※ 本記事は、Aboo ValappilArun Viswanathanによる”Announcing Snapshot Locks for OCI File Storage Service“を翻訳したものです。

2026年6月29日

OCI File Storage Serviceでは、新たにスナップショット・ロックをサポートしました。これは、ランサムウェアへの耐性強化、規制コンプライアンス要件への対応、データ保持ポリシーの適用を支援するために設計されたデータ保護機能です。スナップショット・ロックは、共有ファイル・システム上に機密性の高いミッションクリティカルなデータを保存しており、アクシデント、悪意ある攻撃者、または不正な管理者によってリカバリ・ポイントが改ざんや削除されないことを保証する必要がある、金融、医療、および大企業のお客様にとって特に有用です。

スナップショット・ロックは、OCI File Storage Serviceのポリシーベースのスナップショットと統合されているため、スナップショットの自動作成と同時にロックを適用することもできます。

概要:

  • ファイル・システムのスナップショットを、定義された保持期間(最短1日、最長100年)にわたってロック可能
  • 2つのモード: ガバナンス(柔軟な運用向け)とコンプライアンス(14日間のクーリングオフ期間後に厳格なイミュータブル化)
  • 無期限の保護を実現するリーガル・ホールドをサポート
  • コンプライアンス・モードでは、テナンシ管理者であっても保持期間は延長のみ可能で、短縮は不可能
  • 追加コストなしですぐに利用可能

スナップショット・ロックとは?

スナップショット・ロックは、ファイル・システムのスナップショットが指定の保持期間中に削除されるのを防止する時間ベースの保護機能です。ロック期間(日数)を設定すると、その期間が終了するまでスナップショットは削除できなくなります。スナップショットにアクティブなロックがある場合、スナップショットだけでなく、それを含むファイル・システムも削除できません。

ガバナンス・モード: リーガル・ホールドもサポートする柔軟な保持機能

ガバナンス・ロックは、設定した期間中スナップショットの削除を防止し、設定後ただちに有効になります。適切なIdentity and Access Management (IAM)権限を持つ管理者は次の操作を実行できます:

  • ロック期間の変更
  • 必要に応じてロックを解除

ガバナンス・モードでは、無期限の保護を実現するリーガル・ホールドもサポートしています。スナップショットにリーガル・ホールドを設定すると、そのホールドが明示的に削除されるまで保護状態が維持されます。運用上のニーズに柔軟に対応しつつ強力な保護を実現したい場合は、ガバナンス・モードを使用してください。

コンプライアンス・モード: クーリングオフ後にイミュータブルとなる厳格な保持機能

コンプライアンス・ロックは、厳密で変更不可能な保持要件に対応するための機能です。次の2つのパラメータがあります:

  • ロック期間: 保持期間
  • クーリングオフ期間: 適切な権限を持つユーザーであればロックを変更または削除できる期間(デフォルトは14日間)

クーリングオフ期間が終了すると、ロックは完全に適用され、削除や短縮はできなくなり、延長のみ可能となります。コンプライアンス・ロックは、厳密な保持が求められる場合にのみ使用することを推奨します。クーリングオフ期間後は、IAM権限に関係なく、いかなるユーザーもロックの削除やロック期間の短縮はできません。

 ユース・ケース

  • ランサムウェアからのリカバリ: 攻撃によってテナンシへのアクセス権が侵害された場合でも、正常な状態が確認済みのスナップショットをリカバリ中に保持する
  • 規制の維持と監査: SEC、FINRA、HIPAA、CFTC、GDPR、および同様の規制に準拠するために、スナップショットの保持を強制する
  • 内部データ・ガバナンス: ガバナンス・モードを使用して、運用上の柔軟性を維持しつつ保持要件を適用する
  • リーガル・ホールド: 法的または規制上の要件が解消されるまで、スナップショットを無期限に保護する

運用上の考慮事項

スナップショット・ロックを有効にする前に、次の点を考慮してください:

  • ファイル・システム内のスナップショットにアクティブな時間ベースのロックがある場合、ファイル・システムの削除はブロックされます
  • コンプライアンス・ロックは、クーリングオフ期間終了後に変更不可になるため、ロックを設定する前に構成を慎重に計画してください
  • 保持期間が終了すると、スナップショットは通常の(ロックされていない)状態に戻ります
  • ロックはクローンやレプリケーションの宛先には継承されません

スナップショット・ロックの開始

OCIコンソールでスナップショットをロックするには:

  1. 「ファイル・システム」に移動し、ファイル・システムを選択
  2. 「スナップショット」を選択し、スナップショットを選択
  3. 「アクション」をクリックし、スナップショット・ロックを更新
Figure 1: Snapshot lock options in the OCI Console
図1: OCIコンソールのスナップショット・ロック・オプション

OCIコマンドライン・インタフェース(CLI)、アプリケーション・プログラミング・インタフェース(API)またはソフトウェア開発キット(SDK)を使用して、スナップショット・ロックを管理することもできます。

今すぐ始める