SJ blog
security
A

信頼度ランク

S 公式ソース確認済み
A 成功実績多数・失敗例少数
B 賛否両論
C 動作未確認・セキュリティリスク高
Z 個人所感

AWS Backup Vault Lock — ランサムウェア対策のWORMバックアップ

AWS BackupのVault Lock機能、Governance/Complianceモードの違い、最小/最大保持期間の強制、クールオフ期間、ランサムウェア対策バックアップ設計、マルチアカウントへのバックアップを解説。

#AWS #Backup #WORM #セキュリティ #SCS

一言結論

Complianceモードのバックアップボールトロックはクールオフ期間後はrootユーザーでも解除できないため、ランサムウェア対策に最も強力だが設定前のテストとクールオフ期間の活用が不可欠だ。

AWS Backup Vault Lock とは

AWS Backup Vault Lockは、バックアップデータを一定期間削除・変更できないようにWORM(Write Once Read Many)化する機能だ。ランサムウェア対策や規制コンプライアンスに活用される。

Vault Lockの効果:
  → バックアップの早期削除を防止
  → バックアップの変更を防止
  → rootユーザーを含む全ユーザーが削除不能(Complianceモード)
  
対策するシナリオ:
  → 攻撃者がバックアップも削除/暗号化するランサムウェア
  → 内部不正によるバックアップ削除
  → 誤操作によるバックアップ削除

Governance モード vs Compliance モード

Governance モード:
  → VaultLock設定を変更・削除できる権限を持つIAMユーザーが解除可能
  → AWSへの問い合わせ不要でロック解除可能
  → ポリシーテストや段階的な導入に向く
  
Compliance モード:
  → クールオフ期間経過後は誰も(rootユーザーも)解除不可
  → AWSへ問い合わせても解除できない(AWS側でもアクセス不可)
  → 厳格な規制要件(金融、医療等)に向く
  → 設定は不可逆(慎重に設定すること)

Vault Lock の設定

# AWS BackupのVaultの作成
aws backup create-backup-vault \
  --backup-vault-name my-compliant-vault \
  --encryption-key-arn arn:aws:kms:ap-northeast-1:123456789012:key/xxx

# Vault Lock の設定(Governance モード)
aws backup put-backup-vault-lock-configuration \
  --backup-vault-name my-compliant-vault \
  --min-retention-days 30 \
  --max-retention-days 3650 \
  --changeable-for-days 3  # クールオフ期間(3日間は変更可能)
クールオフ期間(changeableForDays):
  → 3〜36500日の間で設定
  → この期間中はVault Lockの設定を変更できる
  → 期間経過後はComplianceモードと同様に変更不可
  → Governance モードは changeable-for-days を設定しないと即時固定
  → Compliance モードは changeable-for-days が必須
  
minRetentionDays と maxRetentionDays:
  → バックアップの保持期間の最小値と最大値を強制
  → この範囲外の保持期間は設定不可

バックアッププランの設定

# バックアッププランの作成
aws backup create-backup-plan \
  --backup-plan '{
    "BackupPlanName": "daily-compliant-backup",
    "Rules": [{
      "RuleName": "DailyBackup",
      "TargetBackupVaultName": "my-compliant-vault",
      "ScheduleExpression": "cron(0 3 * * ? *)",
      "StartWindowMinutes": 60,
      "CompletionWindowMinutes": 480,
      "Lifecycle": {
        "DeleteAfterDays": 90
      },
      "CopyActions": [{
        "DestinationBackupVaultArn": "arn:aws:backup:us-west-2:123456789012:backup-vault:cross-region-vault",
        "Lifecycle": {"DeleteAfterDays": 365}
      }]
    }]
  }'

マルチアカウントへのバックアップ

マルチアカウントバックアップの推奨構成:
  
  本番アカウント(バックアップ元)
    ↓ AWS Backup クロスアカウントコピー
  バックアップ専用アカウント(隔離)
    └── Vault Lock(Compliance モード)
    
メリット:
  → 本番アカウントが侵害されてもバックアップは安全
  → 攻撃者は別アカウントにアクセスできない
  → ランサムウェアの影響範囲を限定
# Organizationsでのクロスアカウントバックアップ設定
aws backup put-backup-vault-access-policy \
  --backup-vault-name my-compliant-vault \
  --policy '{
    "Version": "2012-10-17",
    "Statement": [{
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::PRODUCTION-ACCOUNT-ID:root"
      },
      "Action": [
        "backup:CopyIntoBackupVault"
      ],
      "Resource": "*"
    }]
  }'

バックアップの対象サービス

AWS Backupがサポートするサービス:
  コンピューティング: EC2(EBSボリューム含む)
  データベース: RDS, Aurora, DynamoDB, DocumentDB, Neptune
  ストレージ: EFS, FSx, S3
  ハイブリッド: Storage Gateway
  その他: Amazon Redshift
  
一元管理の利点:
  → 各サービスの個別バックアップ設定を集中管理
  → Vault Lockで全バックアップを統一的に保護
  → OrganizationsでのマルチアカウントポリシーをAWS Backupに適用

試験頻出ポイント

シナリオ回答
ランサムウェアからバックアップを保護AWS Backup Vault Lock(Complianceモード)
rootユーザーでも削除できないバックアップVault Lock Complianceモード
設定変更のテスト段階Vault Lock Governanceモード
クロスアカウントのバックアップ隔離専用バックアップアカウント + Vault Lock
最小保持期間の強制minRetentionDays 設定

まとめ

AWS Backup Vault Lockはバックアップデータを不変(WORM)化する機能だ。Complianceモードではrootユーザーを含む全ユーザーが保持期間内に削除できない。ランサムウェア対策には本番アカウントとは別のバックアップ専用アカウントにVault Lockを設定するクロスアカウントパターンが最も効果的だ。