Security Hub CSPM 修復手順 — [RDS.43] RDS DB プロキシの接続には TLS 暗号化が必要

• URL: https://dev.classmethod.jp/articles/securityhub-fsbp-remediation-rds-43/

• 日付: 2026-06-14

• Tier: Tier 2

• 要旨: Security Hub コントロール RDS.43「RDS DB プロキシの接続には TLS 暗号化が必要」の修復手順。RDS Proxy の「Transport Layer Security が必要」を有効化するだけで対応できるシンプルなコントロール。変更中は約1分間 modifying 状態になり既存接続が瞬断する可能性がある。

詳細

• コンソール: RDS コンソール → プロキシ → 変更 → 「Transport Layer Security が必要」にチェック。
• CLI: aws rds modify-db-proxy --db-proxy-name <name> --require-tls
• 反映確認: スケジュールタイプが「定期的（Periodic）」のため最大24時間かかる。
• 有効化のメリット: VPC 内での盗聴リスク排除、古い DB インスタンスへの接続でも TLS 1.3 を使えるようになる。
• ゼロトラストの観点から「VPC 内は信頼できる」という前提は崩れつつあり、侵害されたリソースからの内部通信キャプチャは現実的な脅威。