Azure Storage Account削除ロック（Resource Lock）の設定について

2025.11.13

このブログシリーズ「クラウドセキュリティ実践集」では、一般的なセキュリティ課題を取り上げ、「なぜ危険なのか？」というリスクの解説から、「どうやって直すのか？」という具体的な修復手順（コンソール、Azure CLI、Terraformなど）まで、分かりやすく解説します。

この記事では、AzureストレージアカウントにAzure Resource Manager削除ロック（Resource Lock）を適用する設定手順について、リスクと対策を詳しく解説します。Azure CLI、Azureポータル、Terraformの3つの方法で設定手順を説明し、ロックの種類の違いや解除方法についても詳しく説明します。

Azure Resource Lockとは

Azure Resource Lock（リソースロック）は、重要なAzureリソースを意図しない削除や変更から保護するためのセキュリティ機能です。Azureストレージアカウントはビジネスクリティカルなデータを保存する重要なリソースであるため、Resource Lockを適用することで誤削除を防止できます。

ロックの種類

Azure Resource Lockには2つの種類があります：

ロックの種類	効果	許可される操作	禁止される操作
CanNotDelete	削除を防止	リソースの読み取り、変更、プロパティの更新	リソースの削除のみ
ReadOnly	読み取り専用	リソースの読み取りのみ	リソースの変更、削除

CanNotDeleteロックは最も一般的に使用され、リソースの設定変更は可能ですが削除は防止します。ReadOnlyロックはより厳格で、リソースの変更も削除も禁止します。

リスク

削除ロックが適用されていないストレージアカウントには以下のリスクがあります：

誤操作による削除: 管理者が誤ってストレージアカウントを削除してしまうリスク
権限の誤用: 削除権限を持つユーザーが意図せずリソースを削除する可能性
自動化スクリプトの誤動作: 自動化処理やスクリプトのバグによる意図しない削除
データ損失: ストレージアカウントの削除により、保存されているすべてのデータが失われる

これらのリスクは、重要なビジネスデータや顧客データの永久的な損失につながり、ビジネスの継続性に深刻な影響を与える可能性があります。

修復方法

以下の3つの方法でAzureストレージアカウントにResource Lockを設定できます：

1. Azureポータル（コンソール）での設定手順

Azure ポータルを使用して、ストレージアカウントに削除ロックを適用する手順を説明します。

Azureポータルにログイン
- Azure Portalにアクセスしてログインします
ストレージアカウントへの移動
- 左側のメニューから「ストレージアカウント」を選択
- 削除ロックを適用したいストレージアカウントを選択します
リソースロックの設定
- ストレージアカウントの詳細ページで、左側のメニューから「設定」セクションの「ロック」を選択
- 上部の「+ 追加」ボタンをクリック
削除ロックの作成
- ロック名: 任意の識別しやすい名前（例：DeleteLock-Production-Storage）
- ロックの種類: 「削除」を選択
- メモ: ロックの目的を記載（例：本番環境の重要データ保護のため）
- 「OK」ボタンをクリックして適用
設定の確認
- ロック一覧に新しく作成したロックが表示されることを確認
- ストレージアカウントの概要ページに戻り、ロックアイコンが表示されていることを確認