Cloud SQL PostgreSQLのlog_min_messages設定について

このブログシリーズ 「クラウドセキュリティ 実践集」 では、一般的なセキュリティ課題を取り上げ、「なぜ危険なのか？」 というリスクの解説から、「どうやって直すのか？」 という具体的な修復手順（コンソール、gcloud CLI、Terraformなど）まで、分かりやすく解説します。

この記事では、Cloud SQL PostgreSQLインスタンスのlog_min_messagesパラメータを適切に設定し、セキュリティ監視を強化する方法について、リスクと対策を解説します。

ポリシーの説明

Cloud SQL PostgreSQLインスタンスでは、log_min_messagesパラメータが適切に設定されていない場合、重要な警告やセキュリティイベントがログに記録されない可能性があります。このパラメータは、サーバーログに記録されるメッセージの最小レベルを制御し、セキュリティ監視とインシデント対応において重要な役割を果たします。

log_min_messagesは列挙型のパラメータで、指定したレベル以上の重要度を持つメッセージのみがログに記録されます。推奨値はWARNINGであり、これにより警告、エラー、致命的エラーを含む重要なメッセージが確実に記録されます。

利用可能なログレベル（重要度の低い順）

• DEBUG5 〜 DEBUG1: 詳細なデバッグ情報
• INFO: 一般的な情報メッセージ
• NOTICE: 通常の重要なメッセージ
• WARNING: 警告メッセージ（推奨設定）
• ERROR: エラーメッセージ
• LOG: 管理者向けメッセージ
• FATAL: 致命的エラー
• PANIC: パニックエラー

修復方法

コンソールでの修復手順

Google Cloud コンソールを使用して、Cloud SQL PostgreSQLインスタンスのlog_min_messagesパラメータを設定します。

1. Google Cloud コンソールにログインし、Cloud SQL インスタンスページに移動します。

1. 対象のPostgreSQLインスタンスをクリックして詳細ページを開きます。

1. *「編集」**ボタンをクリックしてインスタンスの設定編集画面に移動します。

   

2. *「構成オプション」セクションを展開し、「フラグ」**セクションまでスクロールします。
3. *「項目を追加」**をクリックし、以下の設定を行います：
   • フラグ名: log_min_messagesを選択
   • 値: warningを選択（推奨値）

   

4. セキュリティ監視強化のため、以下のフラグも追加することを推奨します：
   • log_min_error_statement: error（エラーを引き起こしたSQL文を記録）
   • log_connections: on（接続試行を記録）
   • log_disconnections: on（セッション終了を記録）
   • log_statement: ddl（DDL文を記録）
5. *「保存」**ボタンをクリックして変更を適用します。
6. 変更の確認：インスタンスの詳細ページで、データベースフラグセクションにlog_min_messages=warningが表示されていることを確認します。

注意事項：

• この変更は即座に適用され、インスタンスの再起動は不要です
• 新規セッションから有効になります
• ログ量が増加する可能性があるため、ログ保存容量とコストを考慮してください

Terraformでの修復手順

Cloud SQL PostgreSQLインスタンスでlog_min_messagesを適切に設定するTerraformコードと、主要な修正ポイントを説明します。

# Cloud SQL PostgreSQL インスタンスの設定
resource "google_sql_database_instance" "postgres_secure" {
  >>> skip
  settings {
    # セキュリティログ設定（必須）
    database_flags {
      name  = "log_min_messages"
      value = "warning"  # 警告レベル以上のメッセージを記録
    }
  }
}

 

ベストプラクティス

環境別の推奨設定

• 開発環境: NOTICEまたはINFO（詳細なデバッグ情報収集のため）
• ステージング環境: WARNING（本番環境と同等の設定）
• 本番環境: WARNING（セキュリティとパフォーマンスのバランス）

ログ管理の考慮事項

1. ログローテーション: ログ量増加に備えて、適切なローテーションポリシーを設定
2. 長期保存: Cloud Loggingへのエクスポートによる長期保存とコスト最適化
3. 監視とアラート: 異常なログパターンの自動検知とアラート設定
4. 定期的なレビュー: ログ設定の定期的な見直しと最適化

最後に

この記事では、Cloud SQL PostgreSQLインスタンスのlog_min_messagesパラメータを適切に設定することで、セキュリティ監視を強化する方法について解説しました。

適切なログレベルの設定は、セキュリティインシデントの早期発見、フォレンジック分析の実施、コンプライアンス要件の充足において重要な役割を果たします。特に本番環境では、WARNINGレベルでのログ記録を強く推奨します。

この問題の検出は弊社が提供するSecurifyのCSPM機能で簡単に検出及び管理する事が可能です。 運用が非常に楽に出来る製品になっていますので、ぜひ興味がある方はお問い合わせお待ちしております。 最後までお読みいただきありがとうございました。この記事が皆さんの役に立てば幸いです。

参考情報

• Google Cloud – Cloud SQL for PostgreSQL のフラグ設定
• PostgreSQL – エラーレポートとログ（20.8章）
• CIS PostgreSQL 14 Benchmark v1.0.0 – 4.2 Ensure log_min_messages is set correctly
• OWASP – Insufficient Logging & Monitoring
• Google Cloud – Cloud SQL のセキュリティベストプラクティス