AWS Backup 復旧ポイントの保管時暗号化を有効化する設定手順

2025.08.15

このブログシリーズ 「クラウドセキュリティ 実践集」 では、一般的なセキュリティ課題を取り上げ、「なぜ危険なのか?」 というリスクの解説から、 「どうやって直すのか?」 という具体的な修復手順(コンソール、AWS CLI、Terraformなど)まで、分かりやすく解説します。

この記事では、AWS Backup 復旧ポイントの保管時暗号化を有効化する設定手順について、リスクと対策を解説します。

ポリシーの説明

AWS Backupは、AWSサービス全体でのバックアップを一元管理するサービスです。AWS Backupで作成される復旧ポイントには、重要なデータやシステム構成情報が含まれています。これらの復旧ポイントを暗号化することで、保管中のバックアップデータを不正アクセスから保護し、データの機密性を確保します。

修復方法

前提条件と重要な考慮事項

修復を開始する前に、以下の点を理解してください:

  1. 暗号化方式の理解:
    • 独立暗号化対応サービス: S3、EFS、DynamoDB、VMware VM、CloudFormation、SAP HANA on EC2
    • ソース依存サービス: EBS、EC2 AMI、RDS、Aurora、Storage Gateway、DocumentDB、Neptune、Redshift
  2. クロスアカウント/リージョンの制限:
    • ソース依存サービスでは、AWS管理キーでのクロスアカウントコピーはサポートされません
    • カスタマー管理キーの使用が必須となります
  3. 既存の復旧ポイントへの影響:
    • 既存の非暗号化復旧ポイントを後から暗号化することはできません
    • 新規作成される復旧ポイントのみが暗号化されます

コンソールでの修復手順

AWSのコンソールを使用して、AWS Backup復旧ポイントの暗号化を有効にします。

新規暗号化バックアップボールトの作成:

  1. AWS Backupコンソールへのアクセス
    • AWSマネジメントコンソールにログイン
    • サービス検索で「AWS Backup」と入力し、サービスに移動
  2. バックアップボールトの作成
    • 左側のナビゲーションペインから「バックアップボールト」を選択
    • 「バックアップボールトを作成」をクリック
  1. 暗号化設定の構成
    • バックアップボールト名: 意味のある名前を入力(例: prod-encrypted-vault
    • 暗号化キー: 以下から選択
      • AWS管理のキー (aws/backup): シンプルな運用、追加コストなし
      • カスタマー管理のキー: より細かい制御、クロスアカウント共有可能
    • カスタマー管理キーを選択した場合:
      • 既存のKMSキーを選択、または「新しいKMSキーを作成」をクリック
      • キーポリシーにAWS Backupサービスのアクセス許可があることを確認
  2. アクセスポリシーの設定(オプション)
    • 「アクセスポリシーを追加」をクリック
    • 特定のIAMロールやユーザーのみにアクセスを制限
  3. 作成の完了
    • 設定内容を確認し、「バックアップボールトを作成」をクリック

既存のバックアッププランの更新:

  1. バックアッププランの編集
    • 「バックアッププラン」から対象プランを選択
    • 「編集」をクリック
  2. 暗号化されたボールトの選択
    • 各ルールの「バックアップボールト」セクションで、新しく作成した暗号化ボールトを選択
  3. 変更の保存
    • 「プランを保存」をクリック

参考情報

最後に

この記事では、AWS Backup 復旧ポイントの保管時暗号化を有効化する設定手順について、包括的なリスクと実践的な対策を詳しく解説しました。

重要なポイントのまとめ:

  • AWS Backupは独立暗号化ソース依存暗号化の2つの方式をサポート
  • クロスアカウント/リージョンではカスタマー管理キーが必須(ソース依存サービスの場合)
  • バックアップボールトロックとMFAデリートで削除保護を強化
  • 既存の非暗号化復旧ポイントは後から暗号化できないため、早期の対応が重要

AWS Backupの暗号化は、GDPR、HIPAA、PCI-DSSなどの規制要件を満たすための基本的なセキュリティ対策です。組織のデータ保護戦略の一環として、すべてのバックアップボールトで暗号化を有効にすることを強く推奨します。

この問題の検出は弊社が提供するSecurifyのCSPM機能で自動的に検出・管理することが可能です。

運用負荷を大幅に軽減しながら、セキュリティレベルを向上させる製品となっていますので、ぜひ興味がある方はお問い合わせください。

最後までお読みいただきありがとうございました。この記事が皆さんのバックアップセキュリティ強化の一助となれば幸いです。

この記事をシェアする

クラウドセキュリティ対策実践集一覧へ戻る

貴社の利用状況に合わせた見積もりを作成します。

見積もりを希望する
資料ダウンロード

料金プランを詳しく見る