ストレージとデータ転送

オブジェクト保持ロックにより Cloud Storage データのサイバーレジリエンスを強化

2024年4月9日

https://storage.googleapis.com/gweb-cloudblog-publish/images/security_2022.max-2500x2500.jpg

Google Cloud Japan Team

※この投稿は米国時間 2024 年 4 月 5 日に、Google Cloud blog に投稿されたものの抄訳です。

データの保持は、金融サービス、ヘルスケア、行政機関など、規制の厳しい業界のお客様には特に重要です。こうしたお客様のデータ保持のニーズを満たすため、書き込みが 1 回で何度でも読み取りできる（WORM）ストレージを使用することで、データを変更できないようにして、FINRA、SEC、CFTC などの管理組織によって定められた業界の規制を遵守します。WORM ストレージはまた、データの変更や削除を防止し、偶発的なデータ損失、データ侵害、不正な改変のリスクを軽減することで、機密データを取り扱う組織のセキュリティを強化することができます。

Cloud Storage の新しいオブジェクト保持ロックにより、WORM ストレージの構成が簡単に行えるようになり、規制基準の遵守、セキュリティポスチャーの強化、データ保護の改善が容易になります。Cloud Storage のバケットロック、オブジェクト保持のような既存の WORM ストレージ機能に加えて、オブジェクトまたはバケットのどちらか希望する粒度でデータの保持を柔軟に管理できるようになります。

オブジェクト保持ロックが機能する仕組み

オブジェクト保持ロックにより、Cloud Storage オブジェクトの保持を「保持期限」を指定して構成およびロックすることができます。オブジェクト保持ロックを設定したオブジェクトは、保持期限を過ぎるまでは削除することも置き換えることもできなくなります。

データ保持管理のニーズに基づいて、バケットロックとオブジェクト保持ロックの両方を同時に使用することもできます。オブジェクトにバケットロックとオブジェクト保持ロックの両方が同時に適用されている場合は、そのオブジェクトはそれぞれの「保持期限」を過ぎるまで削除できません。

オブジェクト保持ロックは Google Cloud コンソールの Cloud Storage、Cloud Storage API、gCloud CLI、クライアントライブラリから使用できます。

Google Cloud コンソールの Cloud Storage でオブジェクト保持ロックを有効にする方法

1. バケットを構成するときに、[オブジェクト保持を有効にする] チェックボックスをオンにします。

https://storage.googleapis.com/gweb-cloudblog-publish/images/1-createBucket.max-2200x2200.png

2. 変更不可にするオブジェクトの [保持期限] を構成します。

https://storage.googleapis.com/gweb-cloudblog-publish/images/2-setRetainUntil.max-2200x2200.png

3. 保持ポリシーをロックするかどうかを選択します。ロックすると、保持期限を短縮できなくなります。

https://storage.googleapis.com/gweb-cloudblog-publish/images/3-lockRetention.max-2200x2200.png

4. 構成した保持期限を過ぎるまでは、オブジェクトを削除または上書きすることができません。

https://storage.googleapis.com/gweb-cloudblog-publish/images/4-deleteErrors.max-2200x2200.png

費用を抑えて低レイテンシを提供

オブジェクト保持ロックのために Cloud Storage でオブジェクトのバージョニングを有効にする必要はありません。これは、バックアップなどの処理を実行するときに、オブジェクト保持を使用しつつ、ストレージでオブジェクトの重複除去を行うことができるということです。

Cloud Storage には全ストレージクラスでコールドストレージ階層であっても一貫して低レイテンシを提供するという特性があります。これにより、適切なストレージクラスを選択することで、オブジェクト保持ロックの要件を妥協することなく、メリットが得られます。保持されたデータは、Cloud Storage によって提供される迅速なアクセスを通じて、データ分析や AI / ML などのアクティブでデータ量の多いユースケースで活用できます。

オブジェクト保持ロックに関するお客様の声

多くの Google Cloud Storage のお客様とパートナーがオブジェクト保持ロックの利用を開始しています。また、データ保護分野のパートナーと提携し、Cloud Storage の変更不可能な Vault ソリューションを使用して、オブジェクト保持ロックを活用することで、サイバーレジリエンスを実現するお客様もいらっしゃいます。お客様からの声を以下にご紹介します。

「ランサムウェアの脅威は絶え間なく続き、組織の最も重要な資産であるバックアップデータへのハッカーによる攻撃が増加しています。オブジェクトロックによるストレージを変更不可能にする機能は、Google Cloud をバックアップ対象とする Veritas のお客様に新たな防御策を提供します。そのため、ミッションクリティカルなデータが保護されているとお客様から全面的に信頼をいただいています。」Veritas、データ保護部門上級バイスプレジデント兼ゼネラルマネージャー、Matt Waxman 氏

「お客様のデータは指数関数的に増加しているため、バックアップ機能で容易かつ大規模に対応できるようにする必要があります。そのため、ストレージの効率を向上し、さまざまな期間でデータの安全を守る機能が必要になります。オブジェクト保持ロックと HYCU の Cloud Dedup を連携し、お客様が必要とするストレージ効率と組み合わせて、極めて有用な保護レイヤと防御を提供します。Google との素晴らしいパートナーシップにより、オンプレミスのお客様とクラウドネイティブのお客様の両方に安心してご利用いただけます。」HYCU、プロダクト部門上級バイスプレジデント、Subbiah Sundaram 氏

「進化を続ける脅威の状況において、Google Cloud Storage のオブジェクト保持ロックにより、Commvault のお客様にランサムウェア対策として強力な防御メカニズムを提供します。Google Cloud の変更不可能なストレージの重要な機能を活用し、お客様にランサムウェアに対する不変の保護を提供します。全ストレージクラスで一貫した低レイテンシと重複排除を考慮した実装により、お客様に優れた価値をもたらします。」Commvault、ワールドワイドアライアンス部門ディレクター、Victor Bishay 氏

オブジェクト保持ロックを使ってみる

オブジェクト保持ロックは一般提供を開始しており、お使いのバケットでオブジェクト保持ロックを今すぐ有効にできます。オブジェクト保持ロックは Cloud Storage が使用できるすべてのロケーションにおいてすべてのストレージクラスで利用できます。また、オブジェクトのライフサイクル管理（OLM）および Autoclass とも連携します。オブジェクトが Standard Storage クラスにあるときにオジェクト保持ロックを有効にした場合、オブジェクトのストレージクラスが変更されてもロックは有効なままになります。

Cloud Storage オブジェクト保持ロックは、Cohasset Associates により、SEC 17a-4(f)、FINRA、CFTC 規制の評価を受けています。Cohasset は、Cloud Storage が適切に構成され、ロックモードで保持ポリシー機能とともに使用された場合に WORM 要件を満たしていると判断しました。