Azure Blob Storage 論理削除設定について

2025.11.13

このブログシリーズ「クラウドセキュリティ実践集」では、一般的なセキュリティ課題を取り上げ、「なぜ危険なのか？」というリスクの解説から、「どうやって直すのか？」という具体的な修復手順（コンソール、Azure CLI、Terraformなど）まで、分かりやすく解説します。

この記事では、Blobサービスで論理削除（ソフトデリート）が無効となっている問題について、リスクと対策を解説します。Azure Blob Storageのデータ保護機能と復元手順について詳しく説明します。

ポリシーの説明

Azure Blob Storageの論理削除（ソフトデリート）は、個々のBlob、スナップショット、またはバージョンを誤削除や上書きから保護するデータ保護機能です。この機能を有効にすると、削除されたデータは指定された保持期間（1〜365日）の間、システム内に保持され、必要に応じて復元することができます。なお、2024年1月以降に作成された新規ストレージアカウントでは、7日間の論理削除がデフォルトで有効化されていますが、既存のアカウントでは手動での有効化が必要です。

論理削除が有効な状態でBlobが削除されると、データは完全に削除されるのではなく「論理削除済み」状態に移行します。また、Blobが上書きされた場合は、以前の状態を保持する論理削除済みスナップショットが自動的に作成されます。これにより、人為的ミスやアプリケーションエラー、さらには悪意のある削除からデータを保護できます。

重要な考慮事項：

論理削除はストレージコストを増加させます（削除済みデータも課金対象）
保持期間は要件とコストのバランスを考慮して決定する必要があります
バージョン管理と併用することで、より強固なデータ保護が実現できます

修復方法

コンソールでの修復手順

Azure コンソールを使用して、Blob Storageの論理削除を有効にします。

Azure Portalへのログイン
- Azure Portal (https://portal.azure.com) にログインします
- 対象のStorage Accountを検索して選択します
データ保護設定への移動
- Storage Accountの左側メニューから「データ管理」セクションを探します
- 「データ保護」をクリックします
Blob論理削除の有効化
- 「復旧」セクションで「BLOB の論理的な削除を有効にする」のチェックボックスをオンにします
- 保持期間を設定します：
  - 開発環境：7日（最小推奨）
  - 本番環境：30日（標準推奨）
  - 規制対象データ：90日以上（コンプライアンス要件に応じて）
- 「完全削除を許可する」オプションの検討：
  - 有効にする場合：手動でのデータクリーンアップが可能
  - 無効にする場合：保持期間満了まで削除不可（より安全）
コンテナー論理削除の有効化（推奨）
- 同じ「復旧」セクションで「コンテナーの論理的な削除を有効にする」もチェックします
- コンテナーレベルでの保護も追加されます
- 保持期間を設定します（Blob論理削除と同じ期間を推奨）
バージョン管理の有効化（強く推奨）
- 「データ管理」セクションで「BLOB のバージョン管理を有効にする」をチェックします
- これにより、上書き時にもデータが保護されます
変更の保存
- すべての設定を確認後、「保存」ボタンをクリックします
- 設定は即座に有効になります
設定の確認
- 保存後、設定が正しく適用されていることを確認します
- テスト用のBlobを作成し、削除して復元できることを確認します
論理削除されたアイテムの表示と復元
- Storage Accountのコンテナーに移動します
- 「削除された BLOB を表示」トグルをオンにします
- 論理削除されたアイテムが「削除済み」ステータスで表示されます
- 復元したいBlobを右クリックし、「削除の取り消し」を選択します