Azureバックアップポリシーの設定手順とN2WSとの連携

投稿日: 2026年3月27日 作成者: climb

Azureバックアップポリシーの概要

Azureバックアップ ポリシーは、さまざまな Azure ワークロードに対して、バックアップの作成方法と保持期間を定義します。これらは、バックアップ管理の頻度、保持期間、その他の側面を制御し、状況に応じたデータ保護戦略を可能にします。これらのポリシーは、バックアップの作成スケジュール、保存期間、およびリカバリポイント コレクションの設定を規定します。

管理者は、組織の要件に基づいてカスタム バックアップポリシーを作成するか、Azureに組み込まれているテンプレートを使用できます。ポリシーをリソースに割り当てると、ポリシー主導のアプローチにより一貫したデータ保護が実施され、人為的ミスのリスクが低減され、災害復旧(DR)プロセスが簡素化されます。

Azureバックアップポリシーを扱う際に理解しておくべき重要な点がいくつかあります。

  • スケジュール: バックアップポリシーではバックアップの頻度を定義し、日次、週次、月次、あるいは任意の時間間隔で実行する(例: 仮想マシンの場合、4 時間ごと)などのオプションを設定できます。
  • 保持期間:ポリシーではバックアップの保持期間を指定し、日次、週次、月次、年次のバックアップオプションが利用可能です。例えば、日次バックアップは30日間、週次バックアップは12週間保持される場合があります。
  • リカバリポイントコレクション (RPC):仮想マシン向けのEnhanced Policyの場合、RPCは即時リストアのためのスナップショットを管理し、迅速なデータリストアを可能にします。
  • オンデマンドバックアップ:ユーザーはスケジュールされたバックアップに加えてオンデマンドでバックアップを作成できるため、柔軟性が高まります。
  • イミュータブルなvault:Azure Backupはイミュータブルなvaultをサポートしており、リカバリポイントが早期に削除されることを防ぎ、ランサムウェアやその他の悪意のある攻撃者からバックアップを保護します。
  • Azure Policyとの統合:Azure Policyを使用すると、仮想マシンやその他のリソースに対するバックアップポリシーの適用を含め、組織の基準を強制し、コンプライアンスを評価できます。

Azure Backupポリシーは、組織に以下のメリットを提供します:

  • データ保護:データが定期的にバックアップされ、必要な期間保持されることを保証し、ハードウェア障害、誤削除、または災害によるデータ損失から保護します。
  • コンプライアンス:業界の規制や組織の要件への準拠を可能にします。
  • コストの最適化:適切な保持期間を設定し、古いバックアップを低コストのストレージ層に移動することで、バックアップのストレージコストを最適化できます。
  • 自動化:バックアッププロセスを自動化し、手作業の負担を軽減し、一貫性を向上させます。

Azureバックアップポリシーを使用するメリット

Azureバックアップ ポリシーは、Azureリソース全体のバックアップを体系的かつ自動的に管理する方法を提供します。主なメリットの概要は以下の通りです。

データ保護

Azureバックアップポリシーにより、ワークロードが一貫したスケジュールでバックアップされるため、データの削除、ハードウェア障害、ランサムウェアによるリスクを最小限に抑えられます。きめ細かなリカバリポイントにより、特定の時点へのリストアが可能になり、仮想マシン向けのインスタントリストアなどの機能によって迅速なリカバリを実現します。不変のvaultにより、リカバリポイントの改ざんや時期尚早な削除を防ぎます。

コンプライアンス

バックアップポリシーは、GDPR、HIPAA、ISO 27001 などの規制要件を満たすために、保存期間のルールを適用します。月次および年次のリカバリポイントを長期保存することで、複数年にわたるデータ保存が可能になります。Azure Policyとの統合により、監査対応のためにリソース全体のバックアップ構成を監視および適用できます。

コストの最適化

保存期間の設定をカスタマイズして、保護とコストのバランスを調整できます。短期のバックアップは標準ストレージに保持し、長期のバックアップはアーカイブティアに移動します。管理者は、重要度の低いディスクを除外したり、重要度の低いワークロードのスケジュールを調整したりすることで、ストレージコストと運用コストを削減できます。

関連項目: Azure Backupの価格設定に関するガイドをご覧ください

自動化

バックアップ スケジュールと保存期間はリソースに自動的に適用されるため、手動による介入やエラーが削減されます。ポリシーはタグやリソースグループに基づいて新しい仮想マシンを自動的に対象に含めることができ、Azure Policyによって継続的なコンプライアンスが確保されるため、大規模なバックアップ管理が簡素化されます。

Azure Backupポリシーの主なポイント

スケジュール

Azureバックアップポリシーでは、スケジュールによってリストアポイントの作成頻度が定義されます。Azure VMの場合、標準ポリシーでは毎日および毎週のバックアップ スケジュールがサポートされていますが、Enhanced Policyでは 1 日に複数回(最大 4 時間ごと)のバックアップが可能です。

Azure VM上で実行されている SQL Server や SAP HANA などのワークロードについては、Azure Backup拡張機能を使用して、15 分ごとにバックアップをスケジュール設定できます。ファイル共有では、毎日または毎週のバックアップ スケジュールがサポートされており、管理者は各ジョブの正確な実行時刻を指定できます。タイムゾーンが考慮されるため、ワークロードの要件に合わせて調整可能です。

バックアップスケジュールは、バックアップジョブの頻度とタイミングを決定します。スケジュールは、RPOを満たすために、日次、週次、または 1 日に複数回バックアップを実行するように設定できます。

保持期間

Azureバックアップポリシーの保存期間ルールにより、各リストアポイントが保持される期間が決定されます。ポリシーでは、日次、週次、月次、および年次のバックアップの保存期間をサポートしており、組織は短期的および長期的な保存要件を満たすことができます。

たとえば、管理者は、日次のバックアップを 30 日間、週次のバックアップを 12 週間、月次のバックアップを 60 か月、年次のバックアップを 10 年間保持するようにポリシーを設定できます。保存期間の設定では、階層化されたストレージも活用できます。古いリストアポイントは、コスト削減のために、リカバリサービスvaultからAzure Archiveティアへ自動的に移動される場合があります。

リカバリポイントコレクション (RPC)

Azure 仮想マシン向けのEnhanced Policyでは、リカバリポイントコレクション (RPC) により、クラッシュ一貫性を持つスナップショットベースのバックアップが可能になります。RPCを使用すると、Azure Backup は毎回 仮想マシン のフルバックアップを実行することなく、1 日の間に複数のリカバリポイントを作成できます。

これらのスナップショットは 仮想マシン と同じストレージ アカウントに保存されるため、Azure Backup がライフサイクルを管理しながら、比較的迅速なリカバリ機能を提供します。古いスナップショットは、ポリシー設定に従って、頻度の低いフルリカバリポイントに統合されます。

オンデマンドバックアップ

スケジュールされたバックアップに加え、Azure Backupはアドホックなオンデマンドバックアップもサポートしています。管理者は、Azure ポータル、PowerShell、Azure CLI、または REST API からバックアップをトリガーできます。

オンデマンドバックアップでは、不要なリストアポイントでvaultが埋まるのを防ぐため、保持期間(例:7 日間保持、または特定の日付まで保持)を指定する必要があります。これは、パッチ適用前のスナップショットや、主要なアプリケーションのアップグレード前などのシナリオで役立ちます。

不変性vault

Azure Backup では、Recovery Services vaultで不変性を有効にすることができます。不変性が有効になっている場合、リストアポイントは、Vault へのアクセス権を持つユーザーによる偶発的または悪意のある削除を含め、あらゆる削除から保護されます。不変性のある Vaultは、WORM (Write Once, Read Many) を適用し、規制要件への準拠を確保するためにリテンションロックをサポートします。一度構成されると、管理者であっても不変性を無効にすることはできません。

Azure Policy との統合

Azure Policy を使用すると、サブスクリプションやリソースグループ全体でバックアップ ポリシーの存在と構成を強制できます。たとえば、組織は、特定のスコープ内のすべての Azure VMが、定義されたポリシーを持つ Recovery Services ボールトにバックアップされるようにするポリシーを展開できます。

「ディザスターリカバリーが構成されていない仮想マシンを監査する」などの組み込みポリシー定義は、コンプライアンスに準拠していないリソースを特定するのに役立ちます。管理者は、新しい仮想マシンがプロビジョニングされる際に、Azure Policy とバックアップポリシーの自動割り当てを組み合わせることができます。

Azure Backupの組み込みポリシーの例

Azureには、環境全体で標準化されたデータ保護対策の展開と適用を簡素化する、一連の組み込みバックアップポリシーが用意されています。これらのポリシーにより、組織はリソース タグ、Vaultの構成、およびセキュリティ要件に基づいてバックアップを管理できます。主な例を以下に記載します。

1.新しいRecovery Services Vaultへの仮想マシンバックアップの設定

    このポリシーは、特定のタグが付与された仮想マシンを対象とし、同じリソースグループ内にある新しく作成された Recovery Services Vaultに自動的にバックアップします。各グループが独自のリソース保護を担当する分散型チームに適しています。

    2.既存のVaultへの仮想マシンバックアップの設定

      このポリシーは、タグが付与されたすべての仮想マシンを、同じリージョン内の既存のVaultにバックアップすることを強制します。集中管理をサポートしており、共有運用チームがサブスクリプション全体で一貫したバックアップ手順を維持できるようにします。

      3.タグなしVMの新しいVaultへのバックアップ設定

        タグのない仮想マシンに対して、このポリシーは仮想マシンと同じリソースグループおよびロケーションに新しいVaultを展開します。これにより、個々のアプリケーションチームは、タグ付け戦略に依存することなく、バックアップ構成を制御できます。

        4.タグなし仮想マシンのバックアップを既存のVaultへ設定する

          このポリシーは、タグのない仮想マシンを既存の中央 Vault にルーティングし、サブスクリプション全体のバックアップ戦略を実現します。これは、タグの有無にかかわらず、すべての 仮想マシン が確実に保護されるよう運用チームが中心となり責任を負う場合に特に有用です。

          5.バックアップデータの暗号化に顧客管理キーを使用する

            デフォルトでは、Azureは暗号化にサービス管理キーを使用します。このポリシーでは、Azure Key Vaultに保存された顧客管理キーの使用を有効にします。これにより、暗号化に対する制御が強化され、ユーザーが管理する暗号鍵を義務付けるコンプライアンス要件への準拠を支援します。

            6.バックアップサービスにAzure Private Linkを使用する

              このポリシーを有効にすると、ネットワークと Azure Backup サービス間の安全でプライベートな接続が確立され、パブリック IP アドレスが不要になります。Azure Private Link を使用することで、データ転送経路は Microsoft のバックボーン ネットワークに限定されます。

              Recovery Services Vaultのプライベートエンドポイントを構成する

                Private Linkと同様に、このポリシーは Recovery Services Vaultのプライベートエンドポイントを構成します。これにより、バックアップデータへのアクセスが、承認されたプライベートネットワークインターフェースに限定されます。

                Enhanced Policyを使用したAzure VMのバックアップ手順

                Enhanced Policyを使用してAzure仮想マシンをバックアップするには、Azureポータルで以下の手順を実施ください。Enhanced Policyでは、バックアップ頻度の向上、ゾーンレジリエンシー、オペレーショナルティアでのスナップショットの長期保存などの機能が提供されます。

                1.Recovery Services Vaultを選択する

                  Azureポータルを開き、仮想マシンのバックアップを管理するRecovery Services Vaultを選択します。

                  2.バックアップポリシーに移動する

                    選択したVaultでBackupセクションに移動し、Backup Policiesを選択します。+Addをクリックして新しいポリシーを作成します。

                    3.ポリシーの種類を選択する

                      ポリシーの種類を選択するよう求められたら、Azure Virtual Machineを選択します。次に、Policy sub-typeEnhancedを選択し、新しいポリシー機能を有効にします。

                      4.バックアップスケジュールの設定

                        ユーザーは、仮想マシンを1時間ごと、1日ごと、または1週間ごとにバックアップするスケジュールを設定できます。1時間ごとのスケジュールでは、最小RPOは4時間となり、4時間、6時間、8時間、12時間、または24時間の間隔から選択できます。たとえば、24時間の期間中に4時間ごとにバックアップするように設定されたポリシーでは、1日あたり6つのスナップショットが作成されます。

                        5.インスタントリストア期間の設定

                          オペレーショナルティアにスナップショットを保持する期間を選択します。期間は1日から30日の範囲で設定可能です。デフォルトは7日間です。1日あたりのスナップショット数が許容される保持期間に影響することに注意してください。スナップショットの頻度が高いほど、最大保持期間は短くなります。

                          6.保存期間の設定をカスタマイズする

                            ポリシーには、日次(180日)、週次(12週間)、月次(60ヶ月)、年次(10年)のバックアップポイントに対するデフォルトの保存期間が自動的に入力されます。ユーザーは必要に応じてこれらの設定を調整できます。

                            7.ポリシーを確定して作成する

                              設定内容を確認し、CreateをクリックしてEnhanced Policyを作成します。作成後、ポリシーを仮想マシンに割り当てて、スケジュールされたバックアップを開始します。

                              詳細はMicrosoftの記事をご参照ください。

                              追加機能

                              • Enhanced Policyでは、trusted launch VMs、Premium SSD v2、Ultra SSD、およびzonal rududancy through(ZRS)によるゾーン冗長性がサポートされています。
                              • ディスクの選択的バックアップおよびリストアがサポートされています。ユーザーは重要度の低いデータディスクを除外することで、バックアップコストとリストア時間を削減できます。
                              • パブリックネットワークへのアクセスが無効化されている仮想マシンのバックアップもサポートされています。
                              • 標準ポリシーからEnhanced Policyへの移行がプレビュー版で利用可能となり、既存の保護対象仮想マシンでもこれらの機能を利用できるようになります。

                              Azure Backup ポリシーのベストプラクティス

                              Azureバックアップポリシーを最も効果的に活用するための方法をいくつか紹介します。

                              1. スケジュールに関する考慮事項

                              バックアップスケジュールを設計する際は、バックアップの頻度をワークロードの重要度に合わせて設定することが重要です。ミッションクリティカルなリソースについては、RPOを短縮するために、利用可能な最高頻度でバックアップを行うように設定してください。たとえば、Enhanced Policyでは4時間ごとのバックアップがサポートされています。

                              運用ワークロードへの影響を軽減するには、午前2時から3時などのピーク時を避けてバックアップをスケジュールします。さらに、多数の仮想マシンをバックアップする際にネットワークの混雑やパフォーマンスの問題を回避するため、個別のポリシーを作成してバックアップジョブを分散させます。たとえば、500台の仮想マシンをバックアップする場合は、5つのポリシーを作成し、それぞれに100台の仮想マシンを割り当て、数時間の間隔を空けることを検討してください。

                              同じバックアップ スケジュール、開始時刻、および保存期間の設定を共有するリソースを 1つのポリシーにグループ化することで、一貫性を維持し、構成の複雑さを軽減できます。

                              1. 保存期間に関する考慮事項

                              バックアップの保持期間は、短期 (日次バックアップ) と長期 (週次、月次、年次のバックアップ) の 2 つのカテゴリに分類されます。コンプライアンスや規制上の要件により、データを長期間保存する必要があることが事前にわかっている場合は、長期保存を使用してください。Azure Backupでは、ストレージコストを最適化するために、長期のリカバリポイントをアーカイブ ティアに保存できます。

                              オンデマンドバックアップには、ポリシーとは独立した独自の保持期間設定を適用できます。これは、重要な更新プログラムを適用する前など、定期的なスケジュール以外でバックアップが必要な場合に役立ちます。なお、ポリシーで定義された保存ルールは、これらのアドホックなバックアップには適用されません。

                              1. バックアップ ポリシーの最適化

                              バックアップポリシーは、変化するビジネス要件に合わせて定期的に見直す必要があります。保持期間を延長した場合、既存のリストアポイントは新しいルールに基づいて保持されます。保持期間を短縮した場合、古いリストアポイントは次のクリーンアップサイクルで削除対象としてマークされます。

                              リソースを廃止する際は、バックアップデータを保持したまま保護を停止することを検討してください。これにより、将来的な操作のために既存のリストアポイントが保持されます。あるいは、保護を停止してバックアップデータを削除すると、すべてのリストアポイントが削除され、リストア機能が無効になります。

                              ポリシーは特定のVaultに適用され、各ポリシーには対象アイテム数(例:100台のVM)に上限がある点に注意してください。保護範囲を拡大するには、複数のポリシーを使用します。なお、スケジュールされたバックアップを完全に無効化することはできず、サポートされる最小スケジュールは週1回のバックアップです。

                              1. セキュリティに関する考慮事項

                              Azure Backupのセキュリティには、ID管理、暗号化、および偶発的または悪意のある削除からの保護が含まれます。

                              Azureのロールベースのアクセス制御(RBAC)を使用して、最小権限のアクセスを実装してください。Backup Contributor、Operator、Readerなどの組み込みロールを割り当て、職務を分離し、ユーザーの責任に基づいて権限を制限します。たとえば、監視担当者はバックアップデータを変更または削除する権限を持つべきではありません。

                              バックアップデータは、転送中および保存中の両方で暗号化されます。AzureではデフォルトでMicrosoft管理のキーが使用されますが、より厳格な暗号化要件を持つ組織向けに、顧客管理のキーもサポートされています。

                              ソフト削除はデフォルトで有効になっており、削除されたバックアップデータを追加で14日間無償で保持するため、誤削除や悪意のある削除から保護します。この機能の改ざんを防ぐには、マルチユーザー認証 (MUA) を有効にしてください。これにより、ソフト削除の無効化などの重要な操作を実行する前に、セキュリティ管理者の承認が必要となります。

                              1. ガバナンスに関する考慮事項

                              Azure Policyを使用してガバナンスを適用し、大規模なバックアップの適用範囲とコンプライアンスを確保できます。管理者は、リソースタグやグループに基づいて新しい仮想マシンのバックアップを自動的に有効化でき、保護されていないリソースが残らないようにできます。

                              組み込みのポリシーを使用して、組織の所有権モデル(一元管理またはアプリケーションチームへの委任)に基づいてバックアップを自動的に有効化します。コンプライアンスの追跡には、バックアップが構成されていないリソースを検出する監査専用ポリシーを実装します。

                              監視ポリシーでは、すべてのVaultの診断設定を構成してログをLog Analyticsに送信することもでき、大規模な可視性とコンプライアンス追跡をサポートします。これらのガバナンスツールは、一貫した保護を確保し、Azure環境全体での規制および運用基準の遵守を支援します。

                              N2WSを使用したAzure Backupの自動化

                              Azure Backupポリシーは保存期間ルールの適用を支援しますが、N2WSは単一のコンソールからクロスクラウドの自動化、コスト最適化、そしてより迅速なリカバリを実現することができます。

                              • 自動化されたライフサイクルポリシー:仮想マシンごとの保存期間ルールに基づき、バックアップデータをAzure Blob、AWS S3、またはWasabiにアーカイブします。スクリプトは不要です。
                              • 統合管理:Azure、AWS、Wasabiにわたるバックアップを1つのダッシュボードで管理できます。切り替えや重複作業は不要です。
                              • 迅速なリカバリ:複数世代のリストアポイントとエージェントレス SQLバックアップにより、VM 全体または特定のファイルを数秒でリストアできます。
                              • クロスクラウド DR:リージョンやプラットフォーム間でバックアップをコピーし、エアギャップ保護を実現します。コンプライアンスやランサムウェア対策に最適です。
                              • 長期バックアップコストの大幅削減(80%以上):高額で予測不可能なライセンス料を排除し、より安価な階層型Azure Blobストレージをバックアップに活用することで、コストの大幅削減を実現します。

                              N2WSに関してご不明点等ございましたら、ぜひ弊社クライムまでお問い合わせください。

                              関連トピックス

                              コメントを残す

                              メールアドレスが公開されることはありません。 が付いている欄は必須項目です

                               

                              このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください