このドキュメントでは、StratoZone に保存されているお客様のデータを(StratoZone のサブスクリプションとライセンス契約に従って)安全に削除するプロセスの概要について説明します。ライフサイクルが終了したお客様のデータを安全に削除することは、すべてのコンピューティング プラットフォーム上のデータの処理における基本要件です。
データ ストレージとレプリケーション
物理ストレージ レベルでは、アクティブ ストレージ システムとバックアップ ストレージ システムという 2 種類のシステムにお客様のデータが保存されます。この 2 種類のシステムでは、データはそれぞれ異なる方法で処理されます。アクティブ ストレージ システムは StratoZone の本番環境サーバーです。
StratoZone バックアップ ストレージ システムには、StratoZone のアクティブ ストレージ システムの完全なコピーと差分コピーが決められた期間保管されます。これにより、重大な障害や災害が発生した場合にも、StratoZone はデータとシステムを復元できます。バックアップ ストレージ システムはアクティブ システムとは異なり、StratoZone システムの定期スナップショットを受け取り、新しいバックアップ コピーが作成されていく中で、決められた期間が経過した古いバックアップ コピーは廃棄されるように設計されています。これまで説明したストレージ システムでは、顧客データが保存時に暗号化されます。
データ分類
組織全体でのデータの分類と保護については、以下の点に注意してください。
- お客様がスキャンしたデータ、またはお客様が作成したデータは、すべてお客様のデータとみなされます。
- お客様のデータに対するアクセスは、アプリケーション アカウントのアクセス権によって制御されます。
- お客様が削除をリクエストするか、最初の 3 年間のサブスクリプションが期限切れになるまでデータは保持されます。有効期限が過ぎた場合、お客様は延長をリクエストできます。
安全で効果的なデータ削除
データ削除パイプライン
Google Cloud に保存されているお客様のデータは、Google のデータ削除パイプラインの全ステージを終えるまで安全に保存されます。このセクションでは、このプロセスについて詳しく説明します。
ステージ 1 - 削除リクエスト
お客様データの削除は、お客様が削除リクエストを開始した場合、または最初の 3 年間のサブスクリプション期間が終了した場合に開始されます。
お客様による削除リクエスト: 管理者アクセス権を持つお客様アカウントのユーザーは、[アクセス管理] に移動して、お客様アカウントの横にあるゴミ箱アイコンをクリックすることで削除を開始できます。
サブスクリプションの期限切れ: 最初の 3 年間のサブスクリプション期間が経過すると、お客様アカウントに対する削除プロセスが開始されます。
ステージ 2 - ソフト削除
削除リクエストが開始されると、お客様アカウントは削除対象としてマークされ、表示されなくなります。お客様アカウントは 60 日間この状態になります。この期間中、お客様アカウントは引き続き復元可能であり、さらに 3 年間の延長をリクエストできます。復元をリクエストするには、StratoZone ポータル上のサポート システムでチケットを作成するか、stratozone-support にメール送信することで、お客様の代表者がサポート チケットを作成します。
ソフト削除期間が残り 14 日になると、お客様アカウントにアクセスできるユーザーに、お客様アカウントが削除保留中で、復元できなくなることを知らせるメールが送信されます。
ステージ 3 - アクティブ ストレージ システムからの論理削除
データが削除対象としてマークされ、復元期間が終わると、データはまず Google のアクティブ ストレージ システムから削除され、次にバックアップ ストレージ システムから削除されます。アクティブ ストレージ システムでは、データはすべてのお客様アカウント データを格納するデータベースから削除され、結果としてデータベース クラスタ内のすべてのレプリカからデータが削除されます。この時点では、お客様アカウントのデータはバックアップ ストレージ システムからのみ復元できます。
ステージ 4 - 保存期間満了によるバックアップ ストレージ システムからの削除
すべてのバックアップ コピーは Google Cloud バックアップ サービスを使用して保持されます。保持期間は 90 日です。バックアップ システムに保存されているバックアップ コピーは、バックアップ後 90 日以内に完全に削除されます。
適切に設定されたバックアップ サイクルには、バックアップ システム内をデータ削除リクエストが伝搬される際の遅延が事前定義され、適用されています。アクティブ システムから削除されたお客様のデータは、バックアップ システムにはコピーされません。削除前に行われたバックアップは、事前に定義されたバックアップ サイクル(90 日)に基づいて順次期限切れになります。
削除のタイムライン
StratoZone は優れた速度、可用性、耐久性、整合性を実現できるように設計されていますが、こうしたパフォーマンス上の特性を満たすシステムを設計する場合、適切なタイミングでデータを削除する必要があるという点に配慮することが求められます。
StratoZone では、お客様のデータを最長 6 か月(180 日)以内に削除するように取り組んでいます。
この取り組みは、前述の Google の削除パイプラインの次のようなステージを経て実現しています。
ステージ 1: 削除リクエストが行われます。
ステージ 2: 通常、データには直ちに削除対象のマークが付けられます。ここでの目標は、このステップを 24 時間以内に行うことです。データが削除対象としてマークされると、サービスや削除リクエストによっては、最長で 60 日の内部復元期間が適用されます。
ステージ 3: ステージ 2 の 60 日後にお客様データベースからデータを削除するために必要な時間は、お客様アカウントの規模によって異なります。通常はアクティブ ストレージ システムからのデータ削除に最大で数週間かかります。
ステージ 4: Google のバックアップ サイクルは、削除リクエストから 180 日以内にデータセンターのバックアップ内の削除対象データを期限切れにするように設計されています。データ レプリケーションのレベルや、進行中のバックアップ サイクルのタイミングによって、削除が早めに行われる場合があります。