Microsoft Defender for Cloud、AWS RDS上のOSSデータベース保護が正式GA——7月請求前に課金設定を確認しよう

Microsoftは2026年6月1日、Microsoft Defender for Cloud のオープンソースリレーショナルデータベース向け保護機能（Defender for Open-Source Relational Databases）をAWS RDS環境に対して正式GA（一般提供）化した。プレビュー期間中に有効化済みの環境は自動移行され、2026年7月の請求から課金が開始される。

何が変わったのか

これまでプレビューとして提供されていたAWS RDS向けの脅威検知機能が、本番運用に耐えるGAステータスへ昇格した。対応するデータベースは以下の5種類だ：

• Aurora PostgreSQL
• Aurora MySQL
• PostgreSQL
• MySQL
• MariaDB

この機能を有効化すると、Defender for Cloudは2つの主要な保護を提供する：

• データベース脅威検知（Database Threat Protection） — 不審なログインパターン、SQLインジェクション試行、異常なデータアクセスなどをリアルタイムで検知し、セキュリティアラートを発行する
• 機密データ検出（Sensitive Data Discovery） — AWS RDSインスタンス内の機密データを自動で発見し、セキュリティインサイトに反映する。この機能はDefender CSPM（Cloud Security Posture Management）とも連携し、クラウドセキュリティ態勢の向上に寄与する

有効化の手順

設定はAzureポータルから行う：

• Azure PortalでMicrosoft Defender for Cloudを開く
• Environment settings から対象のAWSアカウントを選択
• Databasesプランの設定を開き、Open-source relational databasesをオンにする
• Configure accessからCloudFormationテンプレートをダウンロードし、AWSスタックを更新する

内部的にはDefenderForCloud-DataThreatProtectionDBロールが作成または更新され、RDSのパラメーターグループ・オプショングループの管理権限やログ収集権限がDefender for Cloudに付与される仕組みだ。なお、利用可能なAWSリージョンはテルアビブ・ミラノ・ジャカルタ・スペイン・バーレーン以外のすべてのパブリックリージョン。東京・大阪リージョンは対応済みのため、日本企業の環境で問題なく使える。

注意点：7月から課金が始まる

プレビュー中に有効化していた環境では自動的にGAへ移行される。特に何もしなければ保護は継続されるが、2026年7月の請求から課金が開始される点は見落とさないようにしたい。

コスト削減を望む場合は、移行前にプランを明示的に無効化する必要がある。AWSマルチクラウド環境でDefender for Cloudを有効にしているチームは、今すぐ対象インスタンス数とコスト影響を確認することを強く推奨する。

実務への影響

マルチクラウド構成の日本企業に直結する話

日本のエンタープライズでは「コアシステムはAzure、既存のPostgreSQLはAWS RDS」という混在構成は珍しくない。従来はAzureとAWSのセキュリティ監視を別々のツールで管理せざるを得ず、インシデント対応時にコンテキストが分断されるという課題があった。

Defender for Cloudがこの橋渡し役を担うことで、Microsoft SentinelやDefenderのダッシュボードでマルチクラウドDBの脅威を一元的に可視化できる体制が整う。運用チームの負担軽減という観点でも、統合管理が進むのは実務にとってプラスだ。

IT管理者がすぐやるべきこと

• 課金確認: Defender for CloudのEnvironment settingsでAWSアカウントのDatabasesプランの状態を確認する
• 対象DB棚卸し: Aurora含むRDSインスタンスの台数と規模をコスト試算に活用する
• 既存ツールとの重複チェック: AWS GuardDutyやAWS Security Hubとの機能重複を評価し、二重投資になっていないか確認する
• CloudFormationテンプレートの更新確認: プレビューから自動移行されている場合も、権限設定が最新になっているかを改めて確認する

筆者の見解

マルチクラウドが当たり前になった今、「クラウドをまたいで統一されたセキュリティ管理を行う」という課題はどの企業も抱えている。Defender for CloudがAWS RDSのOSSデータベースを正式サポートしたことは、その課題への実用的な回答のひとつだ。

Microsoftの戦略として、Azureのセキュリティ・管理レイヤーを他クラウドのインフラにも広げるというアプローチは方向性として正しいと思う。ゼロトラストの観点からも「どのクラウドで動いているかに関わらず、統一された監視の傘の下に置く」という考え方と合致しており、VPNや旧来の境界防御に頼らない設計に向けた一歩として評価できる。

一方、実務的には既存ツールとの役割整理が欠かせない。AWS GuardDutyなどとの機能重複をどう整理するかを慎重に評価しないと、ツールを増やすことでアラートの洪水や運用コスト増大という別の問題を生む。費用対効果を自社のDB規模・セキュリティ要件に照らして判断するのが現実的だ。

Microsoftがこの方向でクラウドの壁を越えた統合管理を継続的に強化していけば、ユーザー側の選択肢が広がる。プラットフォームを捨てずに、その上で運用するものを柔軟に選べる未来は歓迎したい。まずは7月の請求が始まる前に、自社の設定状況を必ず確認しておこう。

出典: この記事は Microsoft Defender for Open-Source Relational Databases Now Generally Available for AWS RDS の内容をもとに、筆者の見解を加えて独自に執筆したものです。