tsumiki-media logo

tsumiki-media

AWS設定比較2025/8/19
約6分
上級
7/10
AWSSCSC02設定比較S3

[AWS資格] S3 Object Lock Compliance Mode vs Governance Mode

AWS S3 Object LockのCompliance ModeとGovernance Modeの違いを理解し、資格取得に重要な違いと適切な選択基準を把握する。実践的な問題を通じて使い分けのポイントを解説します。

この記事のポイント

  • 1
    S3 Object LockのCompliance ModeとGovernance Modeの決定的な違いを理解する
  • 2
    資格取得に重要な違いと適切な選択基準を把握する
  • 3
    実装時の重要な考慮事項と制限事項を実践問題で確認する

目次

S3 Object Lock とは

S3 Object Lockは、Write Once Read Many (WORM) モデル使用してオブジェクトを保護する機能です。これにより、指定された期間中のオブジェクトの削除や書きを防止し、規制要件やコンプライアンス要件を満たすことができます。

Object Lockには2つの保護モード(Compliance ModeとGovernance Mode)があり、それぞれ異なる保護レベルと使用シナリオがあります。資格試験では、これらの違いと適切な選択基準の理解が重要です。

資格試験での重要トピック

S3 Object Lockに関連した資格試験で重要なトピックを解説します。

Compliance Mode vs Governance Mode の決定的な違い

Compliance ModeとGovernance Modeの最も重要な違いは、保護の絶対性あります。この比較表は、両モードの特性と使用シナリオの違いを示しています。

コンプライアンスモード

保護レベル
最も厳格
削除権限
ルートユーザーも不可
保護期間の変更
短縮不可
規制要件対応
SEC Rule 17a-4対応
運用の柔軟性
低い
適用場面
厳格な規制業界

ガバナンスモード

保護レベル
柔軟性あり
削除権限
特権ユーザーは可能
保護期間の変更
短縮可能
規制要件対応
一般的なガバナンス
運用の柔軟性
高い
適用場面
一般的な企業

上記の比較表に示すように、Compliance Mode最も厳格な保護提供します。このモードでは、ルートユーザーを含むすべてのユーザー保護期間中のオブジェクトを削除・変更できません。保護期間の短縮も不可能で、SEC Rule 17a-4などの厳格な規制要件に対応します。一度設定すると、保護期間が終了するまで例外なく保護が継続されます。

一方、Governance Mode柔軟性のある保護提供します。s3:BypassGovernanceRetention権限を持つユーザーは、必要に応じて保護をバイパスできます。また、適切な権限があれば保護期間の変更も可能です。これにより、内部ポリシーの実施テスト環境での検証など、ある程度の柔軟性が必要なシナリオに適しています。

比較表で確認できるように、両モードともバージョニングが必須で、既存オブジェクトには適用不可いう共通の制約があります。また、暗号化との併用可能で、データ保護を多層的に実装できます。選択の基準は、規制要件の厳格さ運用上の柔軟性の必要性バランスによって決まります。

規制要件別の実装パターン

業界や地域によって異なる規制要件に対して、適切なObject Lock設定を実装する必要があります。この図は主要な規制と推奨される設定を示しています。

規制要件別のObject Lock実装パターン

規制要件別のObject Lock実装パターン

図の上部に示す金融業界(SEC Rule 17a-4、MiFID II)では、Compliance Mode使用が必須です。取引記録は7年間監査ログは5年間保持が求められ、一度記録されたデータの改ざんは絶対に許されません。S3のCompliance Modeは、これらの要件を技術的に保証します。

医療業界(HIPAA)では、患者記録に6年間保持期間が設定されますが、法的要請や患者の要求よる変更の可能性があるため、Governance Mode推奨されます。適切なアクセス制御と監査ログの組み合わせで、柔軟性とセキュリティを両立させます。

一般データ保護(GDPR、内部ポリシー)では、要件に応じて両モードを使い分けます。GDPRの忘れられる権利対応するため、個人データにはGovernance Mode使用し、必要に応じて削除可能にします。一方、契約書や法的文書にはCompliance Mode適用し、改ざんを防止します。

図の下部に示すように、すべてのパターンでCloudTrailによる監査証跡IAMによるアクセス制御基盤となります。これにより、誰がいつどのような操作を行ったかを完全に追跡できます。

実践問題で確認

ここまで学んだ3つの核心パターンを、実践的な問題で確認しましょう。各問題は実際の企業シナリオに基づいており、適切な保護モードの選択能力を評価します。

AWS認定セキュリティ - 専門知識

練習問題

ある医療機関は、患者の医療記録を含む重要なデータを保護するための戦略を改善する必要があります。このデータはAmazon S3バケットに保存されており、規制要件により5年間の保持期間が義務付けられています。 最近、人間のミスにより重要なデータが誤って削除される事故が発生しました。また、セキュリティ評価により、特権を持つ管理者アカウントが侵害された場合にデータが永続的に削除されるリスクが特定されました。 この医療機関は、次の要件を満たすソリューションを実装する必要があります: - プライマリリージョンからセカンダリリージョンへのデータレプリケーション - 管理者権限を持つユーザーでも、規制で定められた保持期間中はデータを永続的に削除できないようにする - セカンダリリージョンでのデータ保護により、プライマリリージョンでの障害やセキュリティインシデントからの復旧を可能にする これらの要件を満たすソリューションはどれですか?

AWS認定セキュリティ - 専門知識

練習問題

医療機器メーカーは、製品の設計ファイル、テストデータ、および品質管理記録を含む重要な製品ライフサイクルドキュメントを保管しています。規制要件に基づいて、これらのファイルは製品の最終生産停止後も10年間保持する必要があり、その期間中は改ざんから保護されなければなりません。 企業のセキュリティチームは、以下の要件を満たすデータ整合性保護ソリューションを設計する必要があります: 1. すべてのドキュメントは、指定された保持期間中は変更や削除ができないようにする 2. 保持期間中は権限を持つ管理者でも文書を変更できないようにする 3. 必要に応じて特定の文書の保持期間を延長できる 4. データアクセスの監査証跡を維持する 5. 長期保存に対してコスト効率の良いソリューションを提供する これらの要件を満たす最適なアプローチはどれですか?

AWS認定セキュリティ - 専門知識

練習問題

ある製薬会社は法規制により、医薬品研究データを10年間保持する必要があります。データは保持期間中は一切変更されず、期間満了まで削除できないことが法的に義務付けられています。 データは最初の6か月間は頻繁にアクセスされますが、その後はほとんどアクセスされません。 これらの要件を満たすコスト効率の高いソリューションはどれですか?

まとめ

S3 Object Lockは、コンプライアンス要件とデータ保護要件満たすための強力な機能です。Compliance ModeとGovernance Modeの適切な選択、Legal Holdとの組み合わせにより、様々な規制要件に対応できます。

ルートユーザーを含むすべてのユーザーが保護期間中のオブジェクトを削除・変更不可。SEC Rule 17a-4などの厳格な金融規制に対応。一度設定すると保護期間の短縮も不可能で、規制要件の技術的保証を提供します。

s3:BypassGovernanceRetention権限により必要に応じて保護をバイパス可能。HIPAAやGDPRなど、削除要求への対応が必要な規制に適合。内部ポリシーの実施やテスト環境での使用にも最適です。

これらの機能を適切に組み合わせることで、規制要件を満たしつつ、運用の柔軟性も確保できる包括的なデータ保護戦略を実装できます。

理解度チェック

Compliance Modeではルートユーザーでも削除不可、Governance Modeでは適切な権限で保護をバイパス可能という決定的な違いを説明できるか?

SEC Rule 17a-4(Compliance Mode必須)、HIPAA(Governance Mode推奨)、GDPR(要件により使い分け)など、規制別の適切なモード選択を説明できるか?

他の問題も解いてみませんか?

tsumikiでは、AWS認定試験の合格に必要な知識を体系的に学習できます。実践的な問題を通じて、AWSスキルを身につけましょう。

tsumikiで学習する