Amazon Web Services ブログ

AWS Backup リーガルホールドによるデータ保護

このブログは 2022 年 11 月 27 日に Sushmitha Srinivasa Murthy (Senior Solutions Architect)によって執筆された内容を日本語化したものです。原文はこちらを参照してください。

世界中のお客様、特に規制の厳しい業界のお客様は、アプリケーションデータの一元的な保護と実証可能なコンプライアンスを必要としています。監査人は、ブローカーディーラーや、証券取引所、証券会社などのお客様に対して、SEC や、FINRA、CFTC の要件への準拠を証明するために、業界で認められた組織からの評価レポートを提供し、リーガルホールドの目的で標準の保護ポリシーを超えるバックアップ保持機能があることを追加で開示することを求められることよくがあります。
 
本日、規制上のデータ保護ニーズに対応するために、データに対して リーガルホールドを作成する機能を AWS Backup が提供したことをお知らせします。リーガルホールドにより、バックアップのライフサイクルポリシーで設定された有効期限に関係なく、バックアップデータの通常の削除を中断することができます。このホールドにより、ホールドが解除されるまで、不変のデータストレージと保持、保護を提供します。この新機能により、お客様は AWS Backup リーガルホールドを使用して、規制の厳しい業界におけるデータ保持の責任を果たすことができます。
 
企業のお客様は AWS Backup を使用して、クラウドとオンプレミスの AWS リソースにおけるデータ保護と保持を一元化し、自動化できます。 AWS Backup Audit Manager や、 AWS Backup Vault Lock などの機能により、お客様は AWS リージョンやアカウント全体のバックアップを設定および管理、統制することができます。AWS Backup は、Write-Once-Read-Many(WORM)モデルを使用して、バックアップを不変のコピーとして保存していることを保証するためのセーフガードを実装するのに役立ちます。 リーガルホールドは、AWS Backup Vault Lock の拡張機能であり、偶発的または不正な削除や改ざんからバックアップを保護する機能を強化します。意図的な削除は、バックアップのライフサイクルの一部として、バックアップポリシーで設定したスケジュールの有効期限に 復旧ポイントが到達したときに発生します。リーガルホールドが適用されている場合は、この削除を防ぐことができます。
 
このブログでは、お客様が復旧ポイントにリーガルホールドを適用する方法について説明します。

リーガルホールド

リーガルホールドは、バックアップ(別名:復旧ポイント)に永続的なホールド/ロックを追加します。AWS Vault Lock とは異なり、リーガルホールドは復旧ポイントレベルで適用されます。つまり、復旧ポイントが既に作成されていることが必須となります。復旧ポイントが作成されていない場合や、AWS Backup を初めて利用する場合は、「AWS Backup の開始方法」を参照してください。また、リーガルホールドは、権限のあるユーザーが明示的に削除するまで有効です。

復旧ポイントにリーガルホールドが適用されている場合:

  • コンソールや、コマンドライン インターフェイス (CLI)、API を使用した復旧ポイントの削除はブロックされます。
  • ライフサイクルによるコールドストレージへの移行は期待通り動作しますが、ライフサイクルによる削除はブロックされます。
  • リーガルホールド期間中は、ホールドが解除されるまでは、復旧ポイントの変更や修正はできません。
  • AWS Backup から復旧ポイントの関連付けを解除し、Amazon RDS などのソースサービスへの制御を開放するオプションは、削除の制御が失われるため、禁止されます。

前提条件

リーガルホールドを作成するためには、以下の前提条件が必要となります。

  1. バックアップボールトがすでに存在し、リーガルホールドを適用できる復旧ポイントが少なくとも 1 つあること
  2. IAM パーミッション
    • get や list などの一般的な読み取り操作
      • backup: GetLegalHold
      • backup: ListLegalHolds
      • backup: ListRecoveryPointsByLegalHold
    • リーガルホールドの作成
      • backup: CreateLegalHold
    • リーガルホールドの削除と解除
      • backup: CancelLegalHold

リーガルホールドの作成

  1. AWS コンソールにログインし、AWS Backup を検索して、ドロップダウンメニューから AWS Backup を選択します。

AWS Console Search Screen with a lookup for AWS Backup Service, displaying AWS Backup Service in the result

図 1:AWS Backup サービスの検索画面

  1. AWS Backup コンソールの左側パネルにある「リーガルホールド」を選択します。

AWS Backup Screen showing Legal holds Button

図 2:AWS Backup コンソールのリーガルホールド

  1. その後、リーガルホールドのページが表示されます。続いて「リーガルホールドを追加」ボタンを選択します。

AWS Backup Screen showing Legal holds Button, the Legal holds button is highlighted and the focus is on the Add legal hold button

図 3:AWS Backup コンソールの「リーガルホールドを追加」表示画面

  1. その後、「リーガルホールドを追加」ページが表示されます。スコープ内の復旧ポイントを構成し、日付範囲を指定して復旧ポイントをフィルタできます。ホールドが適用される復旧ポイントは、特定のリソースタイプ、またはアカウント内のバックアップボールトを選択できます。さらに、各リーガルホールドに、簡単に参照できるように 1 つまたは複数のタグを追加することができます。タグを追加するには、キーと値を入力して「新しいタグを追加」をクリックします。これらの情報を入力したら、「リーガルホールドを追加」ボタンを選択して、リーガルホールドを作成します。復旧ポイントの数が多い場合はリーガルホールドの作成に時間がかかることがあり、ホールドはしばらく作成中の状態になります。削除保護は、リーガルホールドがアクティブ状態になった時点で適用されることに注意してください。作成中およびキャンセル中状態の間は、復旧ポイントが順次処理されているため、削除が実行できる可能性があります。

AWS console screen with the Add legal hold page loaded

図 4:「リーガルホールドを追加」ページ

  1. リーガルホールドが作成されると、作成されたリーガルホールドと、ホールドのスコープ内の復旧ポイントが表示されます。

AWS console screen showing the newly created Legal hold for Amazon DynamoDB resource with a red arrow highlighting the recovery point

図 5:Amazon DynamoDB リソースに作成したリーガルホールド

  1. アクティブまたは解放済み状態のリーガルホールド一覧は、「リーガルホールド」 ページで確認できます。

AWS console screen showing existing legal holds in the account and Region

図 6:アカウントとリージョンの既存のリーガルホールド

  1. バックアップボールトセクションに移動して、復旧ポイントの削除を実施すると、図 7 に示すようなエラー メッセージが表示されます。

AWS console screen showing Legal hold preventing the deletion of a recovery point

図 7:復旧ポイントの削除を保護するリーガルホールド

クリーンアップ

テスト目的でリーガルホールドを作成した場合は、復旧ポイントが無期限に保持されないようにするため、リーガルホールドを解除することを忘れないでください。

まとめ

このブログ記事では、AWS Backup でリーガルホールドを作成する方法を紹介し、保護されたリソース全体のデータ保全要件を支援しました。規制の厳しい業界にとって、ホールドが解除されるまでデータを保護できるようになったことを意味します。AWS Backup の最新機能についての簡単なウォークスルーを楽しんでいただけたでしょうか。AWS Backup とリーガルホールドの詳細については、AWS Backup のドキュメントを参照してください。

翻訳はプロフェッショナルサービス本部の葉山が担当しました。

Sushmitha Srinivasa Murthy

Sushmitha Srinivasa Murthy

Sushmitha Srinivasa Murthy は、AWS のシニアソリューションアーキテクトです。クラウドガバナンスとセキュリティに情熱を注ぐ、根っからのビルダーです。彼女は 10 年以上にわたり、規制の厳しい金融業界でセキュアでスケーラブル、かつレジリエンスのあるワークロードを構築してきた経験を持ちます。