AzureストレージアカウントでのAzure Resource Manager読み取り専用ロックを適用する設定手順

2025.11.13

このブログシリーズ 「クラウドセキュリティ 実践集」 では、一般的なセキュリティ課題を取り上げ、「なぜ危険なのか?」 というリスクの解説から、 「どうやって直すのか?」 という具体的な修復手順(コンソール、Azure CLI、Terraformなど)まで、分かりやすく解説します。

この記事では、AzureストレージアカウントにAzure Resource Manager読み取り専用ロック(ReadOnlyロック)を適用する設定手順について、リスクと対策を詳しく解説します。CanNotDeleteロックとの違いや、Azure CLI・Terraformを使った自動化手順、運用におけるベストプラクティスも含めて説明します。

ポリシーの説明

Azure Resource Managerの読み取り専用ロック(ReadOnlyロック)は、ストレージアカウントに対する変更操作を防ぐ強力な保護機能です。このロックを適用すると、リソースの削除や変更操作を完全にブロックし、重要なデータとインフラストラクチャを保護できます。

ReadOnlyロックとCanNotDeleteロックの違い

Azureでは2種類のリソースロックが提供されており、それぞれ異なる保護レベルを提供します:

ReadOnlyロック(読み取り専用)の特徴:

  • リソースの削除をブロック
  • リソースの変更(プロパティ更新、設定変更)をブロック
  • 読み取り操作のみ許可
  • 最も強力な保護レベル

CanNotDeleteロック(削除防止)の特徴:

  • リソースの削除のみブロック
  • リソースの変更(プロパティ更新、設定変更)は許可
  • 読み取り・書き込み操作は可能

ReadOnlyロックの影響範囲

ReadOnlyロックを適用したストレージアカウントでは、以下の操作が実行できません

  • ストレージアカウントの削除
  • アクセスキーの再生成(ストレージアカウントキー、SASトークンの生成も不可)
  • ネットワーク設定の変更(ファイアウォール規則、仮想ネットワーク設定)
  • セキュリティ設定の変更(TLS バージョン、HTTPS 必須設定)
  • レプリケーション設定の変更
  • 暗号化設定の変更
  • コンテナ・キュー・テーブル・ファイル共有の作成・削除・設定変更
  • アクセス層の変更
  • タグの追加・変更・削除

以下の操作は引き続き実行できます

  • ストレージアカウント内のデータの読み取り(既存のアクセスキーまたはSASトークンを使用)
  • BLOB、ファイル、キュー、テーブルデータへのアクセス(既存のアクセス権限内)
  • 監視データとメトリクスの表示
  • 診断ログの確認
  • 既存のSASトークンの使用(新規作成は不可)

修復方法

コンソールでの修復手順

Azure コンソールを使用して、ストレージアカウントに読み取り専用ロックを適用する手順を説明します。

  1. Azureポータルにログイン
  2. 対象ストレージアカウントの選択
    • 左側のメニューから「ストレージアカウント」を選択
    • 読み取り専用ロックを適用したいストレージアカウントをクリック
  3. リソースロック画面への移動
    • ストレージアカウントの詳細画面で、左側メニューの「設定」セクションから「ロック」を選択
    • 既存のロック一覧が表示されます
  4. 読み取り専用ロックの追加
    • 画面上部の「+ 追加」ボタンをクリック
    • 以下の情報を入力:
      • ロック名: わかりやすい名前(例:ReadOnly-Lock-Production)
      • ロックの種類: 「読み取り専用」を選択
      • メモ: ロックの目的と注意事項を記載(例:本番環境保護のため。変更が必要な場合は管理者承認必須)
  5. ロックの適用と確認
    • 「OK」ボタンをクリックしてロックを適用
    • ロック一覧に新しいロックが表示されることを確認
    • テスト:設定変更を試みて、適切にブロックされることを確認
  6. 運用上の注意事項
    • ロックを解除する際は、変更管理プロセスに従う
    • 緊急時の解除手順を文書化しておく

最後に

この記事では、AzureストレージアカウントにAzure Resource Manager読み取り専用ロックを適用する設定手順について、リスクと対策を詳しく解説しました。ReadOnlyロックとCanNotDeleteロックの違い、Azure CLIとTerraformを使った実装方法、運用におけるベストプラクティスまで幅広くカバーしています。

ReadOnlyロックは強力な保護機能ですが、適切な運用管理と組み合わせることで、セキュリティとオペレーションのバランスを保つことができます。段階的な適用、適切な監視、明確な変更管理プロセスを確立することで、リスクを最小限に抑えながら重要なリソースを保護できます。

この問題の検出は弊社が提供するSecurifyのCSPM機能で簡単に検出及び管理する事が可能です。 運用が非常に楽に出来る製品になっていますので、ぜひ興味がある方はお問い合わせお待ちしております。 最後までお読みいただきありがとうございました。この記事が皆さんの役に立てば幸いです。

CSPMについてはこちらで解説しております。併せてご覧ください。

参考情報

この記事をシェアする

クラウドセキュリティ対策実践集一覧へ戻る

貴社の利用状況に合わせた見積もりを作成します。

見積もりを希望する
資料ダウンロード

料金プランを詳しく見る