バックアップは、何か問題が発生した際に役立つものです。しかし、復旧が必要になった時点でバックアップデータがまだ利用可能でなければ、その役割を果たすことはできません。まさにそのため、不変性バックアップ保護を実現する「Object Lock」が重要となるのです。
MSP360 Backupにおいて、「Object Lock」(不変性とも呼ばれます)は、クラウドストレージ内のバックアップデータを、設定された期間中、変更や削除から保護します。簡単に言えば、最も重要なバックアップデータがそのままの状態で維持され、意図しない改変から確実に守られるようにする機能です。
MSP360 Backup 8.6のリリースに伴い、Amazon S3、Wasabi、およびその他のS3互換ストレージサービスなど、各種クラウドストレージサービスに対するObject Lockのサポートを大幅に刷新・拡張しました。
目次
オブジェクトロックとMSP360 Backup 8.6の新機能
今回のリリースでは、不変データ保護のためのオブジェクトロックが、より幅広いバックアップタイプおよび保存先に対応しました。以前は、新しいバックアップ形式のファイルおよびイメージベースのバックアッププランでのみサポートされていましたが、現在は以下にも拡張されています。保存先の対応範囲も大幅に拡大し、WasabiおよびAmazon S3を利用したMSP360ストレージ、MinIOやIDrive E2などObject LockをサポートするS3互換ストレージに加え、AzureおよびGoogleのストレージサービスも自動設定に対応しました。
・FFI(Forever Forward Incremental)バックアップ
・SQL Server バックアップ
・レガシー バックアップ形式
これらすべてに共通する 2 つの実装ルールがあります:Azure および Google Cloud ストレージでは、MSP360 管理コンソール経由での Object Lock 設定は利用できません。代わりに、ストレージ アカウントで Object Lock の保持期間を手動で設定し、その後、MSP360 管理コンソールのストレージ設定で Object Lock の保持期間を指定する必要があります。
・Object Lockはバケット作成時にのみ有効化できます。
・デフォルトのObject Lock期間は、バケットでObject Lockがすでに有効になっている場合にのみ変更できます。
AzureおよびGoogle Cloudストレージでは、MSP360管理コンソール経由でのObject Lock設定は利用できません。代わりに、ストレージアカウントでObject Lockの保持期間を手動で設定し、その後、MSP360管理コンソールのストレージ設定でObject Lockの保持期間を指定する必要があります。
提供状況
Windows向けの「MSP360 Backup 」のスタンドアロン製品および「Climb Cloud Backup」で利用可能です。
Object Lockとは
Object Lockは、ストレージ内のバックアップデータに時間ベースのロックをかけます。バックアップがそのロックの対象となっている場合、ロック期間が終了するまで、そのデータを変更または削除することはできません。その基盤となる仕組みはWORM(Write Once, Read Many)であり、ロックが有効な間は、バックアップデータの読み取りや復元はいつでも可能ですが、変更や削除は行えないことを意味します。
ただし、すべてのバックアップが自動的に変更不可になるわけではありません。MSP360 Backupでは、各ストレージ先ごとにObject Lockと保存期間の設定を行う必要があります。具体的な要件は、使用しているバックアップフローによって異なります。
オブジェクトロックが重要な理由
バックアップの作成は作業の半分に過ぎません。オブジェクトロックは、バックアップ作成後にデータを保護し、復旧が必要な際に、バックアップデータが信頼性が高く、利用可能な状態であることを保証します。 バックアップデータは、さまざまな要因によって失われる可能性があります。
ランサムウェア
ランサムウェアの攻撃は、必ずしも本番システムだけで終わるわけではありません。バックアップデータも標的となる可能性があります。不変性(イミュタビリティ)は、ランサムウェア、無断アクセス、人的ミスに対する強力な保護層となります。ロック期間中に保護されたバックアップデータが変更または削除されない限り、復旧用に確実に無傷のコピーが常に確保されます。
誤削除
破壊的な事象のすべてが悪意によるものとは限りません。過度に厳格なポリシー、誤ったデータの削除、予期せぬストレージ側の変更など、あらゆる要因がバックアップデータを危険にさらす可能性があります。Object Lockは、選択されたバックアップデータを設定された期間保護し続けることで、そのリスクを軽減します。
保存期間、法的要件、コンプライアンス要件
ポリシー、法的要件、または規制により、一部のバックアップデータは特定の期間、完全な状態で保持する必要があります。Object Lockはこうしたケースに最適であり、より厳格な適用が求められる環境向けに、さまざまな保存モード(厳格なコンプライアンスモードを含む)をサポートしています。
MSP360 BackupにおけるObject Lockの保持設定
MSP360 BackupのObject Lockは、「デフォルトのObject Lock(ストレージレベル)」と「GFSバックアップ用のObject Lock(バックアッププランレベル)」の2つのモードで設定できます。それぞれの動作は、バックアップ構成によって異なります。
1.デフォルトのオブジェクトロック期間(ストレージレベル)
新しいバケットが作成されると、デフォルトのオブジェクトロックはストレージ先レベルで設定されます。新しいバケットでは、まずこの機能を有効にし、次にデフォルトのオブジェクトロック期間を指定する必要があります。ストレージ先が作成された後、それを使用するすべてのバックアッププランでは、バックアッププランレベルで設定できるデフォルトの保存期間を、デフォルトのオブジェクトロック期間と同等かそれ以上の期間に限定します。これはプラン設定における最小値として機能します。
注: Microsoft 365 および Google Workspace のバックアップにおいて、Object Lock はユーザーまたはドメインごとに割り当てられた保存ポリシーと連携して機能します。ストレージで Object Lock が有効化されており、保存ポリシーが割り当てられている場合、バックアップは保存期間中ロックされます。保存ポリシーが割り当てられていない場合、バックアップ先ストレージで Object Lock が有効化されていても、バックアップはロックされません。
2. GFSバックアップ用のObject Lock(バックアッププランレベル)
MSP360 Backupで利用可能なもう1つのオプションは、GFSバックアップの保存期間設定に従って保存されたバックアップデータに対するObject Lockです。これは、新しいバックアップ形式におけるファイルレベル、イメージベース、およびその他のプランタイプで機能します。
このモードでは、各オブジェクトに、指定された GFS 保存期間に基づいて個別の保存期間が割り当てられます。このモードは、「デフォルトのオブジェクトロック保存期間」と組み合わせて、または単独で使用できます。
GFS バックアップのオブジェクトロックを設定するには、ストレージ保存先設定で「GFS バックアップのオブジェクトロックを許可する」チェックボックスを必ずオンにしてください。
バックアッププランレベルで、GFS バックアップの保存設定を指定します。
これにより、すべてのGFSバックアップは個別のObject Lock期間に従ってストレージ上でロックされ、その期間が満了するまで削除または変更できなくなります。これら2つのモードは併用可能です。プランレベルで、デフォルトの保持期間に従ってすべてのバックアップデータをロックするデフォルトのObject Lock期間を指定でき、さらにすべてのGFSバックアップには、GFSの保持設定に従って個別のObject Lock期間が割り当てられます。
3. デフォルトのオブジェクトロック + GFS
これら2つのモードは併用可能です。プランレベルでデフォルトの保存期間に基づいてすべてのバックアップデータをロックするデフォルトのオブジェクトロック期間を指定すると、すべてのGFSバックアップには、GFSの保存設定に基づいて個別のオブジェクトロック期間が追加で割り当てられます。
利用可能なオブジェクトロックモード
ガバナンスモード
これはデフォルトのモードです。ガバナンスモードでは、保護されたバックアップデータは、管理コンソールやバックアップエージェントを通じて上書き、削除、またはロック設定の変更を行うことができません。ただし、クラウドストレージプロバイダーのツールを使用すれば、これらのオブジェクトを削除することは可能です。ガバナンスモードは、強力な保護と運用上の柔軟性との実用的なバランスをとったものです。MSP360のツールによる誤った変更や不正な操作からバックアップを保護しつつ、必要に応じてプロバイダー側のツールによる削除を可能にします。
コンプライアンスモード
コンプライアンスモードは、より厳格なオプションです。保護されたオブジェクトは、保存期間が終了するまで、ストレージプロバイダーアカウントのrootユーザーを含むいかなるユーザーによっても上書きまたは削除することはできません。保存モードを変更することはできず、保存期間を短縮することもできません。緊急時の回避策は存在しません。期間が満了する前に不変データを削除する唯一の方法は、ストレージアカウントを完全に終了させることです。
お客様の環境でコンプライアンスモードが必要な場合は、MSP360サポートチームにお問い合わせください。制限が厳格であるため、有効化する前に慎重な計画が不可欠です。
リーガルホールド
Object Lockはリーガルホールドもサポートしており、管理者は固定の期限に基づく失効に依存することなく、バックアップデータをロックしたまま保持できます。リーガルホールドは、ホールドが明示的に解除されるまでデータの削除を防止します。これは、必要な保持期間がまだ不明である場合や変更される可能性がある場合に役立ちます。
重要な要件と条件
新規バケットのみ
Object Lockはバケット作成時にのみ有効化できます。既存のバケットに対して事後的に有効化することはできません。Backblaze B2の場合、既存のバケットを使用できるのは、そのバケットが最初に作成された時点でObject Lockがすでに有効化されていた場合に限られます。
バージョン管理が必要
Object Lockが有効化されたバケットでは、バージョン管理も有効化されている必要があります。AWS S3およびWasabiの場合、MSP360経由でObject Lockを有効にすると、バージョン管理も自動的に有効になります。
権限が重要(S3互換ストレージ)
S3宛先の場合、ストレージ接続にはGetBucketObjectLockConfigurationを含む必要な権限が必要です。また、Object Lockはバックアップエージェントまたは管理コンソール経由で有効にする必要があります。ストレージプロバイダー独自のコンソール経由での有効化はサポートされていません。S3互換の保存先については、S3互換チェッカーを使用して、対象のストレージがObject Lockをサポートしているかを確認してください。
保存期間の設定を慎重に計画する
バックアップデータが不変化されると、保存期間が満了する前にデータを削除する唯一の方法は、ストレージアカウントを完全に削除することです。このため、特にコンプライアンスモードでは、保存期間の計画が極めて重要になります。設定を誤ると、不変化されたデータは依然として必要かどうかに関わらずストレージを占有し続けるため、ストレージコストが大幅に増加する可能性があります。
不変バックアップ保護における Object Lock に関する最終的な考察
バックアップが答えるのは、「復元するためのデータのコピーは存在するか」という一つの問いです。一方、Object Lock が答えるのは、より難しい問い、「復旧の時が来た際、そのコピーは変更されることなく、依然として存在しているか」というものです。
その保証が重要な環境(ランサムウェアへの耐性、コンプライアンス、あるいは単に信頼性の高い復旧のためであれ)において、Object Lock はバックアップを「約束」から「確実性」へと変えるものです。
関連トピックス
- WasabiがHot Cloud Storage with Object Lockをリリース、Veeamでバックアップの不変性(Immutability )を実現
- N2WS Backup &Recovery Ver4.1 新機能紹介ビデオ集
- Immutable(書き換え不能)レポジトリーバックアップによるランサムウェア対策
- Veeam Backup for Microsoft Office 365でMicrosoft365のバックアップにWasabiを活用
- Zerto 9.0: LTR(Long-Term Retention)のAmazon S3との新たな強化
- ExaGrid Ver7のリリース:「ダブルロック」セキュリティのためのS3オブジェクトロックのサポートを含む最新アップデート
- Veeamでできる4つのランサムウェア対策(堅牢化バックアップ)
- 【Veeam+Wasabi】Wasabiへ不変性を備えたバックアップを取得する方法
- Amazon S3オブジェクトロックとは?
- イミュータブル(Immutable)を使用してAWSをランサムウェアから保護する2つの方法:N2WS
RSSフィードを取得する
