました。この記事が皆さんの役に立てば幸いです。

参考情報

• AWS GuardDuty RDS Protection 公式ドキュメント
• GuardDuty の料金
• RDS ログエクスポートの設定
• MITRE ATT&CK – Brute Force
• CWE-307: Improper Restriction of Excessive Authentication Attempts