頻度、世代管理から見る企業のデータバックアップの実情 【読者調査】：企業におけるバックアップの実施状況（2024年）／後編

前編に引き続き、企業におけるバックアップの実態を調査した結果を報告する。バックアップはBCPやセキュリティ対策のために実行するはずが、バックアップそのものが目的になっているケースが見つかった。

[キーマンズネット]

　2024年6月にKADOKAWAグループを襲ったランサムウェアによる大規模サイバー攻撃では25万人以上の個人情報が外部流出し、更に動画共有サービス「ニコニコ動画」の停止に伴う補填（ほてん）やサーバ復旧費用も合わせると、2025年3月期に36億円の特別損失を計上する見通しだという発表があったばかりだ。

　このような攻撃に対抗する手段は複数ある。中でもバックアップは欠かせないだろう。前編ではバックアップソフト（サービス）の導入割合やクラウド対応への要望について紹介した。後編となる本稿では、キーマンズネットが実施した「バックアップの状況に関する調査」（実施期間：2024年10月7日〜18日、有効回答件数：173件）の結果を基に企業におけるバックアップの実態を見ていこう。

バックアップは「1週間に1回以上」「3世代分以下」が最多

　バックアップソフト（サービス）の導入有無にかかわらず、企業ではバックアップをどのように運用しているのだろうか。

　バックアップ先としてどのような媒体、ハードウェアを利用しているのかを尋ねたところ、まずバックアップ先の媒体では「HDDを用いたNAS」（47.4％）が最多だった。特に従業員数100人以下の企業では64.0％を占めた。次いで、「オンプレミスのストレージサーバ」（27.2％）、「クラウドドライブをバックアップ先として使っている」（21.4％）が続いた（図1）。

図1　バックアップ先の媒体（複数回答）

　また、バックアップの頻度は「1日1回以上」（50.3％）が過半数で、次いで「1週間に1回以上」（16.8％）、「不定期」（14.5％）となり、バックアップの世代管理では「1世代分」と「3世代分」がともに21.4％、「2世代分」（16.2％）、「5〜10世代分」（13.9％）と続いた。この結果から、おおよそ「1週間に1回以上、3世代分以下」でのバックアップが平均的な頻度ということになる。

　自社にとって頻度や世代管理はどの程度が適切なのか。それは業種や業態、取り扱うデータや設定するセキュリティ要件によっても変わる。だが、一般的には、自社で定めるリストアの「目標復旧時点（どの時点のデータまで復元できればよいか）」や「目標復旧時間（何時間以内にリストアを完了させるか）」に応じて設計する必要がある。

　なぜなら、バックアップの頻度や世代管理数、バックアップ先の媒体などは手段に過ぎず、有事の際に迅速に企業活動を再開させるBCP（事業継続計画）が目的だからだ。

　ただし実際にはそうなっていなかった。こうした目標を「定めている」（24.3％）のは少数にとどまっていた（図2）。目標を「定めていない」企業群を従業員規模別で見ると、1001人以上の中堅・大企業では3割程度。その一方で、1000人以下の中堅・中小企業帯では6割を超えており、規模別でも温度差がある。

図2　リストアについて目標復旧時点や目標復旧時間を定めているか

　自社に合わせたリストア目標及びバックアップ運用を検討したり、見直したりする場合には、行政や公的機関によるガイドラインが参考になる。

　医療業界であれば、厚労省が公開している「医療情報システムの安全管理に関するガイドライン 第6.0版（令和5年5月）」に、サイバー攻撃などに備えたバックアップ運用について記されている。

　ガイドラインのp.48には「バックアップ記録媒体を端末及びサーバ装置やネットワークから切り離して保管すること」や「日次でバックアップを行う場合、数世代（少なくとも3世代）確保し、遅くとも3世代目以降はネットワーク的あるいは論理的に書き込み不可の状態にする」などの順守事項が記載されており、運用設計の参考になるはずだ。

緊急時に本当に取り出せる？　テスト未実行が6割

　前編でバックアップソフト（サービス）の導入目的として最も多かった「BCP」の観点からすると、復旧時点や復旧時間といったリストア目標を設定することの次にくるのが、緊急時に本当に企業活動を再開できるのかどうかだ。課題はここにもある。

　というのも、リストアからの「復元テスト」をどのくらいの頻度で実施しているかを調査したところ「テストを実行したことがない」（59.0％）が過半数で、「1年に1回以上テストしている」（26.6％）や「半年に1回以上テストしている」（7.5％）を大きく上回っていたからだ（図3）。

図3　リストア復元テストの実施頻度

　同様に、バックアップからのリストア頻度も「リストアを実行したことがない」（43.9％）が最多で、3割ほどが「1年に1回未満」（27.2％）しか実行していない（図4）。つまりバックアップ体制は整備されているものの、実際にリストアを実行した経験が乏しいケースが多く、緊急時に本当にバックアップデータから短時間で復元できるかどうか懸念がある。

図4　バックアップからのリストア頻度

　また、これらの結果をバックアップソフト（サービス）の導入者に絞って集計しても、46.1％が「テストを実行したことがない」、34.0％が「リストアを実行したことがない」 となり、バックアップ意識が高いと考えられる企業においても、BCPを見据えたバックアップ運用としては不十分だというのが現実のようだ＊。

＊前編の図1と後編の図3、図4のデータから算出した。

他にもあるバックアップの重要なルール

　バックアップセキュリティを考慮する際、外部からの悪意あるサイバー攻撃や盗難被害はもちろん、内部からのデータ持ち出しや紛失リスクも含めた設計も重要だ。

　そこでバックアップデータに暗号化やアクセス制御などのセキュリティ施策を実施しているかどうかを聞いたところ、「どちらも実行していない」（23.1％）が「暗号化とアクセス制御を実行している」（19.7％）を上回った。個別施策では「アクセス制御だけを実行している」（20.8％）が「暗号化だけを実行している」（11.0％）よりも高い傾向にあった（図5）。特に従業員数100人以下の中堅・中小企業においては4割が「どちらも実行していない」とし、バックアップデータに対するセキュリティ対策の遅れが目立った。

図5　バックアップデータに対する「暗号化」や「アクセス制御」の実施有無

　また、バックアップ先をネットワークから隔離した状態に保つ「エアギャップ」の実施状況についても同様で、全体では「いいえ（実施していない）」（39.3％）が「はい（実施している）」（19.1％）の倍近くになり、従業員規模の小さな企業ほど実施していない傾向が見られた（図6）。

図6　エアギャップの確保状況

　エアギャップはなぜ重要なのだろうか。近年、ランサムウェアを中心に加速度的に増加するサイバー攻撃への対策として「3-2-1バックアップルール」にのっとったバックアップとコピーデータの分散保管が強く勧められている。

　これはバックアップデータを3つ作成し、2つの異なる媒体に保存、もう1つは別の場所で保管する手法だ。さらにエアギャップにより物理的・仮想的にコピーデータを安全性の高い環境に保管することで、ネットワークを通じて全てのデータを暗号化しようとするランサムウェアに対抗できると言われている。

　繰り返すようだが、企業を狙うサイバー攻撃は年々増加しており、どの企業でも被害に遭うリスクがあることを念頭に、自社のバックアップ戦略を考えるべきだろう。