tsumiki-media logo

tsumiki-media

Command Palette

Search for a command to run...

AWSベストプラクティス
約19分
専門
9/10
2025年7月19日

AWS SCS-C02 対策 AWS Backupボールトロック

AWS Backupボールトロックによる不変性保護の仕組みを解説。コンプライアンスモードとガバナンスモードの違い、規制要件への対応方法、一元的なバックアップ管理の実装を実践問題で完全攻略。

この記事のポイント

  • 1
    AWS Backupボールトロックの2つのモード(コンプライアンス・ガバナンス)の違いを理解する
  • 2
    WORM(Write Once Read Many)モデルによる不変性保護の仕組みを把握する
  • 3
    規制要件や法的保持期間への対応方法を習得する

目次

AWS Backupボールトロックの基本

AWS Backupボールトロックは、バックアップデータの不変性を保証するセキュリティ機能です。一度設定されると、指定した保持期間中はバックアップの削除や変更を完全に防止し、規制要件や法的義務への対応を可能にします。

WORM(Write Once Read Many)モデル

ボールトロックの核心はWORMモデルの実装にあります。このモデルでは、データは一度書き込まれると変更不可能となり、読み取り専用となります。AWS資格学習では、この特性が規制要件や法的保持期間の文脈で重要な学習ポイントとなります。

WORMモデルによるデータ保護の流れ

WORMモデルによるデータ保護の流れ

2つの保護モード:コンプライアンス vs ガバナンス

AWS Backupボールトロックには2つのモードがあり、それぞれ異なるレベルの保護を提供します。AWS資格学習では、要件に応じて適切なモードを選択する判断力が重要です。

コンプライアンスモード

保護レベル
完全保護(ルートユーザーも削除不可)
削除権限
猶予期間中のみ削除可能(期間後は誰も削除不可)
適用場面
規制要件・法的保持期間
保持期間変更
延長のみ可能

ガバナンスモード

保護レベル
柔軟な保護(特権ユーザーによる削除可能)
削除権限
特別権限(backup:DeleteBackupVaultLockConfiguration)で削除可能
適用場面
通常の運用・テスト環境
保持期間変更
延長・短縮両方可能

要件に「管理者でも削除できない」規制要件」「法的保持期間」などのキーワードがある場合はコンプライアンスモードを選択します。一方、「通常の運用」「柔軟性が必要」といった文言があればガバナンスモードが適切です。

ボールトロック vs 他の保護方法

AWS資格学習では、ボールトロックと他のデータ保護方法との使い分けの理解が重要です。それぞれの特徴と適用場面を正確に把握することが必要です。

S3 Object Lock との使い分け

S3 Object LockAWS Backup Vault Lockは、どちらも不変性を提供しますが、適用対象と機能が異なります。要件を正確に理解して適切なソリューションを選択する必要があります。

AWS Backup Vault Lock

保護対象
バックアップデータ(EC2、RDS、DynamoDB等)
管理方式
一元的なバックアップ管理
対応サービス
AWS Backup対応全サービス
スケジューリング
自動バックアップスケジューリング
クロスリージョン
統合されたクロスリージョンコピー
適用判断基準
「一元管理」「複数サービス」「バックアップ」

S3 Object Lock

保護対象
S3オブジェクト
管理方式
S3バケット単位での管理
対応サービス
S3のみ
スケジューリング
オブジェクトレベルでの個別設定
クロスリージョン
S3レプリケーション併用が必要
適用判断基準
「S3データ」「ファイル保護」

IAMポリシーによる制限の限界

IAMポリシーによる削除制限では、管理者権限を持つユーザーによるポリシー変更権限昇格により保護が破られる可能性があります。ボールトロックは、こうした権限に依存しない真の不変性を提供します。

IAMポリシーの限界

管理者権限でポリシー変更可能、権限昇格による回避リスク、設定ミスによる意図しない削除

ボールトロックの優位性

権限に依存しない保護、設定後は変更不可能、真の不変性保証

実装シナリオ別の選択基準

AWS資格学習では、業界や用途に応じたボールトロックの適用パターンの理解が重要です。各シナリオの特徴と選択基準を把握しましょう。

規制遵守・コンプライアンス要件

金融業界(SOX法、PCI DSS)、医療業界(HIPAA)、製造業(品質管理記録)などでは、法定保持期間中のデータ不変性が必須です。要件に「規制要件」や「○年間保持」があればボールトロックが有力候補となります。

フォレンジック証拠保全

セキュリティインシデント対応では、証拠の改ざん防止が重要です。フォレンジック調査用のデータは、法的証拠能力を維持するため、完全な不変性保護が必要となります。

一元的なバックアップ管理

複数のAWSサービス(EC2、RDS、DynamoDB、Aurora等)にまたがるバックアップを統一的に管理したい場合、AWS Backupとボールトロックの組み合わせが最適です。「一元管理」「複数サービス」がキーワードです。

実践問題で確認

ここまで学んだ理論を、実践問題で確認しましょう。各問題は異なる業界・要件でのボールトロック実装を扱っています。

AWS認定セキュリティ - 専門知識

練習問題

大手金融機関は、異なるAWSサービスにわたる複数のリソースのバックアップ管理を一元化する必要があります。対象リソースには、RDSデータベース、EBSボリューム、DynamoDBテーブル、およびAurora DBクラスターが含まれます。 コンプライアンス要件では、以下の基準を満たす必要があります: • 毎日午後11時にフルバックアップを取得 • 4時間ごとに増分バックアップを取得 • ローカルリージョンに35日間バックアップを保持 • クロスリージョンバックアップを別のリージョンに90日間保持 • バックアップの不正削除を防止するためのガードレール セキュリティエンジニアは、これらの要件を最小限の運用オーバーヘッドで満たすソリューションを設計する必要があります。 どの組み合わせが要件を満たしますか?(2つ選択)

AWS認定セキュリティ - 専門知識

練習問題

ある医療機関は、患者の臨床データを管理するアプリケーションを AWS クラウドで運用しています。このアプリケーションは以下の AWS サービスを利用しています: - Amazon RDS for PostgreSQL(患者の診断情報用) - Amazon DynamoDB(患者のリアルタイムモニタリングデータ用) - Amazon EFS(医療画像保存用) - Amazon EBS ボリューム(アプリケーションサーバー用) 医療業界の規制要件に準拠するため、セキュリティエンジニアは以下の要件を満たすバックアップ戦略を実装する必要があります: - 日次バックアップを午前2時に自動実行し、90日間保持する - 月次バックアップを毎月1日の午前3時に実行し、1年間保持する - 年次バックアップを毎年1月1日の午前4時に実行し、7年間保持する - すべてのバックアップはバックアップ期間中に変更不可能である必要がある - バックアップの管理は一元化され、監査可能である必要がある これらの要件を最も効率的かつセキュアに満たすための方法を2つ選んでください。

AWS認定セキュリティ - 専門知識

練習問題

ある金融サービス企業がセキュリティインシデントに巻き込まれた可能性があり、フォレンジック調査を実施する必要があります。調査チームはEC2インスタンスに残されたすべての証拠とログファイルを収集し、法的要件に準拠した形で保存することを求められています。保存される証拠は、少なくとも5年間は改ざんされないように保護され、監査証跡を維持する必要があります。 フォレンジックアーティファクトを適切に保護・保存するための最適なソリューションは何ですか?

まとめ

AWS Backupボールトロックは、WORM(Write Once Read Many)モデルにより、バックアップデータの不変性を保証する強力なセキュリティ機能です。

コンプライアンスモードは管理者でも削除不可能な完全保護を提供し、規制要件や法的保持期間に最適。ガバナンスモードは特権ユーザーによる柔軟な管理を可能にし、通常運用に適している。問題文の「管理者でも削除不可」「規制要件」がキーワード。

AWS Backup Vault Lockは複数サービスの一元バックアップ管理に特化。S3 Object LockはS3オブジェクトの直接保護向け。IAMポリシーは管理者権限による変更リスクがあり、真の不変性を提供できない。「一元管理」「複数サービス」がボールトロック選択の判断基準。

規制遵守(金融・医療・製造業での長期保持要件)、フォレンジック証拠保全法的証拠能力維持)、一元的バックアップ管理(複数AWSサービス統合)の3つが主要場面。業界特有の保持期間要件と不変性ニーズに対応。

これらのポイントを押さえることで、AWS資格学習でボールトロック関連の理解を深めることができます。特に要件のキーワードから適切なモードと実装方法を素早く判断することが重要です。

理解度チェック

コンプライアンスモードとガバナンスモードの違いと選択基準を説明できるか?

WORMモデルによる不変性保護の仕組みを理解しているか?

S3 Object LockやIAMポリシーとの使い分けができるか?

規制要件・フォレンジック・一元管理の各シナリオで適切なソリューションを選択できるか?

他の問題も解いてみませんか?

tsumikiでは、AWS認定試験の合格に必要な知識を体系的に学習できます。実践的な問題を通じて、AWSスキルを身につけましょう。

tsumikiで学習する