Azure Database for MySQLの監査ログによる接続イベント記録の設定
このブログシリーズ 「クラウドセキュリティ 実践集」 では、一般的なセキュリティ課題を取り上げ、「なぜ危険なのか?」 というリスクの解説から、 「どうやって直すのか?」 という具体的な修復手順(コンソール、Azure CLI、Terraformなど)まで、分かりやすく解説します。
この記事では、Azure Database for MySQLにおいて、監査ログでの接続イベント記録を有効化し、データベースアクセスの完全な可視性を確保する方法について解説します。
ポリシーの説明
Azure Database for MySQLの監査ログ機能は、データベースサーバーで実行されるすべての活動を記録できる強力なセキュリティツールです。特に接続イベント(CONNECTION)の記録は、データベースへのアクセス試行、成功した接続、切断などの重要なセキュリティイベントを追跡し、不正アクセスの検知や監査証跡の確保に不可欠です。
本ポリシーは、MySQL Database Serverの監査ログにおいて、最低限以下の接続関連イベントが記録されることを要求します:
- CONNECTION: 接続の開始と終了
- CONNECTION_CONNECT: 接続成功イベント
- CONNECTION_DISCONNECT: 切断イベント
修復方法
前提条件の確認
修復作業を開始する前に、以下を確認してください:
- 必要な権限: Azure Database for MySQL サーバーの所有者または共同作成者ロール
- ストレージ要件: 監査ログ用の追加ストレージ容量
- ログ保存先: Log Analytics ワークスペースまたはストレージアカウント
- パフォーマンス影響: 本番環境では事前にテスト環境で検証
Azure Portalでの修復手順
- Azure Portalへのアクセス
- Azure Portalにサインイン
- グローバル検索バーで対象のMySQLサーバー名を検索
- サーバーパラメーターの設定
- 左側メニューの「設定」セクション→「サーバーパラメーター」を選択
- パラメーター検索機能を使用して効率的に設定
- 監査ログの有効化
パラメーター名: audit_log_enabled 設定値: ON - 接続イベントの詳細設定
パラメーター名: audit_log_events 推奨値: CONNECTION,CONNECTION_CONNECT,CONNECTION_DISCONNECT,GENERAL, DML_SELECT,DML_NONSELECT,DDL,DCL,ADMIN,TABLE_ACCESS 最小要件: CONNECTION,CONNECTION_CONNECT,CONNECTION_DISCONNECT - 監査ログ形式の設定
パラメーター名: audit_log_format 推奨値: JSON (構造化データとして分析しやすい) 代替値: OLD (従来の平文形式) - ユーザーフィルタリング(オプション)
audit_log_include_users: 監査対象ユーザー(カンマ区切り) audit_log_exclude_users: 監査除外ユーザー(システムユーザーなど) - 診断設定の構成
- 左側メニュー→「監視」→「診断設定」
- 「+ 診断設定を追加する」をクリック
- 設定名:
mysql-audit-logs - ログカテゴリ:
MySQLAuditLogsにチェック - 送信先の選択:
- Log Analytics ワークスペース(推奨)
- ストレージアカウント(長期保存用)
- Event Hub(SIEM連携用)
最後に
Azure Database for MySQLにおける監査ログでの接続イベント記録は、データベースセキュリティの基盤となる重要な設定です。本記事で解説した実装により、以下の効果が実現されます:
- 完全な可視性: すべてのデータベースアクセスの記録と追跡
- 脅威の早期検知: ブルートフォース攻撃や異常アクセスパターンの即座の検出
- コンプライアンス準拠: PCI DSS、HIPAA、GDPR等の監査要件の充足
- インシデント対応力: 詳細なフォレンジック調査と迅速な対応が可能
適切な監査ログ設定と継続的な監視により、データベースのセキュリティポスチャーを大幅に向上させることができます。
この問題の検出と継続的な監視は、弊社が提供するSecurifyのCSPM機能で自動化できます。運用負荷を削減しながら、データベースセキュリティを継続的に改善できます。ご興味のある方は、ぜひお問い合わせください。
最後までお読みいただきありがとうございました。