中小企業のバックアップ設計｜3-2-1ルールとクラウドバックアップの選び方

バックアップは「保険」ではなく「必須」

ランサムウェアの被害が中小企業にも拡大する中、バックアップは「あったら安心」ではなく「なければ事業が終わる」レベルの必須対策です。しかし、多くの中小企業でバックアップが「取っているつもりだが復旧テストをしたことがない」状態にあります。

3-2-1ルールとは

バックアップの国際的なベストプラクティスが「3-2-1ルール」です。データのコピーを3つ持つ（本番＋バックアップ2つ）、2種類以上のメディア（異なる媒体）に保存する、1つはオフサイト（物理的に離れた場所）に保管するという3つの原則です。

ランサムウェアはネットワーク上のすべてのドライブを暗号化するため、バックアップもオンラインにあると一緒に暗号化されてしまいます。オフライン（ネットワークから切り離された場所）またはイミュータブル（書き換え不可能な）バックアップが必須です。

バックアップ対象の優先順位

すべてのデータを同じ頻度でバックアップする必要はありません。業務データ（ファイルサーバー、SharePoint、メール）は毎日バックアップ、システム構成（サーバー設定、AD設定）は週次バックアップ、アプリケーション（SaaSデータ）はSaaS側のバックアップ機能を確認、が基本方針です。

M365やGWSのデータは、Microsoftの共有責任モデルにより「データの保護はユーザー企業の責任」です。M365標準のゴミ箱・バージョン履歴だけでは、ランサムウェアや管理者の誤操作からの復旧には不十分なケースがあります。

クラウドバックアップの選択肢

中小企業向けのクラウドバックアップサービスとして、Acronis Cyber Protect（バックアップ＋セキュリティの統合製品）、Veeam Backup for M365（M365データの専用バックアップ）、AvePoint Cloud Backup（M365/GWS対応）、Druva（クラウドネイティブのバックアップ）などがあります。

復旧テストの重要性

バックアップは「取ること」よりも「復旧できること」が重要です。四半期に1回は復旧テスト（リストアテスト）を実施してください。テストでは、バックアップデータが破損していないか、復旧にかかる時間（RTO）が許容範囲内か、復旧したデータが業務に使えるかを確認します。

復旧テストを一度もやったことがない企業は、今すぐ実施してください。「テストしたら復旧できなかった」という発見は、本番の障害で発見するよりはるかにマシです。

まとめ

バックアップ設計は「3-2-1ルール」を基本に、オフライン/イミュータブルバックアップと定期的な復旧テストで完成します。情シス365では、バックアップ設計から復旧テストの定期実施まで、包括的にサポートしています。