ある企業が Azure VM のバックアップを Recovery Services コンテナーで管理しており、コンプライアンス要件として「バックアップデータは少なくとも 7 年間保持され、その間は管理者であっても削除できないこと」が求められている。この要件を満たす最も適切な Azure Backup の設定はどれか。
- A. Recovery Services コンテナーへのアクセスを制限するために、Azure Policy の拒否効果(Deny)でバックアップ削除操作をブロックする
- B. バックアップデータを Azure Storage の WORM(Write Once Read Many)ポリシー付きコンテナーに手動エクスポートして保存する
- C. Recovery Services コンテナーのソフトデリートを有効化し、削除保護期間を 7 年(2557 日)に設定する
- D. Recovery Services コンテナーの不変ストレージ(Immutability)をロック状態で有効化し、ポリシーで 7 年保持を設定する
解答と解説を見る
正解: D
Recovery Services コンテナーの不変ストレージ(Immutability)機能は、コンテナーをロック状態にすることでバックアップポリシーの削除・保持期間の短縮・バックアップデータの削除を管理者を含むすべての操作から防止する機能である。「ロック」状態にすると設定の変更・解除も不可能になるため、コンプライアンス要件の「管理者であっても削除不可」を完全に満たせる。選択肢Cのソフトデリートは論理削除後の 14 日間の保護機能であり、保持期間を 2557 日に設定する機能は持っていない。選択肢Aの Azure Policy の Deny 効果は有効な補完策だが、ポリシーの割り当て変更や例外設定で管理者がバイパスできる可能性があり、技術的な不変性は保証されない。選択肢BのWORM コンテナーへの手動エクスポートは Azure Backup の標準機能外であり、復元オプションも失われ、7 年間の手動管理負荷も極めて高い。
📚 関連サービスの解説: Azure Backup