Microsoft 365のバックアップは必要か？ 標準のデータ保護とサードパーティバックアップの判断基準

「M365はクラウドだからバックアップは不要では？」——これはよくある誤解です。Microsoftはインフラの可用性（データセンターの冗長化）は保証していますが、ユーザーの操作ミスや悪意ある削除からのデータ復旧は保証していません。

M365標準のデータ保護機能

削除済みアイテムの回復： Exchange Onlineでは削除後14日間（設定で最大30日）、SharePoint / OneDriveではごみ箱に93日間保持。この期間内であれば復元可能。

バージョン履歴： SharePoint / OneDriveのファイルはバージョン履歴が保持され、過去のバージョンに復元可能。ランサムウェアによる暗号化からの復旧にも一部有効。

訴訟ホールド / 保持ポリシー： E3以上でアイテム保持ポリシーや訴訟ホールドを設定すれば、ユーザーが削除してもバックエンドでデータを保全。ただし、これは「バックアップ」ではなく「コンプライアンス用の保持」。

M365標準で対応できないリスク

保持期間を超えた誤削除： ごみ箱の93日を過ぎたファイルは完全に消失。

退職者のデータ消失： アカウント削除後30日を超えるとOneDriveデータが完全消失（事前に引き継ぎしなかった場合）。

大規模なランサムウェア被害： バージョン履歴で個別ファイルは復元できるが、SharePointサイト全体が暗号化された場合の一括復元は困難。

管理者アカウント侵害による意図的な削除： 攻撃者が管理者権限でデータとバックアップを同時に削除するシナリオ。

サードパーティバックアップが必要なケース

• 業界規制やコンプライアンスで「独立したバックアップ」が求められる
• 退職者のデータを長期間（年単位）保持する必要がある
• ランサムウェア対策としてM365外のストレージにバックアップを保持したい
• 保持ポリシーの設計が複雑で、意図しないデータ消失のリスクがある

代表的な製品： Druva、Veeam Backup for M365、AvePoint Cloud Backup、Acronis Cyber Protect

サードパーティが不要なケース

• 保持ポリシー（E3以上）でコンプライアンス要件をカバーできる
• 退職者データは共有メールボックス変換で引き継ぐ運用が確立されている
• データ量が少なく、ごみ箱93日＋バージョン履歴で十分に復旧可能

まとめ

中小企業でまず確認すべきは「保持ポリシーを正しく設定しているか」「退職者のデータ引き継ぎフローがあるか」の2点です。これらが整備されていればサードパーティバックアップは優先度が下がります。規制要件やランサムウェア対策を強化する段階で導入を検討してください。

情シス365では、M365のデータ保護設計、保持ポリシーの構築、バックアップ製品の選定を支援しています。お気軽にご相談ください。