ONTAP 9のSnapLock機能

SnapLockとは

SnapLock機能は、ONTAP 9リリースのclustered Data ONTAPで導入されました。保持データのデータ保持とWORM保護の機能を提供する、ハイパフォーマンスなコンプライアンス解決策です。SnapLockは、設定された保持期限までファイルの書き換えや削除を防止するために、変更や消去ができないボリュームを作成します。CIFSとNFSをファイルレベルで保持できます。

この機能を有効にする方法

SnapLockはライセンスベースの機能で、エンタープライズモードとコンプライアンスモードの2つのモードがあります。

• SnapLock Compliance（SLC）は、SEC 17a-4（f）ルール、  FINRA、CFTCなどのデータ保持に関する厳格な規制要件 や、ドイツ語圏の国家要件（DACH）を実装しています。  SnapLock Complianceにコミットされたボリュームは変更できません。また、削除できるのは WORMデータが 保持期間を過ぎてからです。
• SnapLock Enterprise （SLE）は、WORMタイプのデータストレージを使用してデジタル資産を保護するためのベストプラクティスガイドラインを実装しています。SnapLock Enterpriseボリュームに格納されているデータを変更または変更することはできません。データの保存は、厳格なコンプライアンスのためのものではありません。また、保持期間が終了する前に、SnapLock Enterpriseボリュームをホストするストレージシステム上のルートPrivilegesを使用して、管理者がSnapLock Enterpriseデータを削除することもできます。

SnapLock Complianceモードとエンタープライズモードでは、どのような機能がサポートされていますか。

ComplianceとEnterpriseの機能の違いに関する最新情報については、ドキュメントを参照してください。

SnapLockではどのようなONTAP機能がサポートされていますか。

SnapLock Complianceモード、SnapLock Enterpriseモード、またはその両方でサポートされる機能の最新情報については、ドキュメントを参照してください。

保持期間はどのようにして決定されますか。

SnapLockは、ソフトウェアベースの改ざん防止クロックであるclustered Data ONTAPのComplianceClockサービスに依存しています。ComplianceClockは管理者が1回だけ初期化でき、その後はハードウェアティックに基づいて処理されます。初期化されると、管理者は前方調整を原因する操作を実行できなくなります。これにより、リファレンス・クロックを順方向に調整してもWORMファイルの保持期間が短縮されることはありません。

SnapLock Complianceクロックとは何ですか？

システムComplianceClock（SCC）はノードごとに維持されます。ComplianceClockを初期化できるのはノードごとに1回だけです。
ボリュームComplianceClock（VCC）は、SnapLockボリュームごとの個 々 のComplianceClockです。特定のSnapLockボリュームのデータに関連する保持の決定は、すべてそのボリュームのVCCに基づいて行われます。すべてのSnapLockボリュームのVCCは、互いに独立して実行されます。VCCはSnapLockボリュームの作成時に初期化されます。VCCはSCCから初期値を取得し、変更することはできません。SnapLockボリュームを作成する前にSCCを初期化する必要があります。

保持期間に使用できる値を教えてください。

SnapLockボリュームごとに個別の保持期間を設定できます。ONTAP 9では、保持期間が終了するまで保持が強制されます。保持期間が終了すると、レコードは削除できますが変更することはできません。ONTAP 9はレコードを自動的に削除しません。すべてのレコードは、手動で削除するか、アプリケーションを使用して削除する必要があります。保持期間はVCCに基づいて計算されます。保持期間は将来の日付または無期限に延長できますが、短縮することはできません。SLCボリュームまたはSLEボリュームには、最小保持期間、最大保持期間、およびデフォルトの保持期間の3つの保持期間があります。

SnapLock - Minimum Period：SnapLockボリュームでファイルがコミットされ、保持期間がこれ以上に設定されます。管理者はいつでも増やすことができます。ただし、この値を変更しても、既存のWORMファイルの保持期間には影響しません。SLEおよびSLCのSnapLock最小期間のデフォルト値は0年です。
snapm-maximum-period：ファイルをSnapLock状態にコミットする際の最大保持期間を制限します。WORMファイルの保持期間を延長している場合、この値は無視されます。この値を変更しても、既存のWORMファイルの保持期間には影響しません。
SLEおよびSLCのSnapLock最大期間のデフォルト値は30年です。
WORM -default-period：デフォルトの保持期間は、保持期間が明示的に設定されていない場合にSnapLockファイルをコミットする際の保持期間の計算に使用されます。WORMファイルの保持期限を指定するには、次の2つの方法があります。

• NFS/CIFS属性設定操作を使用したファイルatimeの設定
• ファイルをWORM状態にコミットする前に保持期限（ファイルatime）が設定されていない場合、SnapLockはボリュームのSnapLock default-periodを使用して保持期限を設定します。

SnapLockには他にどのような機能がありますか？

• 自動コミット：SnapLockの自動コミット機能は、指定した自動コミット期間中にファイルが変更されず、ボリュームレベルで設定されている場合に、ファイルを自動的にWORM状態にコミットします。SnapLockボリュームがオフラインになるか制限状態になると、この機能は無効になります。この機能は、ボリュームが再びオンラインになると自動的に有効になります。
• privilege deleteはSLEボリュームでのみ使用でき、権限を持つユーザは保持期間に達する前にファイルを削除できます。この機能を使用するには、SnapLock監査ログを設定する必要があります。削除は、追跡目的でSLCログボリューム上の監査ファイルに記録されます。
• 追記可能WORMファイル：追記可能WORMファイルを作成してデータを追記できます。データは256Kのチャンクに追加され、このサイズは変更できません。
• ファイルフィンガープリントは、ファイル関連のメタデータをキャプチャし、MD5やSHA-256などの標準のハッシュアルゴリズムを使用して、ファイルのデータとメタデータに基づいてハッシュダイジェストを計算します。これにより、ユーザーはファイルの整合性を検証できます。SnapLockはファイルフィンガープリントデータをディスクに格納しませんが、ONTAP CLIまたはZAPIを使用して外部にエクスポートされます。
• ファイルのWORM状態へのコミット：アプリケーションを使用して、NFSまたはCIFS経由でファイルをWORM状態にコミットするか、SnapLockの自動コミット機能を使用できます。追記可能WORMファイルを使用して、ログ情報やファイルメタデータのように段階的に書き込まれたデータを保持します。
• データ保護：SnapLock for SnapVaultを使用して、セカンダリストレージ上のSnapshotコピーをWORM方式で保護できます。SnapMirrorを使用すると、ディザスタリカバリ用にWORMファイルを別の場所にレプリケートできます。

注：ONTAP 9 .5以降では、SnapLock EnterpriseボリュームまたはSnapLock Complianceボリュームのいずれかを監査ログに使用できます。