「間違ったバックアップ」になっていないか？ ランサムウェアへの正しい備え

ランサムウェア対策をはじめとして企業の事業継続のためにはバックアップが欠かせない。だが、いざというときに役に立たないことがある。

[畑陽一郎，キーマンズネット]

　バックアップを取っていればいざというときも事業を継続できる。BCP（事業継続計画）のため、さらにはランサムウェア攻撃に備えるためだ。だが、バックアップがあれば安全だという思い込みは危険だ。

バックアップが役に立たないとき

　理由の一つはバックアップがいざというときに役に立たない場合があるからだ。

　米国と日本の調査に基づいてバックアップについて確認してみよう。

　まずはBackblazeが2024年6月11日に公開した米国企業におけるバックアップの状況を調査したレポート「2024 State of the Backup」から実態を見てみよう＊1。

＊1　同調査は年に1度、Backblazeが実施するもの。調査会社Harris Pollと協力して2024年4月30日〜5月8日にかけて実施したレポート。米国企業のITリーダー300人を対象とした。

　Backblazeのエフ・プシン氏（マーケティング担当シニアディレクター）は調査結果から問題を提起した。「データの同期はバックアップではない」という。

　プシン氏がこのような主張をする理由は、IT意思決定者の大多数（84％）が、クラウドドライブサービスを利用していると回答したことだ（図1）。クラウドドライブはオフサイトのデータバックアップを実行する際に、クラウドとのデータ同期を用いる技術だ。

図1　クラウドをバックアップとして使う3つの方法　上からクラウドドライブ、クラウド同期、クラウドバックアップ（提供：Backblaze）

　クラウドドライブはファイルの保存や共有に役立つ。だが、ファイルの破損はもちろん、誤ってファイルを削除してしまうような誤操作への対策にはならない。クラウドドライブのような同期サービスは複数のデバイス間で自動的にファイルを更新するため、ファイルの変更や削除がそのまま反映される。つまり、意図しないデータ損失につながる可能性がある。クラウドドライブの中には、最低限のバックアップ機能（30日分のバージョン履歴など）を備えているものもあるが、事業継続やコンプライアンス基準に必要な要素が欠けていることが多いという。

　これに対して、クラウドバックアップは、体系的で安全にデータをバックアップするように設計されており、ファイルの紛失や破損、セキュリティ侵害に対する保護として役立つ。特にセキュリティの課題に対処し、重要なデータの完全性と可用性を確保するためには、クラウドバックアップがより優れた選択肢だという。

Backblazeが推奨するバックアップ手法とは

　最も単純なバックアップはオリジナルのデータのコピーを1つだけ取るものだ。これだけでも何もしないよりは良い。だが、業務上、必要なデータについては「3-2-1バックアップ」を実行すべきだ。3-2-1とは次のような意味だ。

　3つのコピー　バックアップデータを3つの異なる場所にコピーする。元のデータ（オリジナル）、元のデータとほぼ同じ位置で取得する（ローカルバックアップ）、元のデータから離れた位置にバックアップを取る。

　2つの異なるメディア　3つのバックアップを全て同じ種類のメディアや装置に保存せず、2種類の異なる装置を用いる。HDD（NAS）とクラウドストレージ、HDDと磁気テープなどだ。異なる装置を使うことで、1つの装置やメディアに障害が発生しても別のメディアからデータを復旧できる。

　1つのリモートバックアップ　バックアップのうち1つはリモートに保存する。自然災害や盗難などのリスクからデータを守ることが目的だ。クラウドストレージやリモートサーバなどが適する。

　さらに重要なデータであれば「3-2-1-1-0」戦略や「4-3-2」戦略を考慮すべきだという。

　3-2-1-1-0戦略　「データのコピーを少なくとも3つ用意する」「少なくとも2種類の記憶媒体にデータを保存する」「バックアップのコピーを1部、リモートに保管する」ようにする。ここまでは3-2-1戦略と同じだ。次に「メディアのうち1つをオフラインまたはエアギャップにしておく」「全ての復旧ソリューションのエラーがゼロであることを確認する」だ。エアギャップはランサムウェア対策で欠かせない。エラーがゼロであることを確認しておかないと、いざというときに復元（リストア）できない可能性が高まる。

　4-3-2戦略　「データのコピーを4部」「データは3つの場所に保管（自社のオンプレミス、マネージドサービスプロバイダーのオンプレミス、クラウドサービスプロバイダーの保管など）」「データの保管場所はオフサイトの2カ所」とする。

　もう一つ重要なのはバックアップの頻度だ。社内のデータの更新頻度に合わせて1日に1回以上必要なものもあれば、1カ月に1回で十分なものもある。これは業務を分析しなければ策定できない。

データを復元する必要はどの程度あるのか

　次はバックアップの運用の実態だ。どれくらいの頻度でバックアップからデータを復元する必要があるのだろうか。

　調査対象者の39％は、企業が少なくとも月に一度はバックアップからデータを復元する必要があると回答した。この数字を見ると、バックアップが必要不可欠だということが分かる。

　復元した理由は「アーカイブまたは削除されたデータがあるため」（62％）、「バックアップソフトウェアの障害」（54％）、「HDDの障害」（52％）、「サイバー攻撃」（49％）だった。サイバー攻撃を約半数が理由として挙げているものの、それ以外の理由も多い

いざというとき復元できたのか

　バックアップは非常時に復元できてこそのソリューションだ。復元できない場合はどのぐらいあるのだろうか。

　バックアップからデータを全て復元できたのは42％に過ぎなかった。データを完全には復元できなかったという回答が58％（図2の赤枠内）に達した。

図2　バックアップから復元できたかどうか（提供：Backblaze）

　復元できた割合についても回答がある。半分以上のデータを復元できたという回答が39％、半分程度が7％、半分以下が9％、全く復元できなかったという回答が3％だった。これではランサムウェア攻撃を受けたときに事業を継続することは難しい。

　図2から分かるのはバックアップの実行計画があったとしても、復元できるとは限らないということだ。前述したクラウドドライブやクラウド同期だけに頼っていた場合はもちろん、クラウドバックアップを使っていても完全にデータが戻るとは限らない。

　まずはバックアップの範囲だ。事業の継続に必要な全てのデータがバックアップされていなければならない。データの種類（ファイル、システム情報など）、データの更新や変更の頻度、コンプライアンス上の保持要件などに応じた手法が必要だ。例えば、ファイルベースのバックアップとブロックレベルの増分バックアップのどちらを選ぶべきかという選択だ。

企業の課題は個人の課題と共通だった

　バックアップツールを選択する場合に企業ユーザーが重視している機能は何だろうか。「必要不可欠または非常に重要だ」と回答した機能は、セキュリティ（97％）、帯域幅とメモリ容量（87％）、多様な機能（79％）、操作のしやすさ（83％）、カスタマイズ可能な要素（83％）だった。

　なお、BackblazeはHarris Pollと協力して同期間に消費者調査も実施した。

　最も重要なファイルが安全にバックアップされていると確信している回答者は15％に過ぎなかった。バックアップを実行していないわけではない。PCを所有している回答者の84％が全てのデータをバックアップしていると回答しており、45％が少なくとも月に1回はバックアップを実行しているからだ。

　バックアップ手法としてクラウドソリューションが優勢だということも分かった。データをバックアップする個人の63％が、クラウドベースのシステムを主に使っている。しかし、専用のクラウドバックアップサービスを利用していたのはわずか11％で、クラウドドライブ（39％）や同期サービス（13％）を使っていることが分かった。つまり、バックアップの課題は企業のITリーダーと共通していた。

日本国内では問題がさらに深刻

　次は日本の調査結果だ。国内では企業がバックアップを利用しているものの、ランサムウェア攻撃対策としては役に立っていないことが分かった。

　警察庁が2024年3月に発表した「令和5年におけるサイバー空間をめぐる脅威の情勢等について」では企業に対するランサムウェア攻撃で何が起こっているのかが分かった。2023年に都道府県警察から警察庁に報告のあった件数は197件だった。

　被害に遭ったシステムや機器のバックアップの取得状況について質問したところ、132件（94％）が取得していた（図3）。だが、取得していたバックアップから復元を試みた126件の回答のうち、被害直前の水準まで復元できなかったという回答が105件（83％）だった。

図3　バップアップの取得状況と復元状況（提供：警察庁）

　なぜこのような結果になったか、理由も分かっている。被害を受けた企業にバックアップから復元できなかった理由を聞いたところ、69％が「バックアップも暗号化されていたため」と回答した（図4）。つまり元々のバックアップの戦略が誤っており、例えばエアギャップが確保できていなかったことを意味する。

図4　バップアップから復元できなかった理由（提供：警察庁）