AWS 第38回『クラウドデータの砦！AWS S3でランサムウェアをシャットアウト』

こんにちは。DIS AWS推進チームです。

今回コラムは第36回の AWS WAF に引き続き、セキュリティ対策に役立つ AWS S3 のバージョニングとオブジェクトロック機能のご紹介です。バージョニングは、同じオブジェクト名で新しいデータをアップロードしても、過去のバージョンが自動的に保存され、必要に応じて復元できる機能です。オブジェクトロックは、特定のオブジェクトに対して削除や上書きを防ぐことができ、指定した期間または無期限に保護することが可能です。これらの機能は、世界中で多くの被害をもたらすランサムウェア対策としても有効で、AWS S3単独で構成可能な機能です。 このコラム参考にぜひご活用いただければと思います。また第27回担当者コラムではAWS S3サービスの基本情報をご紹介しておりますので、あわせてご活用ください！

バージョニングとは、同じバケット内でオブジェクトの複数のバージョンを管理する機能です。

<誤操作によるオブジェクトの削除／上書きした場合にも、復元が可能>

<オブジェクトのバージョン毎に課金が発生する>

※各バージョンは以前のバージョンとの増分ではなく、別のオブジェクトとして管理する為

ご紹介したバージョニングされたバケットにのみ適用ができるWrite Once Read Many(WORM)機能で、削除/上書きを一定期間/無期限に制限できます。

<オブジェクト単位で一定の期間、上書き/削除を防止する >

<オブジェクトロックは、バケット作成時に設定し、作成後の有効可/無効化は不可>
・保持期間の有効可/無効化/変更やリテンションモードの変更は可能

<オブジェクトロックの有効可にはバケットのバージョニングが必須>
・バージョニングはオブジェクトロックが裕子になっているバケットでは無効化不可

まずリテンションモードから紹介していきます。
リテンションモードは、期限/権限を元にオブジェクトをロックする機能になります。
また、その中で2つのモードに分かれています。

特定の権限(s3:BypassGovernanceRetention)を持ったユーザーであれば、上書き/削除/設定変更が可能
コンプライアンスモードのテストとしての利用が可能

いかなるユーザーも上書き/削除/設定変更が不可

続いて有効期間にも種類があるのでご紹介していきます。

図のように、バケット作成時にバージョニングとオブジェクトロックを有効にする必要があります。そのあとに、リテンションモードや保持期間を設定するとデータの編集削除ができなくなります。リーガルホールドを設定しておくことで、保持期間が終了後もデータの編集削除はできない状態を維持することができます。特定の権限を持ったユーザーがリーガルホールド解除するまではWORMが適用されます。

今回は、バージョニングとオブジェクトロックを紹介いたしました。リテンションモードや保持期間などがあり、要件によって設定することで柔軟に対応できるのではないかと思います。バケットごとに設定が可能なので重要なデータのみを設定することでストレージコストの削減も可能です。また、ランサムウェアにフォーカスを当てましたが、バージョニングは誤操作してしまった際の復元にも有効です。
クラウドに大切なデータを保存することに抵抗がある方も多いですが、今回紹介したような対策をすることで少しでも不安を取り除ければと思います。

参考URL

最後までお読みくださりありがとうございました。

--Let's Enjoy Amazon Web Services!