ランサムウェア被害が拡大する中で、セキュリティ対策の議論は「侵入を防ぐ」から「侵入されても事業を止めない」へと重心が移っています。その中心にあるのがバックアップです。マルウェア対策やEDR、脆弱性管理が重要であることは言うまでもありませんが、ゼロデイや設定不備、委託先経由の侵害など、100%の予防は現実的ではありません。最終的に事業継続を左右するのは、暗号化・破壊されたデータやシステムを、どれだけ短時間で、確実に復旧できるかです。本記事では、バックアップの必要性と、ランサムウェア対策として実効性を持たせる設計・運用の勘所を専門家の視点で整理します。
ランサムウェア対策でバックアップが「最後の砦」になる理由
ランサムウェアは単にファイルを暗号化して身代金を要求するだけでなく、近年は「二重恐喝(情報窃取+公開脅迫)」が一般化しています。さらに、バックアップや復旧基盤そのものを先に破壊してから暗号化に移る攻撃も増え、復旧手段を奪った上で交渉を迫るのが典型的な手口です。
このため、バックアップは「取っているだけ」では不十分で、攻撃者が狙うポイント(バックアップサーバ、管理者アカウント、スナップショット、バックアップ用の認証情報など)を踏まえた耐攻撃性が求められます。加えて、復旧に要する時間(RTO)と許容できるデータ損失(RPO)を現実的に満たせなければ、存在していても事業継続に寄与しません。
バックアップは「保険」ではなく「復旧の仕組み」
バックアップを「万一の保険」と捉えると、どうしても投資が後回しになり、運用も形骸化しがちです。しかし本来は、障害・誤操作・内部不正・災害・サプライチェーン事故など多様なインシデントから復旧するための仕組みであり、ランサムウェアはその中でも最も破壊的なユースケースの一つです。
重要なのは、データ保全(バックアップ)と復旧(リストア)をセットで設計し、定期的に実行可能性を検証することです。復旧できないバックアップは、実務上はバックアップではありません。
基本原則:3-2-1-1-0と「変更不可能性」の確保
バックアップの基本として広く知られるのが「3-2-1ルール」です。
- データを少なくとも3つ保持(本番+バックアップ2つ以上)
- 2種類以上の媒体・方式に分散(例:ディスク+オブジェクトストレージ)
- 1つはオフサイト(拠点外・クラウドなど)に保管
- 1つはオフラインまたはエアギャップ・イミュータブルで保護
- 復旧テストでエラーをゼロにする
これに加え、ランサムウェア対策として決定的なのが「変更不可能(Immutable)」または「消去不能(WORM)」の性質です。攻撃者は管理者権限を奪うと、バックアップ世代の削除、暗号化、設定変更、スナップショット破壊を狙います。したがって、バックアップデータを論理的に変更できない状態で一定期間保持する設計が重要です。クラウドのオブジェクトロック、イミュータブルストレージ、テープ保管、オフライン媒体など、手段は複数ありますが「攻撃者の権限が及んでも消せない・改ざんできない」ことが要件になります。
バックアップ基盤が狙われる:分離と最小権限の実践
バックアップ環境は、攻撃者から見れば「復旧を封じるために最初に潰すべき資産」です。よって、本番環境と同等以上のセキュリティ設計が必要です。
バックアップ環境の分離
ネットワーク分離(管理ネットワーク、バックアップ用ネットワーク)、アカウント分離(本番AD管理者とバックアップ管理者を分ける)、保管先分離(別クラウドアカウント/別テナント)など、侵害範囲を広げない設計が有効です。
最小権限と多要素認証
バックアップ管理コンソールやクラウド管理画面は、必ず多要素認証を有効化し、管理者権限の常用を避けます。特に「バックアップ削除」「保持期間変更」「イミュータブル解除」に関わる権限は分離し、承認フローや特権アクセス管理(PAM)を組み合わせると効果的です。
RPO/RTOから逆算する:業務要件に合わないバックアップは機能しない
バックアップ設計では、RPO(どこまでのデータ損失を許容するか)とRTO(どれくらいの時間で復旧させるか)を業務側と合意し、システムごとに優先順位を付ける必要があります。例として、受発注や決済などの基幹系は短いRTO/RPOが求められ、ファイルサーバや一部の部門システムは相対的に長くても許容されることがあります。
ここで注意すべきは、バックアップが「取得できている」ことと「所要時間内に復旧できる」ことは別問題である点です。大量データのリストア、認証基盤の復旧順序、依存関係(DB→アプリ→バッチ等)、クラウドの帯域制限など、復旧工程は想定以上に複雑になります。復旧手順書(ランブック)を整備し、演習でボトルネックを潰すことが不可欠です。
定期的な復旧テストが最大の差になる
バックアップ運用の成熟度を分けるのは「復旧テストの頻度と品質」です。ログ上は成功でも、いざという時に復旧できない原因は多岐にわたります(世代不足、暗号化キー不整合、アプリ設定漏れ、認証連携の欠落、依存サービス未復旧、想定より長い復旧時間など)。
実践的には、以下を段階的に実施すると効果が出やすいです。
- ファイル単位・DB単位のリストア検証(小規模)
- 重要システムの部分復旧(中規模)
- 疑似ランサムウェアイベントを想定した全体復旧演習(大規模)
演習では、技術チームだけでなく、業務部門・広報・法務・経営層の意思決定も含めた机上訓練を組み合わせると、復旧優先順位や停止許容の合意形成が進みます。
バックアップだけでは足りない:漏えい・二重恐喝への備え
バックアップは暗号化による業務停止リスクを下げますが、情報窃取による二重恐喝には直接の解決策になりません。したがって、バックアップ強化と並行して、以下の対策が必要です。
- 重要データの暗号化(保存時・転送時)と鍵管理の強化
- 特権IDの棚卸しと監査ログの保全
- 外部公開資産の管理(VPN、RDP、管理画面など)
- 侵害を早期検知する仕組み(EDR/SIEM、異常監視)
- データ持ち出しを抑止する制御(DLP、ネットワーク制御)
また、身代金支払いは法務・規制・倫理・再侵害リスクなど複合的な論点を伴います。復旧力を高め「支払わない選択肢」を現実にすることが、最終的な交渉力にもつながります。
まとめ:バックアップは「攻撃者目線」で設計し、復旧を演習で証明する
ランサムウェア対策におけるバックアップの要点は、①侵害を前提に、②バックアップ基盤自体が破壊される前提で、③変更不可能性・分離・最小権限を備え、④RPO/RTOを満たす復旧手順を演習で証明することです。バックアップは導入して終わりではなく、定期的な復旧テストを通じて「復旧できる状態」を維持して初めて価値を発揮します。自組織の重要業務から逆算し、技術と運用の両面で復旧力を高めていくことが、ランサムウェア時代の現実的な防衛戦略となります。
参照リンク:
【サイバーセキュリティ講座】バックアップについて学ぶ!①ランサムウェア対策・バックアップの必要性 – Fathom Journal