Azure VMバックアップ有効化による災害復旧とデータ保護の設定について

このブログシリーズ 「クラウドセキュリティ 実践集」 では、一般的なセキュリティ課題を取り上げ、「なぜ危険なのか？」 というリスクの解説から、「どうやって直すのか？」 という具体的な修復手順（コンソール、Azure CLI、Terraformなど）まで、分かりやすく解説します。

この記事では、Azure VMインスタンスでバックアップが有効化されていない問題について、リスクと対策を解説します。

ポリシーの説明

Azure仮想マシンのバックアップは、データ損失やシステム障害から復旧するために重要な保護メカニズムです。本ポリシーは、すべてのAzure VMインスタンスでAzure Backupサービスを使用したバックアップが適切に構成され、有効化されているかを確認します。

Azure Backupは、エージェントレス方式でVMレベルのバックアップを提供し、アプリケーション整合性のあるスナップショットを作成します。バックアップが未設定の場合、ランサムウェア攻撃、ハードウェア障害、誤操作などによるデータ損失時に、ビジネス継続性が脅かされる可能性があります。特に重要なのは、Azure Backupが提供する「ポイントインタイムリストア」機能により、特定の時点への復旧が可能な点です。

修復方法

コンソールでの修復手順

Azure コンソールを使用して、VMのバックアップを有効化します。

1. Azure Portalにログイン
   • https://portal.azure.com にアクセスし、管理者権限を持つアカウントでログインします。
2. Recovery Servicesコンテナーの作成（既存のものがない場合）
   • 左側のメニューから「すべてのサービス」を選択
   • 「Recovery Services コンテナー」を検索して選択
   • 「+ 作成」をクリック
   • 必要な情報を入力：
     • サブスクリプション：対象のサブスクリプションを選択
     • リソースグループ：既存のものを選択または新規作成
     • コンテナー名：命名規則に従った名前（例：rsv-{環境}-{リージョン}-001）
     • リージョン：VMと同じリージョンを選択（クロスリージョンバックアップが必要な場合を除く）
   • 「詳細設定」タブで以下を構成：
     • バックアップストレージの冗長性：GRS（地理冗長）またはZRS（ゾーン冗長）を選択
     • クロスリージョン復元：必要に応じて有効化
3. 対象VMへのバックアップ設定
   • 「仮想マシン」サービスに移動
   • バックアップを設定したいVMを選択
   • 左側メニューの「操作」セクションから「バックアップ」を選択
4. バックアップの構成
   • Recovery Services コンテナー：作成済みのコンテナーを選択
   • バックアップポリシー：以下から選択または新規作成
     • DefaultPolicy（毎日バックアップ、30日保持）：開発環境向け
     • EnhancedPolicy（毎日バックアップ、即時復旧ポイント付き）：本番環境推奨
     • カスタムポリシーの作成：
       • 本番環境：日次バックアップ、30日保持、週次・月次・年次保持
       • 開発環境：週次バックアップ、7日保持
       • クリティカルシステム：日次バックアップ＋複数回の復旧ポイント
5. バックアップポリシーの詳細設定
   • バックアップ頻度：
     • 日次：重要な本番システム
     • 週次：開発・テスト環境
     • 複数回/日：クリティカルなデータベースサーバー（Enhanced Policyを使用）
   • バックアップ時刻：
     • 業務影響の少ない時間帯（通常は深夜2-4時）
     • タイムゾーンを正しく設定（日本の場合：UTC+9）
   • 保持期間の推奨設定：
     • 日次バックアップ：30日（コンプライアンス要件により調整）
     • 週次バックアップ：12週（約3ヶ月）
     • 月次バックアップ：12ヶ月
     • 年次バックアップ：3-7年（法的要件により調整）
   • インスタントリストア：
     • スナップショット保持期間：1-5日（即時復旧用）

     

     

6. バックアップの有効化
   • 「バックアップの有効化」をクリック
   • 初回バックアップは自動的に開始されます
7. バックアップ状態の確認
   • Recovery Services コンテナーに移動
   • 「バックアップ項目」を選択
   • 「Azure Virtual Machine」を選択して、以下を確認：
     • 最後のバックアップ状態：成功/警告/失敗
     • 最後のバックアップ時刻
     • 復旧ポイントの数
   • 「バックアップジョブ」で詳細な実行履歴を確認
   • 「バックアップアラート」でエラーや警告を監視
8. バックアップのテスト復旧（推奨）
   • 定期的（四半期ごと）にテスト復旧を実施
   • 別のリソースグループにテストVMとして復旧
   • データの整合性とアプリケーションの動作を確認
   • テスト完了後、テストVMを削除

最後に

この記事では、Azure VMインスタンスのバックアップ有効化について、詳細な技術的観点からリスクと対策を解説しました。

バックアップは単なる保険ではなく、ビジネス継続性を確保するための重要な要素です。Azure Backupは99.95%のSLA保証を提供し、以下の特徴により企業レベルのデータ保護を実現します：

• アプリケーション整合性: VSS（Windows）やfsfreeze（Linux）によるアプリケーション整合性のあるバックアップ
• 増分バックアップ: 初回フルバックアップ後は増分のみ転送し、ストレージとネットワークを効率化
• 暗号化: 転送時（TLS）と保存時（256ビットAES）の二重暗号化
• 地理的冗長性: GRSにより、プライマリリージョンから600km以上離れたセカンダリリージョンに自動レプリケーション
• 長期保持: 最大99年間のデータ保持が可能

定期的なバックアップの実施と復旧テストの実行により、いざという時に確実にデータを復旧できる体制を整えておくことが重要です。

この問題の検出は弊社が提供するSecurifyのCSPM機能で簡単に検出及び管理する事が可能です。 運用が非常に楽に出来る製品になっていますので、ぜひ興味がある方はお問い合わせお待ちしております。 最後までお読みいただきありがとうございました。この記事が皆さんの役に立てば幸いです。

CSPMについてはこちらで解説しております。併せてご覧ください。

参考情報

• Azure Backup のドキュメント | Microsoft Learn
• Azure VM のバックアップについて | Microsoft Learn
• Enhanced Policy によるインスタントリストア | Microsoft Learn
• Azure Backup の価格 | Microsoft Azure
• Recovery Services コンテナーの概要 | Microsoft Learn
• Azure Backup のベスト プラクティス | Microsoft Learn
• クロスリージョン復元 | Microsoft Learn