【サイバーセキュリティ】バックアップの実施方法 ― ランサムウェアからデータを守る実践ガイド
~ 「3-2-1ルール」とイミュータブルバックアップで、最悪の事態に備える ~
「バックアップは毎日取っていたのに、ランサムウェアにバックアップごと暗号化された。」
これは、実際に中小企業で起きている事例です。「バックアップを取っていれば安心」という時代は終わりました。現代のランサムウェアは、本番データだけでなくバックアップデータも標的にするのが常識です。攻撃者は侵入後、まずバックアップを探し出して破壊してから、本番データの暗号化を開始します。
つまり、バックアップの取り方そのものを見直さなければ、ランサムウェアへの備えにはなりません。
本記事では、中小企業がランサムウェア時代に対応するためのバックアップ戦略を、基本概念から具体的な実施手順まで解説します。
💡 セキュリティ対策の全体像
バックアップは、NISTサイバーセキュリティフレームワークの「復旧(Recover)」フェーズに位置する、事業継続の最後の砦です。対策の全体像については「【サイバーセキュリティ】セキュリティ対策の全体像がわかるようになる」をご覧ください。
この記事でわかること
- なぜ従来のバックアップではランサムウェアに対抗できないのか
- バックアップの基本「3-2-1ルール」と進化版「3-2-1-1-0ルール」
- イミュータブル(不変)バックアップとは何か
- 中小企業が実践すべきバックアップ戦略(4つのステップ)
- バックアップソリューションの種類と選び方
- 助成金を活用した導入方法
1. なぜ従来のバックアップでは不十分なのか
ランサムウェアが「バックアップ」を狙う理由
攻撃者の目的は「身代金を支払わせること」です。そのためには、被害者にとって「お金を払う以外に復旧手段がない」状態を作り出す必要があります。
もし被害者がバックアップからデータを復旧できてしまえば、身代金を支払う理由がなくなります。だからこそ、攻撃者はバックアップを最優先で破壊します。
典型的なランサムウェア攻撃の手順:
- フィッシングメールや脆弱性を利用して侵入
- 社内ネットワークを偵察し、管理者権限を奪取
- バックアップサーバーを特定し、バックアップデータを削除・暗号化
- シャドウコピー(Windows標準のバックアップ機能)を削除
- 本番データの暗号化を開始
- 身代金要求
手順3に注目してください。バックアップの破壊は、本番データの暗号化よりも先に行われます。つまり、「バックアップがあるから大丈夫」という前提が崩されているのです。
「NAS上の共有フォルダにバックアップ」の問題
多くの中小企業では、社内のNAS(ネットワーク接続型ストレージ)の共有フォルダにバックアップデータを保管しています。しかし、このNASが社内ネットワーク上に存在する限り、ランサムウェアから見れば本番データと同じ「アクセス可能な場所」に過ぎません。
従来型バックアップの弱点:
| バックアップ方法 | ランサムウェアからの耐性 |
|---|---|
| 同一NASの別フォルダ | × ネットワーク経由で暗号化される |
| 社内の別NAS | × 同一ネットワーク上にあれば暗号化される |
| 外付けHDDをUSB接続 | △ 接続中は暗号化のリスクあり。取り外し時は安全 |
| クラウドストレージ(同期型) | × OneDrive/Google Driveの同期フォルダは暗号化ファイルで上書きされる |
| クラウドバックアップ(隔離型) | ◎ ネットワークから論理的に分離されている |
| イミュータブルバックアップ | ◎ 一度書き込んだデータは削除・変更不可 |
2. バックアップの基本原則 ― 「3-2-1ルール」と「3-2-1-1-0ルール」
3-2-1ルール(基本)
バックアップの最も基本的な原則は3-2-1ルールです。
| ルール | 内容 |
|---|---|
| 3 | データのコピーを3つ持つ(本番データ+バックアップ2つ) |
| 2 | 2種類の異なるメディアに保存する(例:NAS+クラウド) |
| 1 | 1つはオフサイト(社外の物理的に離れた場所)に保管する |
3-2-1-1-0ルール(ランサムウェア時代の進化版)
ランサムウェアの脅威に対応するため、3-2-1ルールを拡張した3-2-1-1-0ルールが推奨されています。
| ルール | 内容 |
|---|---|
| 3 | データのコピーを3つ持つ |
| 2 | 2種類の異なるメディアに保存する |
| 1 | 1つはオフサイトに保管する |
| 1 | 1つはオフラインまたはイミュータブル(不変)で保管する |
| 0 | リストア(復元)テストのエラーがゼロであることを確認する |
追加された「1」と「0」が、ランサムウェア対策のキーポイントです。
3. イミュータブルバックアップとは ― 「攻撃者にも消せない」バックアップ
イミュータブル(不変)バックアップの仕組み
イミュータブルバックアップとは、一度書き込まれたデータを、設定された保持期間が経過するまで誰にも削除・変更できないようにするバックアップ方式です。
WORM(Write Once, Read Many)技術を使用しており、管理者であっても、ランサムウェアであっても、保持期間中のデータを消去することは不可能です。
| 項目 | 通常のバックアップ | イミュータブルバックアップ |
|---|---|---|
| 削除可能性 | 管理者もマルウェアも削除可能 | 保持期間中は誰も削除不可 |
| 変更可能性 | 上書き・暗号化が可能 | 保持期間中は変更不可 |
| ランサムウェア耐性 | 低い(暗号化される) | 高い(改ざん不可) |
隔離型クラウドバックアップ
イミュータブルバックアップと並んで重要なのが隔離型クラウドバックアップです。社内ネットワークとは論理的に分離されたクラウド上にバックアップを保管する方法です。
ランサムウェアは社内ネットワーク上のリソースを横展開しますが、ネットワークから切り離されたクラウド上のバックアップには到達できません。
4. バックアップ戦略の実施手順 ― 4つのステップ
ステップ1:バックアップ対象と優先順位を決める
すべてのデータを同じ頻度・方法でバックアップする必要はありません。情報資産管理台帳の重要度に基づいて優先順位を決めます。
| 重要度 | バックアップ対象例 | バックアップ頻度 | 保持期間 |
|---|---|---|---|
| A(最重要) | 顧客データ、財務データ、基幹システムDB | 日次(毎日) | 90日以上 |
| B(重要) | 取引先契約書、社内規程、メールデータ | 日次~週次 | 30~90日 |
| C(一般) | Webサイトコンテンツ、会議議事録 | 週次~月次 | 30日 |
ステップ2:バックアップ方式を設計する
3-2-1-1-0ルールに基づいて、バックアップの構成を設計します。
中小企業向け推奨構成例:
| コピー | 保管場所 | 方式 | 役割 |
|---|---|---|---|
| 1(本番) | 社内サーバー/NAS | ― | 日常業務で使用するデータ |
| 2(バックアップ①) | クラウドバックアップ(隔離型) | 日次自動 | ランサムウェアから隔離された復旧用コピー |
| 3(バックアップ②) | イミュータブルストレージ | 日次自動 | 改ざん不可能な最終防衛ラインのコピー |
ステップ3:リストア(復元)テストを実施する
バックアップは「取ること」が目的ではなく、「確実に復元できること」が目的です。3-2-1-1-0ルールの「0(エラーゼロ)」を確認するために、定期的なリストアテストを実施してください。
リストアテストのチェック項目:
| 確認項目 | 内容 |
|---|---|
| 復元可能性 | バックアップからデータを正常に復元できるか |
| データの完全性 | 復元したデータに欠損や破損がないか |
| 復元にかかる時間 | 実際の復元にどの程度の時間がかかるか(RTO: 目標復旧時間の範囲内か) |
| 復元手順の明確性 | 手順書通りに作業できるか、属人化していないか |
推奨テスト頻度: 四半期に1回以上。少なくとも年2回は実施してください。
ステップ4:バックアップ運用ルールを策定する
バックアップの運用をルール化し、担当者の異動や退職があっても継続できるようにします。
運用ルールに含めるべき項目:
- バックアップの実行スケジュール(日次/週次)
- バックアップの正常完了確認の方法と担当者
- バックアップ失敗時のエスカレーション手順
- リストアテストの実施頻度と担当者
- バックアップデータの保持期間
- バックアップ担当者の代理者
5. バックアップソリューションの種類と選び方
中小企業向けバックアップソリューションの分類
| 種類 | 具体例 | 特徴 | ランサムウェア耐性 | コスト感 |
|---|---|---|---|---|
| クラウドバックアップ(隔離型) | Acronis Cyber Protect Cloud、Veeam Backup、Arcserve UDP Cloud | 社内NWから隔離。自動化・管理が容易 | ◎ | 月額1,000~3,000円/台 |
| イミュータブルストレージ | Amazon S3 Object Lock、Azure Immutable Blob、Wasabi | WORM機能で削除不可 | ◎ | 容量課金 |
| オフライン型(LTO/RDX) | LTOテープ、RDXカートリッジ | 物理的にNWから分離。大容量 | ◎ | 初期投資+メディア代 |
| NAS間レプリケーション | Synology/QNAP NASのリモートレプリケーション | 遠隔地NASにコピー | △(NW接続時はリスクあり) | NAS本体+回線 |
中小企業におすすめの構成パターン
パターンA: クラウドバックアップ中心(最も手軽)
- 本番データ: 社内サーバー/NAS
- バックアップ①: クラウドバックアップサービス(Acronis等)で日次自動バックアップ
- バックアップ②: クラウド上のイミュータブルストレージに週次で世代管理
パターンB: ハイブリッド構成(バランス重視)
- 本番データ: 社内サーバー/NAS
- バックアップ①: 社内の別NASにローカルバックアップ(高速復旧用)
- バックアップ②: クラウドバックアップ(ランサムウェア対策用)
パターンC: オフライン重視(最高のセキュリティ)
- 本番データ: 社内サーバー/NAS
- バックアップ①: クラウドバックアップ
- バックアップ②: LTOテープまたはRDXに定期バックアップし、金庫で保管
6. RPOとRTOを理解する ― 「どこまで戻せるか」と「いつ復旧できるか」
バックアップ設計で重要な2つの指標を理解しておきましょう。
| 指標 | 意味 | 例 |
|---|---|---|
| RPO(目標復旧時点) | データをどの時点まで戻せるか | RPO=24時間 → 最大で24時間分のデータが失われる |
| RTO(目標復旧時間) | 復旧にどのくらいの時間がかかるか | RTO=4時間 → 4時間以内に業務を再開する |
| データ重要度 | RPO目安 | RTO目安 |
|---|---|---|
| A(最重要) | 1~4時間 | 4時間以内 |
| B(重要) | 24時間 | 24時間以内 |
| C(一般) | 72時間 | 72時間以内 |
RPOを短くするにはバックアップ頻度を上げる必要があり、RTOを短くするには高速な復元手段が必要です。どちらもコストとのトレードオフですので、情報資産の重要度に応じてメリハリをつけることが重要です。
7. 助成金との関係
バックアップシステムの導入費用は、東京都のサイバーセキュリティ対策促進助成金の対象経費です。
| 項目 | 内容 |
|---|---|
| 助成率 | 対象経費の1/2 |
| 上限額 | 500万円 |
| 対象要件 | SECURITY ACTION 二つ星を宣言済みの都内中小企業 |
| 対象経費 | バックアップシステム、クラウドバックアップサービス、UTM、EDR等 |
💡 おすすめの進め方
「サイバーセキュリティ やり切りパック」でSECURITY ACTION二つ星を取得 → 助成金を申請 → 採択後にバックアップシステムを導入。
8. よくある質問(Q&A)
Q1. OneDriveやGoogle Driveの同期機能はバックアップになりますか?
A. いいえ、バックアップの代替にはなりません。 同期機能は、PCのフォルダをクラウドにリアルタイムで同期するものです。ランサムウェアがPCのファイルを暗号化すると、暗号化されたファイルがクラウドにも同期されてしまいます。ただし、OneDrive/Google Driveには「バージョン履歴」機能があり、過去のバージョンに戻すことは可能です。これは「ないよりはまし」ですが、本格的なバックアップの代替にはなりません。
Q2. バックアップにはどのくらいの費用がかかりますか?
A. 中小企業(30名規模)の場合、クラウドバックアップサービスの月額は1台あたり1,000~3,000円程度です。30台で年間36万~108万円が目安です。これを東京都の助成金で半額にすれば、年間18万~54万円になります。
Q3. バックアップの頻度はどのくらいが適切ですか?
A. 重要度Aのデータは日次(毎日)、重要度Bは日次~週次、重要度Cは週次~月次が目安です。業務でデータの更新頻度が高い場合は、1日に複数回のバックアップ(差分/増分)を検討してください。
Q4. バックアップから復旧するのにどのくらい時間がかかりますか?
A. データ量とバックアップの保管場所によります。社内NASからの復旧であれば数時間、クラウドからの復旧(大量データ)であれば1~3日程度が目安です。RTOを短くしたい場合は、ローカル+クラウドのハイブリッド構成が有効です。
Q5. テープバックアップは古い技術ですか?
A. いいえ、テープ(LTO)は現在もバックアップの有力な手段です。物理的にネットワークから切り離して保管できるため、ランサムウェアに対する耐性が非常に高い方法です。大企業では現在もテープバックアップを最終防衛ラインとして活用しています。
Q6. バックアップの外部委託は可能ですか?
A. 可能です。マネージドバックアップサービスを提供するベンダーに依頼すれば、バックアップの設計・運用・監視・リストアテストまでを一括で対応してもらえます。自社にIT専任者がいない場合は、外部委託を検討してください。
Q7. ランサムウェアに感染した場合、身代金を支払うべきですか?
A. 支払うべきではありません。 支払っても復号キーが提供されない場合がありますし、支払いが次の攻撃を助長します。身代金を支払わなくても復旧できるよう、イミュータブルバックアップと隔離型クラウドバックアップを事前に整備しておくことが最善策です。
まとめ:バックアップは「最後の砦」― 正しく設計すれば事業を救う
バックアップは、すべてのセキュリティ対策が突破された後の最後の砦です。正しく設計・運用すれば、ランサムウェア被害を受けても身代金を支払うことなく事業を復旧できます。
本記事のポイントを整理します。
- 従来のバックアップでは不十分 ― ランサムウェアはバックアップも標的にする
- 3-2-1-1-0ルールを適用する ― イミュータブルまたはオフラインのコピーを1つ持つ
- イミュータブルバックアップで「誰にも消せないバックアップ」を確保する
- 定期的なリストアテストで「本当に復旧できるか」を確認する
- バックアップシステムは助成金の対象経費 ― 費用負担を半減できる
「何から始めればいいかわからない」なら、まずはご相談ください。
アクセルパートナーズでは、バックアップ戦略の設計から、助成金を活用した導入支援、セキュリティルールの整備までワンストップで対応しています。
- ルール整備・SECURITY ACTION取得 → サイバーセキュリティ やり切りパック
- バックアップシステムの導入(助成金活用) → 東京都サイバーセキュリティ対策促進助成金 申請サポート
初回相談(60分・Zoom)は無料です。「自社のバックアップは大丈夫か」を一緒に確認するところから始めましょう。
お問い合わせ:0120-659-057(平日 9:30~18:00)
編集:アクセルパートナーズ
出典・参考資料:
- 警察庁「令和6年におけるサイバー空間をめぐる脅威の情勢等について」
- IPA「情報セキュリティ10大脅威 2025」
- NIST SP 800-34「Contingency Planning Guide for Federal Information Systems」
アクセルパートナーズ 取締役・中小企業診断士
国内Sier企業でシステムエンジニア、PM、研修講師、法人営業を経験。 人と組織の成長を支えるマネジメントに携わる。2023年 中小企業診断士登録。2025年 アクセルパートナーズの理念や行動指針に強く共感し、取締役として参画。
