3-2-1バックアップルールとは?中小企業のデータ保護を確実にする実践ガイド
「バックアップは取っています」という企業でも、実際にデータ復旧が必要になった時に復元できないケースは少なくありません。バックアップ先がランサムウェアに同時に暗号化されていた、バックアップ自体が数ヶ月前のもので役に立たなかった、という事例は日常的に発生しています。
こうした事態を防ぐための指針として広く知られているのが「3-2-1バックアップルール」です。本記事では、このルールの基本から中小企業での実践方法までを解説します。
3-2-1バックアップルールとは
3-2-1ルールは、米国のセキュリティ専門家が提唱したバックアップの基本原則です。
- 3:データのコピーを最低3つ保持する(本番データ+バックアップ2つ)
- 2:2種類以上の異なるメディアに保存する(例:SSD+NAS、ローカルディスク+クラウド)
- 1:1つはオフサイト(遠隔地)に保管する
この3つの条件を満たすことで、ハードウェア障害、ランサムウェア、自然災害のいずれが発生しても、少なくとも1つのバックアップからデータを復旧できる可能性が高まります。
なぜ今、3-2-1ルールが重要なのか
ランサムウェアの進化
最近のランサムウェアは、本番データだけでなくバックアップサーバーも標的にします。ネットワーク上にバックアップが1つしかない場合、本番データとバックアップが同時に暗号化されるリスクがあります。オフラインまたはイミュータブル(変更不可)なバックアップが不可欠です。
クラウドサービスの責任共有モデル
Microsoft 365やGoogle Workspaceを利用していても、データの保護責任はユーザー側にあります。Microsoftのサービス規約には「お客様のコンテンツとデータを定期的にバックアップすることをお勧めします」と明記されています。誤削除、退職者のアカウント削除に伴うデータ消失、ランサムウェアによる同期ファイルの暗号化など、クラウドでもデータ喪失リスクは存在します。
BCP(事業継続計画)の要件
災害時にオフィスが使えなくなった場合、オフサイトのバックアップがなければ業務を再開できません。取引先からBCP対応を求められるケースも増えており、バックアップ体制は経営課題でもあります。
中小企業での実践構成例
構成パターン1:ファイルサーバー+NAS+クラウド
| 層 | 保管場所 | 役割 |
|---|---|---|
| 本番データ | ファイルサーバー(社内) | 日常業務で使用 |
| バックアップ1 | NAS(社内別セグメント) | 日次バックアップ。迅速な復元用 |
| バックアップ2 | クラウドストレージ(遠隔地) | ランサムウェア・災害対策 |
NASへのバックアップは高速で、誤削除やハードウェア障害時に素早く復旧できます。クラウドはランサムウェアや災害時の最終防衛線です。
構成パターン2:Microsoft 365+専用バックアップサービス
| 層 | 保管場所 | 役割 |
|---|---|---|
| 本番データ | Microsoft 365(Exchange, SharePoint, OneDrive) | 日常業務で使用 |
| バックアップ1 | M365バックアップサービス(クラウド) | 日次バックアップ |
| バックアップ2 | NASまたは外付けHDD(オフライン) | ランサムウェア対策 |
Microsoft 365向けバックアップソリューション
Microsoft 365のデータを保護する主要なサードパーティサービスを紹介します。
Veeam Backup for Microsoft 365:業界シェアトップクラス。Exchange、SharePoint、OneDrive、Teamsのバックアップに対応。自社サーバーまたはクラウドにバックアップデータを保存でき、柔軟な構成が可能です。
AvePoint Cloud Backup:SaaS型のため導入が容易です。自動バックアップとポイントインタイムリストアに対応し、管理画面もわかりやすいのが特徴です。
Acronis Cyber Protect Cloud:バックアップに加え、マルウェア対策やパッチ管理も統合されたオールインワンソリューション。MSP(マネージドサービスプロバイダー)向けの製品ですが、中小企業でも利用可能です。
コスト目安
Microsoft 365バックアップサービスの月額費用は、1ユーザーあたり200〜500円が目安です。50名規模の企業であれば月額1万〜2.5万円程度のコストで、データ喪失リスクを大幅に低減できます。
バックアップのテストを忘れない
バックアップで最も見落とされがちなのが「リストアテスト」です。バックアップが正常に取得できていても、復元できなければ意味がありません。
- 四半期に1回:バックアップからのリストアテストを実施する
- リストア対象:ファイル単位、メールボックス単位、サーバー全体の3パターンを検証する
- 復旧時間の計測:RTO(目標復旧時間)に収まるかを確認する
- 手順書の更新:テスト結果を基にリストア手順書を最新化する
3-2-1ルールの拡張:3-2-1-1-0
近年では、ランサムウェア対策を強化した「3-2-1-1-0」ルールも提唱されています。
- 1(追加):1つはオフラインまたはイミュータブルなバックアップ
- 0(追加):バックアップエラーが0件であることを確認
イミュータブルバックアップとは、一度書き込んだデータを一定期間変更・削除できない仕組みです。ランサムウェアがバックアップを暗号化する攻撃に対して有効です。
まとめ
3-2-1バックアップルールは、シンプルでありながら効果的なデータ保護の基本原則です。特にランサムウェアの脅威が高まる現在、オフサイトかつオフラインのバックアップを持つことの重要性は増しています。
まずは自社のバックアップ体制を3-2-1ルールに照らし合わせて点検してみてください。「本番データ以外にバックアップが何個あるか」「異なるメディアに保存しているか」「オフサイトに保管しているか」の3点をチェックするだけで、改善すべきポイントが見えてきます。
バックアップ体制の構築・見直しについてのご相談は、情シス365までお気軽にお問い合わせください。