tsumiki-media logo

tsumiki-media

Command Palette

Search for a command to run...

AWS実践
約19分
上級+
8/10
2025年7月21日

AWS SCS-C02 対策 Amazon RDS暗号化実装手順

Amazon RDSの保存時暗号化と転送時暗号化の実装方法を解説。既存インスタンスの暗号化手順、TLS接続による転送時暗号化を実践的な問題を通じて習得します。

この記事のポイント

  • 1
    既存RDSインスタンスへの暗号化適用手順を理解する
  • 2
    保存時と転送時の包括的な暗号化戦略を把握する

目次

RDS暗号化の重要性

Amazon RDSの暗号化は、保存中のデータと転送中のデータの両方を保護する重要なセキュリティ機能です。医療、金融、規制業界において、データ暗号化は必須要件となっています。

本記事では、既存インスタンスの暗号化手順TLS接続による転送時暗号化を実践的な問題を通じて学習します。

資格取得で重要なトピック

Amazon RDS暗号化では、以下の2つのトピックが特に重要です。

既存RDSインスタンスの暗号化手順

既存のRDSインスタンスは作成後に暗号化を直接有効にできません。暗号化されていないインスタンスを暗号化するには、スナップショット→暗号化コピー→復元の手順が必要です。

1
既存インスタンスのスナップショットを作成
RDSコンソールで対象インスタンスを選択し、「アクション」→「スナップショットの作成」を実行。スナップショット名を指定して作成完了まで待機します。
2
暗号化されたスナップショットをコピー
作成したスナップショットを選択し、「アクション」→「スナップショットのコピー」を実行。コピー設定で「暗号化」を有効化し、KMSキーを選択。暗号化されたスナップショットコピーが完成します。
3
暗号化されたインスタンスを復元
暗号化されたスナップショットから新しいインスタンスを復元し、必要に応じて元のインスタンスを停止・削除。アプリケーションの接続先を新しいインスタンスに変更します。注:このプロセスでは一時的なダウンタイムが発生するため、適切なメンテナンス時間での実施が重要です。

上記の手順を実行する際は、以下の重要なポイントを必ず理解しておく必要があります。これらの制約や特徴を把握することで、適切な暗号化戦略を立てることができます。

作成時の暗号化

新しいRDSインスタンスは作成時にのみ暗号化を有効にできます

既存インスタンスの暗号化

スナップショット→暗号化コピー→復元の手順が必要

ダウンタイム

復元プロセス中は一時的なダウンタイムが発生します

転送時暗号化の実装

RDSの転送時暗号化は、TLS/SSL接続により実現します。アプリケーションとデータベース間の通信を保護し、データ傍受を防止します。

1
RDS側の設定
データベースエンジンに応じてSSL/TLS接続を強制する設定を有効化します。PostgreSQLではforce_sslパラメータを1に設定し、MySQLではrequire_secure_transportONに設定します。
2
アプリケーション側の設定
アプリケーションの接続文字列にsslmode=requireを追加し、SSL証明書の検証を有効化します。これによりアプリケーションからRDSへの接続が暗号化されます。
3
Application Load Balancerの設定
AWS Certificate Manager(ACM)から取得したTLS証明書を使用してHTTPSリスナーを設定します。これによりクライアントからロードバランサーまでの通信も暗号化されます。

上記の手順を実行する際は、以下の重要なポイントを必ず理解しておく必要があります。これらの制約や特徴を把握することで、適切な暗号化戦略を立てることができます。

設定変更のみで実現

転送時暗号化は設定変更のみで実現でき、既存データに影響を与えません

包括的なデータ保護

保存時暗号化と組み合わせて包括的なデータ保護を実現します

ダウンタイムなし

TLS接続の設定は既存の接続に影響を与えずに実装できます

実践問題で確認

ここまで学んだRDS暗号化の実装手順を、実践的な問題で確認しましょう。各問題は実際の運用シナリオに基づいており、適切な実装方法を選択する能力を養います。

AWS認定セキュリティ - 専門知識

練習問題

ある医療機関では、患者の医療記録を保存するアプリケーションを運用しており、Amazon RDS for PostgreSQLデータベースを使用しています。同機関では、現在開発中の新機能により、患者の機微情報がデータベースに保存されるようになる予定です。 環境のセキュリティレビュー中、セキュリティチームはRDSデータベースインスタンスが保存データの暗号化を行っていないことを発見しました。そこで、既存のすべてのデータと今後追加される患者情報についても、保存時の暗号化を提供するソリューションが必要となっています。 これらの要件を満たすために、医療機関はどのような選択肢の組み合わせを使用できますか?(2つ選択してください)

AWS認定セキュリティ - 専門知識

練習問題

ある医療機関は、患者の電子カルテシステムをAWSに移行しようとしています。このシステムには患者の個人情報や医療記録が含まれるため、データのセキュリティは最も重要な要件です。システムアーキテクチャでは、Amazon EC2インスタンス上のアプリケーションサーバー、Amazon RDS PostgreSQLデータベース、およびバックアップと分析用のAmazon S3バケットが使用される予定です。医療機関は、ヘルスケア業界の規制要件に準拠するために、保管中および転送中のすべてのデータを暗号化する必要があります。 セキュリティエンジニアは、運用上のオーバーヘッドを最小限に抑えながら、コスト効率の高い方法でこの要件を満たす必要があります。どのソリューションが最適でしょうか?

AWS認定セキュリティ - 専門知識

練習問題

ある金融サービス企業は、顧客の取引データを保存するためにAmazon RDS for PostgreSQLをデータベースエンジンとして使用しています。最近の規制コンプライアンス監査で、保存時のデータ暗号化に関する企業ポリシーに準拠していないRDSインスタンスが発見されました。 この企業のセキュリティポリシーでは、すべてのデータベースはサーバーサイド暗号化を使用して保護する必要があります。セキュリティエンジニアは、以下を達成する必要があります: 1. 既存の非暗号化RDSデータベースを暗号化する 2. 将来のポリシー違反を自動的に検出する仕組みを構築する セキュリティエンジニアはどのような組み合わせのステップを取るべきですか?(2つ選択)

まとめ

Amazon RDSの暗号化は、データベースセキュリティの基盤となる重要な機能です。適切な実装手順とキー管理戦略により、規制要件を満たしながら効率的な運用が可能になります。

既存のRDSインスタンスは作成後に直接暗号化できませんスナップショット作成→暗号化コピー→復元手順により、既存データを含めた暗号化が可能です。この手順では一時的なダウンタイムが発生するため、適切なメンテナンス時間での実施が重要です。

保存時暗号化(RDS、EBS)転送時暗号化(TLS/SSL)組み合わせることで、データの完全な保護を実現します。ACM証明書よるロードバランサーの暗号化、RDSへのTLS接続より、エンドツーエンドの暗号化が可能です。

これらの実装パターンを理解し、要件に応じた最適な暗号化戦略を設計する能力が、セキュアなデータベース環境構築の基盤となります。

理解度チェック

既存RDSインスタンスの暗号化手順(スナップショット→コピー→復元)を説明できるか?

保存時と転送時の暗号化実装方法を説明できるか?

他の問題も解いてみませんか?

tsumikiでは、AWS認定試験の合格に必要な知識を体系的に学習できます。実践的な問題を通じて、AWSスキルを身につけましょう。

tsumikiで学習する