【Security Hub修復手順】[RDS.50] RDS DB クラスターには十分なバックアップ保持期間を設定する必要があります

• URL: https://dev.classmethod.jp/articles/securityhub-fsbp-remediation-rds-50
• 日付: 2026-06-25
• Tier: Tier 2
• 要旨: Security Hub の RDS.50 コントロールはデータベースクラスターのバックアップ保持期間が最低 7 日以上に設定されているかをチェックします。修復手順は RDS コンソールから対象クラスターを選択し、変更画面でバックアップ保持期間を 7 日以上に設定して即座に適用するだけです。Aurora など DB クラスターの設定変更はダウンタイムなしで反映されます。

詳細

バックアップ保持期間はポイントインタイムリカバリ（PITR）で復元可能な日数の範囲を決定します。保持期間が短いと、アプリケーション障害やデータ削除に数日後に気づいても過去の時点に戻せません。本番環境では最低 7 日間（要件に応じてそれ以上）が必須で、検証・開発環境ではコスト最適化を優先して短く設定できます。RDS コンソールから対象クラスターを選択し「変更」を開き、追加設定のバックアップセクションで保持期間を 7～35 日範囲で変更して即座に適用します。AWS CLI なら modify-db-cluster で –backup-retention-period と –apply-immediately を指定します。Security Hub への反映には数分～数十分かかります。カスタムコントロールパラメータ minimumBackupRetentionPeriod をデフォルトの 7 日から変更すれば、組織の基準に合わせて検出基準を調整できます。