Cloud SQL PostgreSQLでlog_min_duration_statementを無効化する手順

2025.08.15

このブログシリーズ「クラウドセキュリティ実践集」では、一般的なセキュリティ課題を取り上げ、「なぜ危険なのか？」というリスクの解説から、「どうやって直すのか？」という具体的な修復手順（コンソール、gcloud CLI、Terraformなど）まで、分かりやすく解説します。

この記事では、Google Cloud SQL PostgreSQLインスタンスでlog_min_duration_statementパラメータが有効化されている問題について、機密情報漏洩の詳細なリスク分析と、gcloud CLI、Terraform、Cloud Consoleを使用した包括的な修復方法を解説します。2025年1月時点の最新のセキュリティベストプラクティスとコンプライアンス要件に対応しています。

ポリシーの説明

log_min_duration_statementパラメータは、PostgreSQLデータベースで指定された実行時間（ミリ秒単位）を超えるSQLステートメントをpostgresql.logに記録する機能です。

Cloud SQLでは、これらのログはCloud Loggingに自動的に統合され、以下の情報が記録されます：

実行されたSQLステートメントの完全なテキスト
パラメータ値を含むバインド変数の内容
クエリの実行時間とパフォーマンス統計
セッション情報とユーザー情報

本番環境でこのパラメータを有効化することは、機密情報漏洩の重大なセキュリティリスクを招くため、必ず-1（無効）に設定する必要があります。

修復方法

前提条件

Cloud SQL Admin役割（roles/cloudsql.admin）または同等の権限
対象のCloud SQL PostgreSQLインスタンスへのアクセス権
インスタンスの再起動は不要（オンラインで設定変更可能）

コンソールでの修復手順

Google Cloud コンソールを使用した修復方法：

Google Cloud Consoleにアクセスし、ナビゲーションメニューから「SQL」を選択

対象のPostgreSQLインスタンスをクリック

左側メニューの「構成」タブを選択し、「構成の編集」ボタンをクリック

「フラグとパラメータ」セクションまでスクロール
「+ 項目を追加」をクリックし、以下のフラグを設定：
- フラグ: log_min_duration_statement値: 1
必要に応じて以下のフラグも追加（推奨）：
- log_statement: none (クエリテキストのログを無効化)
- log_connections: on (接続ログは有効化)
- log_checkpoints: on (チェックポイントログは有効化)
「保存」をクリックして変更を適用

Terraformでの修復手順

Infrastructure as Codeを使用した本番環境向けのセキュアな実装例です。

# Cloud SQL PostgreSQL インスタンスの設定
resource "google_sql_database_instance" "postgres_instance" {
  >>>> Skip
  settings {
    # スロークエリログの無効化（セキュリティ必須）
    database_flags {
      name  = "log_min_duration_statement"
      value = "-1"  # -1で無効化（機密情報保護）
    }
  }
}