Compute Engineの未使用永続ディスクの削除について
このブログシリーズ 「クラウドセキュリティ 実践集」 では、一般的なセキュリティ課題を取り上げ、「なぜ危険なのか?」 というリスクの解説から、「どうやって直すのか?」 という具体的な修復手順(コンソール、gcloud CLI、Terraformなど)まで、分かりやすく解説します。
この記事では、Compute Engine永続ディスクで未使用のディスクが存在する問題について、リスクと対策を解説します。
ポリシーの説明
Google Cloud Compute Engineでは、VMインスタンスから切り離された永続ディスクが「未使用」状態で残ることがあります。これらの未使用ディスクは、VMインスタンスの削除時にディスクが保持される設定になっている場合や、一時的にデタッチした後に再アタッチを忘れた場合などに発生します。未使用のディスクは、セキュリティリスクとコスト増大の両面で問題となるため、定期的な確認と削除が必要です。
修復方法
コンソールでの修復手順
Google Cloud コンソールを使用して、未使用の永続ディスクを特定し、削除します。
- 未使用ディスクの特定
- Google Cloud Consoleにログインします。
- ナビゲーションメニューから「Compute Engine」→「ディスク」を選択します。
- ディスク一覧が表示されます。
- 「使用者」列を確認し、空欄になっているディスクが未使用ディスクです。
- フィルタ機能を使用して未使用ディスクのみを表示することも可能です。
- ディスクの詳細確認
- 削除対象のディスクをクリックして詳細を確認します。
- 作成日時、最終更新日時を確認します。
- ラベルやタグを確認し、削除して問題ないか判断します。
- 必要に応じて、スナップショットの有無も確認します。
- 重要データのバックアップ(必要な場合)
- 削除前に必要なデータが含まれている可能性がある場合、「スナップショットを作成」をクリックします。
- スナップショット名と説明を入力し、「作成」をクリックしてバックアップを取得します。
- ディスクの削除
- ディスク一覧に戻り、削除対象のディスクを選択(チェックボックス)します。
- 「削除」ボタンをクリックします。
- 確認ダイアログで削除対象を再確認し、「削除」をクリックして実行します。
gcloud CLIでの修復手順
- 未使用のディスクを一覧表示します。
gcloud compute disks list --filter="-users:*" - (オプション)ディスクのスナップショットを作成します。
gcloud compute disks snapshot DISK_NAME --snapshot-names=SNAPSHOT_NAME --zone=ZONE - ディスクを削除します。
gcloud compute disks delete DISK_NAME --zone=ZONE
最後に
この記事では、Compute Engine永続ディスクで未使用のディスクが存在する問題について、リスクと対策を解説しました。
この問題の検出は弊社が提供するSecurifyのCSPM機能で簡単に検出及び管理する事が可能です。 運用が非常に楽に出来る製品になっていますので、ぜひ興味がある方はお問い合わせお待ちしております。 最後までお読みいただきありがとうございました。この記事が皆さんの役に立てば幸いです。
