ストレージ ・
S3 Object Lock とは?WORM・改ざん防止・コンプライアンス対応
S3 Object Lock は オブジェクトの上書き・削除を一定期間 / 無期限に禁止する WORM 機能。コンプライアンス(金融・医療・公共)で必須の改ざん防止要件・ランサムウェア対策・法的保持の用途に対応する。Versioning が前提。 ---
S3 オブジェクトに WORM(Write Once Read Many)保護をかけ、改ざん・削除を防止する機能。
1. 概要(端的に)
S3 Object Lock は オブジェクトの上書き・削除を一定期間 / 無期限に禁止する WORM 機能。コンプライアンス(金融・医療・公共)で必須の改ざん防止要件・ランサムウェア対策・法的保持の用途に対応する。Versioning が前提。
2. 何ができるか
- WORM 保護:書き込み 1 回、読み出し多数(Write Once Read Many)
- 2 つのモード:Governance(緩)/ Compliance(厳)
- 保持期間(Retention):日数指定で WORM 化
- 法的保持(Legal Hold):期限なしの保護(解除は別操作)
- ランサムウェア対策:暗号化攻撃を受けてもデータ復旧可
- 規制対応:SEC 17a-4 / FINRA / CFTC 等への準拠
2 つのモード
| モード | 特徴 |
|---|---|
| Governance Mode | 特権ユーザーは早期削除可(ガバナンス目的) |
| Compliance Mode | AWS root を含め誰も削除不可(最も厳しい) |
Legal Hold
- 期間指定なし
- 解除されるまで上書き・削除不可
- 訴訟対応・調査時に使う
3. 特徴
| 観点 | 特徴 |
|---|---|
| 前提 | バケット作成時に Object Lock 有効化(後から有効化不可) |
| Versioning 必須 | 自動で有効化される |
| 保護対象 | 個別オブジェクトのバージョン |
| 設定単位 | オブジェクトごと or デフォルト保持設定 |
| 解除 | Governance は権限あれば可、Compliance は不可 |
| 追加料金 | なし(ストレージ料金のみ) |
モード比較
| 操作 | Governance | Compliance |
|---|---|---|
| 上書き | × | × |
| 削除 | × | × |
| 特権ユーザーによる早期削除 | ○ | × |
| 保持期間延長 | ○ | ○ |
| 保持期間短縮 | 特権で○ | × |
4. 仕組み
Object Lock は オブジェクトの各バージョンに「保持期間 / Legal Hold」のメタデータを付与し、S3 が削除・上書きをブロックする。
構成要素
- Retention Mode:Governance / Compliance
- Retention Period:保持期間(日数)
- Legal Hold:On / Off
- Default Retention:バケット単位のデフォルト保持設定
動作の流れ
- バケット作成時に Object Lock を有効化(後付け不可)
- デフォルト保持設定(任意)or オブジェクト個別設定
- PutObject 時に保持期間・モード指定
- 保持期間内は上書き・削除不可
- 保持期間終了後は通常通り操作可能
Compliance Mode の強さ
- AWS root アカウントでも削除不可
- AWS サポートも介入できない
- 「契約期間を必ず守る」最強の保証
Vault Lock(旧 Glacier の機能)
- Glacier 単体時代の機能
- ボリューム全体に WORM 適用
- 現在は Object Lock with Compliance Mode + Glacier ストレージクラス で代替
5. ユースケース
ユースケース 1:金融取引履歴(SEC 17a-4 等)
法定保管期間(7 年等)の取引履歴。Compliance Mode で改ざん不可保証。
ユースケース 2:医療カルテ
HIPAA 等の規制対応。
ユースケース 3:法的証拠保全
訴訟・調査対応で Legal Hold をかけて証拠保全。
ユースケース 4:ランサムウェア対策
攻撃者が暗号化しても上書き不可 → データ復旧可能。
ユースケース 5:監査ログ
変更不可の証跡保管。
6. 関連用語
- S3 — Object Lock の対象
- S3-Versioning — Object Lock の前提
- S3-Glacier — Compliance + Glacier で長期 WORM
- KMS — 暗号化との組合わせ
7. 関連サイト
AWS 公式
参考
🎓 試験での出題傾向
| 試験 | 重要度 | 主な出題パターン |
|---|---|---|
| CLF | 低 | WORM の概念 |
| SAA | 中 | コンプライアンス・WORM 要件のシナリオ |
| DVA | 中 | API での Retention・Legal Hold 設定 |
| SOA | 中 | 監査・運用での適用 |