Azureファイル共有の論理的な削除の設定について
このブログシリーズ 「クラウドセキュリティ 実践集」 では、一般的なセキュリティ課題を取り上げ、「なぜ危険なのか?」 というリスクの解説から、 「どうやって直すのか?」 という具体的な修復手順(Azure Portal、Azure CLI、Terraformなど)まで、分かりやすく解説します。
この記事では、Azureファイル共有の論理的な削除が有効になっていないについて、リスクと対策を解説します。
ポリシーの説明
Azure Filesの論理的な削除(ソフトデリート)は、ファイル共有レベルでのデータ保護機能です。この機能を有効にすると、ファイル共有が削除された場合でも、指定された保持期間中(1~365日)は復元可能な状態で保持されます。論理的な削除により、誤操作、アプリケーションエラー、または悪意のある削除からデータを保護し、ビジネスの継続性を確保できます。
削除されたファイル共有は「削除済み」状態となり、保持期間中は課金が継続されますが、いつでも復元が可能です。保持期間を過ぎると完全に削除され、復元不可能となります。
なお、Azure Blob Storageにも同様の論理的な削除機能がありますが、これらは別々に管理されます。Azure Filesの論理的な削除はSMB/NFSファイル共有に対する保護を提供し、Blob Storageの論理的な削除はオブジェクトストレージに対する保護を提供します。
修復方法
コンソールでの修復手順
Azure コンソールを使用して、ファイル共有の論理的な削除を有効にします。
- Azure Portalにサインイン
- https://portal.azure.com にアクセス
- 管理者権限を持つアカウントでログイン
- 対象のストレージアカウントに移動
- 左側のメニューから「ストレージアカウント」を選択
- 論理的な削除を有効にするストレージアカウントをクリック
- ファイル共有設定にアクセス
- ストレージアカウントの左側メニューで「データストレージ」セクションを展開
- 「ファイル共有」をクリック
- 論理的な削除の設定
- ファイル共有ページの上部にある「論理的な削除」ボタンをクリック
- 「論理的な削除を有効にする」のチェックボックスをオン
- 保持期間を設定(1〜365日の範囲で指定)
- 推奨: 本番環境では最低14日、重要なデータでは30日以上
- 注意: 保持期間中も削除されたファイル共有に対して課金が発生します
- 設定の保存
- 「保存」ボタンをクリックして設定を適用
- 設定変更の確認メッセージが表示されることを確認
- 設定の検証
- ファイル共有の一覧に戻り、論理的な削除が有効になっていることを確認
- 既存のファイル共有すべてに設定が適用されていることを確認
- 設定は既存および新規作成されるすべてのファイル共有に適用されます
最後に
この記事では、Azureファイル共有の論理的な削除が有効になっていないについて、リスクと対策を解説しました。
論理的な削除は、データ保護の最初の防衛ラインとして機能し、誤操作や悪意のある削除からファイル共有を保護します。この機能を有効にすることで、ランサムウェア攻撃、人為的ミス、内部脅威などのリスクを大幅に軽減できます。保持期間中の課金コストを考慮しながら、ビジネス要件に適した設定を行うことが重要です。
この問題の検出は弊社が提供するSecurifyのCSPM機能で簡単に検出及び管理する事が可能です。 運用が非常に楽に出来る製品になっていますので、ぜひ興味がある方はお問い合わせお待ちしております。 最後までお読みいただきありがとうございました。この記事が皆さんの役に立てば幸いです。
CSPMについてはこちらで解説しております。併せてご覧ください。
