更新履歴
・2026/2/15 初版公開
初めに
昨今、ランサムウェア被害のニュースが話題となっており、
ユーザ企業もランサムウェアへの温度感が高い。
そして、構築中システムのバックアップ方針について、以下の要件をいただいた。
(前提としては、AWS Backupを使用している。)
要件
- バックアップデータをイミュータブル(上書き不可)としたい
- ただし、有事の際は、リカバリポイント(バックアップデータ)の保持期間を延長できる設計としてほしい
2点目については、
万が一、ランサムウェア被害に遭った際には、汚染されていない、安全なリカバリポイントからリストアが必要となる。
しかし、ランサムウェア被害後の調査諸々の対応中に、安全な復旧ポイントが保持期間を満了し削除されてしまっては元も子もないので、それを防ぎたい、という背景がある。
Vault Lock(ボールトロック)[※1]とLegal Hold(リーガルホールド)[※1]を使えば、実現可能と思われたのだが、AWS公式ドキュメントでは、併用について、あまり詳細な情報がなかった。
ゆえに、本記事では次の疑問を解決する。
- Vault Lock と Legal Hold の違い
- 併用できるのか
- どのような設計で使い分けるべきか
[※1] AWS Backup は、Vault Lock(ボールトロック)と Legal Hold(リーガルホールド) という 2 つのデータ保護機能を提供しており、用途や保証内容が異なる。
結論
AWS BackupをVault Lockモードで運用しつつ、有事の際は、Legal Holdを設定することで、
通常時は、バックアップをイミュータブルとしつつ、有事の際、保持期間を延長させることが可能。
本記事の構成
- Vault Lock(ボールトロック)とは何か
- Legal Hold(リーガルホールド)とは何か
- Vault Lock と Legal Hold の違い
- Vault Lock(ボールトロック)とLegal Hold(リーガルホールド)の併用
- まとめ
1. Vault Lock(ボールトロック)とは何か
Vault Lock はバックアップボールト全体に対する「変更不可・削除不可」の保護機能。
バックアップボールトに設定すると、Vault 内のリカバリポイントに対して WORM(Write-Once Read-Many)モデルによる保護を提供する。
特徴
- バックアップボールト単位で有効(Vault 内の全バックアップに影響)
- 削除・ライフサイクル変更がブロックされる(コンソール/CLI/API)
- ガバナンスモード / コンプライアンスモード を選択可能
- ガバナンスモード:IAM 権限を持つユーザーのみ設定変更・解除可能
- コンプライアンスモード:一度ロックしたら解除不可(いかなる場合も解除不可)
- WORM(不変性)を実現し、誤削除・不正操作対策に寄与
- 最低/最大保持期間を Vault ごとに定義し、基準外バックアップの受け入れも制御可能
ユースケース
- ランサムウェア対策(管理者が誤って削除できない状態)
- 規制準拠(監査証跡・保持義務が強い業界)
- 運用ポリシーとしてバックアップの改変を禁止したい場合
2. Legal Hold(リーガルホールド)とは何か
Legal Hold は個別リカバリポイントに対して削除防止のホールドを付与する機能。
訴訟対応、監査要求、法的調査などで「特定のバックアップを一切消せないようにする」ことが目的。
特徴
- リカバリポイント単位で設定(ボールト全体ではなく対象を絞れる)
- ホールドがある限り 削除不可、ライフサイクル削除も延期される
- 保持期間を超えてもホールド中は保持する(無期限保持が可能)
- 複数ホールドを 1 バックアップに付与可能(多対多の関係)
- Legal Hold を解除するまで有効(明示的解除が必要)
ユースケース
- 税務調査やインシデント調査で特定期間以上バックアップを残す必要がある
- 訴訟対応や電子情報開示(e-Discovery)で情報保全が必要なケース
- ライフサイクルとは独立した保持要件を満たしたい場合
3. Vault Lock と Legal Hold の違い
| 比較項目 | Vault Lock(ボールトロック) | Legal Hold(リーガルホールド) |
|---|---|---|
| 保護対象 | バックアップボールト全体 | 個別のバックアップ(リカバリポイント) |
| 保護範囲 | 削除・ライフサイクル変更をブロック | 削除をブロック、ライフサイクル削除も延期 |
| 設定単位 | Vault 全体 | 指定したバックアップ単位 |
| 保存期間 | Vault の保持ポリシーに従う | 明示的解除まで保持(無期限) |
| 適用タイミング | 新規バックアップの取得から | 既存のバックアップにも後から付けられる |
| 解除可能性 | ガバナンスモードなら解除可能 | 解除するまで有効 |
4. Vault Lock(ボールトロック)とLegal Hold(リーガルホールド)の併用
冒頭述べた通り、
- バックアップデータをイミュータブル(上書き不可)としたい
- 有事の際は、リカバリポイント(バックアップデータ)の保持期間を延長できる設計としてほしい
が今回実現したい内容。
1.については、
Vault Lock(ボールトロック)のいずれかのモード(ガバナンスモード or コンプライアンスモード)を設定しておくことで、実現可能。
2.については、
Vault Lock(ボールトロック)を設定している状態でも、Legal Hold(リーガルホールド)は使用可能か?が引っかかっていたのだが、問題ないことが分かった。
よって、保持期間延長に関してのフロー(ケース②)は以下の図の通りとなる。
ケース①:通常時
- Vault Lockのみ予め設定済み
- 保持期間は14日と仮定
ケース②:インシデントが発生し、Legal Holdを設定の上、保持期間を延長した場合

5. まとめ
本記事では、AWS Backup の Vault Lock(ボールトロック) と Legal Hold(リーガルホールド) の違いと併用設計について整理した。
ポイントは次の3点。
- Vault Lock はボールト単位の不変化(WORM)を実現する基盤機能
- Legal Hold は特定バックアップのみ保持延長できる例外制御
- 両者は排他的ではなく併用可能
つまり、
通常時は Vault Lock で上書き防止とし、
有事の際だけ Legal Hold で個別保持延長する
という運用が可能となる。
気になる点や別パターンの構成があれば、ぜひコメントで教えてください。
