Microsoft は Azure SQL Database の長期保存(LTR)バックアップに対する WORM(Write Once, Read Many)不変保護機能を一般提供(GA)として公開した。グローバル管理者を含む最高権限のアカウントでもバックアップの変更・削除が一切できなくなる仕組みで、金融・医療・公共機関など規制要件の厳しい業種向けにデータ保護を大幅に強化する。
Azure SQL LTR バックアップ不変保護とは
Azure SQL Database には標準の PITR(Point-in-Time Restore)とは別に、数ヶ月〜最大 10 年単位でバックアップを保持する LTR(Long-Term Retention)機能がある。今回 GA になったのは、この LTR バックアップに対する immutability(不変性)保護だ。
主な特性は以下の通り:
- WORM 保護: バックアップが作成されると、設定された保持期間中は一切の変更・削除が不可能
- 管理者も例外なし: サブスクリプション所有者・グローバル管理者を含むいかなるアカウントもバックアップを変更できない
- Microsoft Entra ID 認証との統合: Entra ID ログインを利用する SQL Database インスタンスではセキュリティ体制がさらに強化
- コンプライアンス監査対応: SOC 2、ISO 27001、PCI DSS、HIPAA 等の監査証跡として機能する変更不可能なバックアップを証明できる
技術的な実装の背景
従来の Azure SQL バックアップは、技術的には管理者権限で削除・変更が可能な状態だった。これは「内部脅威(インサイダー脅威)」や「管理者アカウントの乗っ取り」シナリオでデータが失われるリスクを意味していた。
今回の機能は Azure Blob Storage 側の Immutable Storage ポリシーを活用し、バックアップデータを WORM 状態にロックする。一度コミットされた immutability ポリシーは Azure インフラレベルで保護されるため、アプリケーション層や IAM 層の操作では迂回できない構造になっている。
実務への影響
金融・医療・公共機関への即時インパクト
日本の金融機関では金融商品取引法・銀行法によるデータ保存要件、医療機関では診療録等の保存義務、公共機関では各種法令に基づくデータ保全義務が存在する。「バックアップは存在するが管理者なら消せる」状態では規制当局の監査対応が難しいケースがあったが、この機能により「物理的に変更不能なバックアップ」を証明できるようになる。
IT 管理者・DBA が明日から使えるポイント
- 既存 LTR バックアップへの適用確認: 新機能はポリシー設定が必要。Azure Portal のデータベース設定から「長期保存」→「不変性ポリシー」を有効化する
- 保持期間の事前設計: WORM ポリシーは一度ロックすると期間変更が難しい。1 年・3 年・7 年など業務要件をあらかじめ確定してから設定することが重要
- Entra ID ログインへの移行推進: SQL 認証(ユーザー名/パスワード)ではなく Entra ID 統合認証を使っているインスタンスで効果が最大化される。まだ SQL 認証を使っている DB があれば、このタイミングで移行を検討したい
筆者の見解
セキュリティ系の機能は「また細かいルールが増えた」と敬遠されがちだが、この機能は本質的な価値があると思っている。管理者権限を持つ人間ですら消せないバックアップというのは、ゼロトラストの観点から言えばもっと早く実装されるべきだったものだ。「アクセス権を持つ人間を信じる」のではなく、「アーキテクチャレベルで変更を不可能にする」という設計思想は正しい方向性だ。
実際の企業では、バックアップを削除できるのが事実上の特権管理者のみに限られているケースが多く、「その管理者は信頼できるから大丈夫」という運用になりがちだ。しかし特権アカウントの乗っ取りは現実的な脅威であり、常時変更権限を付与したままにしておくこと自体が構造的なリスクになる。この機能はその問題をアーキテクチャで解決している。
Azure として単なる機能追加ではなく「規制対応プラットフォームとして選ばれる基盤を作る」という長期戦略の一環だろう。この領域での着実な進化は評価できる。バックアップポリシーの見直しを先送りにしてきた組織には、GA 化されたこのタイミングが整理の好機になるはずだ。
出典: この記事は Azure SQL Database LTR Backup Immutability is now Generally Available の内容をもとに、筆者の見解を加えて独自に執筆したものです。