0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@softbase(FullStack ITエンジニア)

【管理者でも消せない】AWS Backup Vault Lock / S3 Object Lock で作る最強ランサムウェア対策

0
Posted at

近年のランサムウェア攻撃では、

「本番データだけでなく、バックアップも削除される」

というケースが珍しくありません。

AWS には
「管理者権限があっても削除できない」
強力な防御策として以下の2つが用意されています。

  • AWS Backup Vault Lock
  • S3 Object Lock

本記事では、
👉 仕組みの違い
👉 具体的な設定手順(マネジメントコンソール中心)
👉 設計・運用時の注意点

をまとめます。

全体像(先に結論)

対策 守るもの 主用途
AWS Backup Vault Lock バックアップ ランサムウェア対策
S3 Object Lock オブジェクト 監査・証跡保護

両方使うことで多層防御が完成します。

1. AWS Backup Vault Lock とは?

概要

AWS Backup Vault Lock は、
バックアップ保管庫(Backup Vault)に「削除不可ルール」を適用する機能です。

  • IAM Administrator でも削除不可
  • 期限内は保持期間の短縮も不可
  • ランサムウェア対策の最終防衛ライン

2. AWS Backup Vault Lock の設定手順

① Backup Vault の作成

  1. AWS マネジメントコンソール
  2. AWS BackupBackup vaults
  3. Create backup vault
  4. Vault 名を入力(例:prod-backup-vault
  5. 暗号化キー(KMS)を選択

② Vault Lock の有効化

  1. 作成した Backup Vault を選択
  2. Actions → Edit vault lock
  3. 以下を設定
項目
Mode Governance(まずはこちら推奨)
Min retention 7 days
Max retention 365 days

📌 最初は Governance Mode を強く推奨
(Compliance は一切解除不可)

③ 設定の確定(重要)

  • 設定後 一定時間(Cooling-off period) を経てロック確定
  • 確定後は削除・変更不可

Max retention を短く設定しすぎると後悔します

3. S3 Object Lock とは?

概要

S3 Object Lock は、
S3オブジェクト単位で WORM(Write Once Read Many)を実現します。

  • ログや証跡の改ざん防止
  • 監査・法令対応
  • 内部不正対策

4. S3 Object Lock の設定手順

① バケット作成(※超重要)

Object Lock はバケット作成時のみ有効化可能

  1. S3 → Create bucket
  2. Bucket name を入力
  3. Object Lock を有効化
  4. Versioning:有効(必須)
  5. 作成

② デフォルト保持期間の設定(任意)

  1. バケット → Properties
  2. Object Lock
  3. Default retention を設定

例:

  • Mode:Governance
  • Retention:90 days

③ オブジェクト単位での保持設定(CLI例)

aws s3api put-object \
  --bucket my-audit-log-bucket \
  --key sample.log \
  --body sample.log \
  --object-lock-mode COMPLIANCE \
  --object-lock-retain-until-date "2027-01-01T00:00:00"

📌 COMPLIANCE モードでは期限まで誰も削除不可

④ Legal Hold(訴訟・監査対応)

aws s3api put-object-legal-hold \
  --bucket my-audit-log-bucket \
  --key sample.log \
  --legal-hold Status=ON
  • 期限なしで凍結
  • 明示的に OFF にするまで保持

5. よくある設計ミスと注意点

AWS Backup Vault Lock

  • ❌ いきなり Compliance Mode
  • ❌ 保持期間が短すぎる
  • ❌ Organizations の SCP と未連携

👉 段階導入が正解

S3 Object Lock

  • ❌ バケット作成後に有効化しようとする
  • ❌ バージョニング容量増加を考慮しない
  • ❌ ライフサイクル設計なし

👉 ログ用途と通常データは必ず分離

6. おすすめ構成(実践例)

[業務データ]
   ↓
AWS Backup
   ↓
Backup Vault Lock(Governance → Compliance)

[ログ・証跡]
   ↓
S3(Object Lock + Versioning)

✔ ランサムウェア
✔ 内部不正
✔ 監査対応

をまとめてカバーできます。

まとめ

  • AWS Backup Vault Lock

    • バックアップ削除対策の切り札

  • S3 Object Lock

    • 証跡・ログ改ざん防止の定番

  • 両方使って初めて強固な防御

AWS 環境のセキュリティ設計では
「消せない」こと自体が最大の価値になります。

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?