APC 技術ブログ

株式会社エーピーコミュニケーションズの技術ブログです。

株式会社 エーピーコミュニケーションズの技術ブログです。

トップ > Databricks > Azure Data Lake Storageにおける包括的データガバナンスの実践ガイド

Azure Data Lake Storageにおける包括的データガバナンスの実践ガイド

Databricks DAIS2025
< techblogAPCについて(はじめにお読み下さい) >

Azure Data Lake Storageにおける包括的データガバナンスの実践ガイド


先日開催されたカンファレンスで、MicrosoftのAzure Data Lake Storage(ADLS)チームに所属するJames Baker氏とSantosh Pillai氏による「Comprehensive Data Management and Governance With Azure Data Lake Storage」というセッションが行われました。データが「新しい石油」と称される現代において、その価値を最大限に引き出し、同時にリスクを管理するデータガバナンスは、もはや避けては通れないテーマです。

本記事では、このセッションの内容を基に、ADLSが提供するデータガバナンスの主要な機能と、それらを実務でどのように活用できるかを、テックブロガーの視点から客観的に解説します。この記事を読めば、自社のデータレイク環境におけるガバナンス戦略を具体化するためのヒントが得られるはずです。

※本記事は、Data + AI Summit のセッションを現地で視聴したエンジニアが、内容をできる限り客観的に共有することを目的に、生成AIを活用して作成したものです。 ― エーピーコミュニケーションズ Lakehouse部

データガバナンスの重要性とADLSの役割

セッションの冒頭でJames Baker氏は、「ETLジョブやBIダッシュボードはデータガバナンスがなくても動くが、データという重要な資産を守り、その価値を維持するためにはガバナンスが不可欠だ」と強調しました。ガバナンスなきデータレイクは、かつてのHadoop時代のように、何がどこにあるか分からない「データスワンプ(データの沼)」に陥りがちです。

Azure Data Lake Storage (ADLS) は、このような課題に対応するため、ストレージレイヤー自体にデータガバナンスのための機能を組み込んでいます。講演では、ADLSにおけるデータガバナンスが、以下の4つの主要領域で構成されると説明されました。


1. データ保護 (Data Protection)
2. ライフサイクル管理 (Lifecycle Management)
3. 可観測性 (Observability)
4. アクセス制御 (Data Access)

本記事では、これらの領域について、講演で示された具体例やデモを交えながら掘り下げていきます。

データガバナンスの主要領域

データ保護: Vaulted BackupとZRSを活用したランサムウェア対策

データガバナンスの最も基本的な要素は、データを脅威から保護することです。講演では、データ保護における3つの主要な脅威が挙げられました。


* 偶発的な変更・削除: 人為的なミスによるデータ損失。例えば、誤ったSQLステートメントの実行やディレクトリの削除などが該当します。
* インフラ障害: クラウドインフラのゾーン障害や、地震などのリージョン規模の災害。
* マルウェア・ランサムウェア: 悪意のある第三者によるデータ侵害や暗号化攻撃。

これらの脅威に包括的に対応する鍵として、講演者が特に強調したのが「Vaulted Backupとゾーン冗長ストレージ(ZRS)の組み合わせ」です。

Vaulted Backupは、バックアップデータをプライマリのストレージアカウントとは物理的・論理的に隔離された「バックアップボールト」に継続的に複製する仕組みです。これにより、仮にプライマリアカウントがランサムウェアに感染し、データが暗号化されても、隔離されたバックアップデータは保護されます。攻撃者がプライマリアカウントのアクセス権を奪取しても、バックアップボールトにはアクセスできないため、身代金を支払うことなくデータを復元できます。

さらに、ZRSを有効にすると、同一リージョン内の複数の物理的なデータセンターに同期的にデータが複製されます。これにより、特定の施設で障害が発生しても、サービスの可用性を高い水準で維持できます。

講演では、ソフトデリートなど他の保護機能も紹介されましたが、これら3つの脅威すべてに単独で対応できるのはVaulted Backupであると述べられていました。したがって、包括的な保護を実現するための推奨ソリューションは「Vaulted Backup + ZRS」である、というのがセッションの明確なメッセージでした。

ライフサイクル管理: Azure Storage Actionsによる自動化とコスト最適化

データのライフサイクル管理は、コスト最適化とコンプライアンス遵守という2つの側面で重要です。アクセス頻度の低いデータを安価なストレージ階層(クール層やアーカイブ層)に移動させたり、法規制や社内ポリシーで定められた保持期間を過ぎたデータを自動的に削除したりする必要があります。

この課題に対し、セッションではSantosh Pillai氏が「Azure Storage Actions」を用いたデモンストレーションを行いました。これは、データに対する操作をポリシーベースで自動化する機能です。デモでは、以下の具体的なシナリオが紹介されました。

  1. ホット層にあるデータが作成されてから60日(2ヶ月)経過したら、自動的にクール層へ移動させる。
  2. データが作成されてから180日(6ヶ月)経過したら、自動的に削除する。

ルール設定はAzure PortalやCLIから行え、「creationTimeが60日より前」かつ「accessTierがHot」といった条件と、アクション(setBlobTierをCoolにするなど)を組み合わせて定義します。これらのストレージアクションはスケジュール実行が可能で、数百万~数千万のオブジェクトにもスケールして対応できるのが大きな特徴です。

手動での管理が非現実的な大規模データレイクにおいて、このような自動化ツールは、コスト管理とコンプライアンス遵守を両立させるための必須機能と言えるでしょう。

可観測性: ワークロード・ユーザー別の監視と異常検知

データが「どのように使われているか」を把握することは、パフォーマンスの最適化や異常検知、さらにはどのデータがビジネスにとって価値があるかを見極める上で不可欠です。これを実現するのが「可観測性(Observability)」です。

講演でJames Baker氏は、従来のストレージアカウント全体でのメトリクス監視だけでは不十分だと指摘しました。実際の運用では、複数のワークロードやユーザーが同じデータセットにアクセスするため、「どのワークロードが、どのユーザーが、どれだけの負荷をかけているのか」を切り分けて分析する必要があります。

例えば、Databricksから実行される複数のETLジョブが同じテーブルにアクセスしている場合、特定のジョブだけが予期せぬ大量のI/Oを発生させているかもしれません。ワークロード別に帯域幅やリクエスト数を可視化できれば、このような問題を迅速に特定し、SQLクエリの最適化など具体的な対策を講じることが可能になります。

講演で示されたスライドは製品のスクリーンショットではないとのことでしたが、今後のADLSでは、こうしたワークロード別やユーザー別の詳細な監視機能を強化していく方向性が示唆されました。

アクセス制御: RBAC/ACLによるポリシー戦略

データガバナンスの中核をなすアクセス制御についても言及がありました。ADLSでは、Azure RBAC(ロールベースのアクセス制御)とPOSIX 準拠のACL(アクセス制御リスト)をサポートしており、アカウント・コンテナ・ディレクトリ単位での権限設定が可能です。

しかし、数万ものデータ資産に対して個別に権限を設定するのは現実的ではありません。そこで重要になるのが、ポリシーベースでのスケーラブルな管理です。講演では、中央集権的なポリシーと、各データオーナーによる分権的なポリシーを組み合わせるハイブリッドなアプローチが有効だと述べられました。

例えば、IT部門が「個人情報を含むデータは、特定のセキュリティグループ以外はアクセス不可」という全社的なポリシーを強制しつつ、各事業部のデータオーナーが、そのルールの範囲内で自身のチームメンバーに個別の読み取り権限を付与する、といった運用が考えられます。これにより、組織全体での統制と、現場での柔軟なデータ活用を両立させることができます。

実務への適用と将来展望

セッションの後半では、今後のADLSの進化の方向性についても語られました。特に注目すべきは以下の3点です。

  1. オープンテーブル形式との連携強化
    Delta LakeやApache Icebergといったオープンテーブル形式は、データレイクに信頼性とパフォーマンスをもたらす技術です。セッションでは、トランザクションログとデータファイルの同期性や階層化の課題に言及し、今後はテーブル単位での階層化サポートや一貫性を保ったバックアップといった機能強化に向けた取り組みが検討されていることが示されました。

  2. ポリシー適用粒度の拡張
    現在のライフサイクル管理などはコンテナ単位やアカウント単位での設定が主ですが、将来的にはテーブル単位やワークロード単位といった、よりビジネスの実態に即した粒度でポリシーを適用できるようになることが期待されます。

  3. データカタログとの統合
    Databricks Unity Catalogのようなデータカタログは、データの意味や分類、ポリシー情報を保持する「ガバナンスの頭脳」です。ADLSがこれらのカタログと緊密に連携し、カタログに定義されたポリシーをストレージレイヤーで効率的に実行できるよう、プラットフォーム全体の統合が強化されていくとのことです。

まとめと次のステップ

今回のセッションは、ADLSが単なる大容量ストレージではなく、エンタープライズレベルのデータガバナンスを実現するための包括的なプラットフォームへと進化を続けていることを明確に示していました。

本記事で解説したデータ保護、ライフサイクル管理、可観測性、アクセス制御という4つの領域は、データガバナンスを考える上での優れたフレームワークです。まずは自社のデータレイク環境が、これらの領域でどのような対策を講じているかを確認することから始めてみてはいかがでしょうか。

特に、ランサムウェア対策としての「Vaulted Backup + ZRS」の導入や、「Azure Storage Actions」によるライフサイクル管理の自動化は、すぐにでも検討価値のある具体的なアクションプランです。

講演の最後に紹介された「The Hitchhiker's Guide to the Data Lake」などのリソースも、ADLSを効果的に活用するための実践的なヒントが満載ですので、ぜひ参考にしてみてください。データガバナンスへの取り組みは長い道のりですが、ADLSのような強力なツールを活用し、一歩ずつ着実に進めていくことが重要です。