「クラウドに預けているから安心」は本当か
クラウドストレージやオンラインバックアップサービスの普及により、データ保護の敷居は大幅に下がりました。しかし、「ネットワークにつながっているバックアップは、ネットワーク経由で破壊される」という根本的なリスクは消えていません。
ランサムウェアによる攻撃を受けた組織の中には、オンラインバックアップも同時に暗号化されてしまい、復旧の手がかりをすべて失うケースが報告されています。クラウドストレージを本番環境と同じアカウント・認証情報で管理していれば、攻撃者がアカウントを乗っ取った瞬間にバックアップも道連れです。こうした現実に対抗する手段として、改めて注目されているのがオフラインバックアップです。
オフラインバックアップとは、バックアップ先のメディアをネットワークから物理的に切り離した状態で保管する手法です。「エアギャップバックアップ」とも呼ばれ、ネットワークの接点がゼロという完全な隔離が、攻撃者の手の届かない領域を作り出します。テープメディアを使ったコールドアーカイブは、Googleや大手クラウド事業者でさえ今も採用している実績ある技術です。デジタル化が進む時代において、「物理的に切り離す」というアナログな発想がむしろ最強の防壁になるのです。
オフラインバックアップが守るもの
オフラインバックアップが有効な脅威は主に3つです。
まずランサムウェアです。前述のとおり、攻撃者は暗号化の前に組織のネットワーク内を偵察し、接続されたバックアップサーバーを含めてすべて暗号化しようとします。ネットワークに接続されていないメディアはその対象外になります。攻撃者がいくら高度な技術を持っていても、物理的に手の届かない場所にあるテープに干渉することはできません。
次に内部不正・誤操作です。悪意ある内部者や操作ミスによるデータ削除・改ざんは、クラウドの「論理的な」バックアップでは防ぎきれない場合があります。物理メディアの場合、書き込み後に取り出してしまえば上書きは物理的に不可能です。退職者が最後にバックアップを消去しようとしても、オフラインのメディアには手出しができません。
3つ目は大規模なクラウド障害やアカウント停止です。クラウドプロバイダー側の障害や、誤ったポリシー適用によるアカウント停止など、自社でコントロールできない理由でデータにアクセスできなくなるリスクもゼロではありません。2022年にはあるクラウドサービスが誤検知でアカウントを停止し、中小企業が数日間データにアクセスできない事態が発生しました。オフラインコピーがあれば、そうした事態にも対応できます。
主なオフラインバックアップメディアの比較
オフラインバックアップに使われるメディアにはいくつか種類があり、用途・容量・耐久性のバランスで選択します。
| メディア | 容量の目安 | 耐用年数の目安 | 主な用途 | 注意点 |
|---|---|---|---|---|
| 外付けHDD | 2〜22TB | 3〜5年 | 中小規模のバックアップ | 衝撃・磁気に弱い。定期的な通電が必要 |
| LTOテープ | 12〜45TB(圧縮時) | 30年以上 | 大規模アーカイブ・長期保存 | ドライブが高価。読み出しに専用機器が必要 |
| M-DISC(光ディスク) | 25GB〜100GB | 理論値1,000年超 | 重要書類・法的記録の超長期保存 | 容量が小さい。書き込み後の変更不可 |
| USBメモリ | 〜1TB | 5〜10年(フラッシュ寿命依存) | 小規模・緊急用 | 紛失リスク大。企業用途では単独の利用は不推奨 |
企業環境では、容量と耐用年数のバランスからLTOテープが長年の定番です。現行のLTO-9は非圧縮で18TB、圧縮時で最大45TBを1本のカートリッジに格納できます。テープドライブ本体の購入コストは高いものの、メディア単価は外付けHDDよりもはるかに安く、大量データの長期保存には最適です。中小企業では導入コストの面から外付けHDDが現実的ですが、HDDは物理的に壊れやすく熱・衝撃・経年劣化で突然読めなくなることがあるため、必ず複数台での運用が基本です。
実装の基本:3-2-1-1ルール
従来のバックアップ設計の指針として「3-2-1ルール」(3つのコピー、2種類のメディア、1つはオフサイト)が知られていますが、ランサムウェア対策を考慮した現代の拡張版として3-2-1-1ルールが推奨されています。
- 3つのデータコピーを持つ
- 2種類の異なるメディアに保存する
- 1つはオフサイト(別の場所)に保管する
- 1つはオフライン(ネットワーク非接続)またはイミュータブル(変更不可)なコピーにする
最後の「1」がオフラインバックアップに相当します。クラウドストレージを使う場合は、AWS S3のObject Lock(WORM:Write Once Read Many)やAzure Blob StorageのImmutable Storageを利用することで、ソフトウェア的なイミュータブルバックアップを実現できます。ただしこれはネットワーク経由でアクセス可能なため、物理的なエアギャップとは性質が異なります。理想は、クラウドのイミュータブルバックアップと物理オフラインバックアップの両方を確保することです。
オフラインバックアップの運用設計
技術的に正しいバックアップが取れていても、運用が破綻していては意味がありません。実務で意識すべきポイントを整理します。
ローテーションスケジュールの設計
毎回同じメディアに上書きするのは危険です。メディアが壊れていた場合、前のバックアップも失われます。「世代管理」として、複数世代分のバックアップを保持するGFS(Grandfather-Father-Son)方式がよく使われます。
- 日次(Son):直近7日分のバックアップを保持
- 週次(Father):毎週末のバックアップを4週分保持
- 月次(Grandfather):月末バックアップを12ヶ月分保持
この方式であれば、1ヶ月前のランサムウェア感染が遅れて発覚した場合でも、感染前のデータに戻れる可能性が高まります。世代数が多いほど保護は厚くなりますが、メディアのコストと保管スペースも増えるため、データの重要度に応じて調整してください。
保管場所の分散
バックアップメディアを本番サーバーと同じ建物に置いておくだけでは、火災・洪水・盗難リスクに対して無防備です。重要なバックアップは保管場所を分散させることが推奨されます。オンサイトには復旧作業ですぐ使える分を施錠ラックに、オフサイトには別の事業所・銀行の貸金庫・専門の記録保管サービスを活用します。特に重要なデータは、テープや外付けHDDを定期的に物理輸送する運用を行っている企業も少なくありません。
暗号化は必須
バックアップメディアの紛失・盗難時にデータが読まれないよう、バックアップデータ自体をAES-256などの強力なアルゴリズムで暗号化することは必須です。暗号化キーはバックアップメディアとは別の場所(パスワードマネージャー、HSMなど)で厳重に管理します。「暗号化しているから漏洩しても大丈夫」と「暗号化キーを安全に管理している」の両方が揃って初めて意味を成します。
リストアテストを怠ってはいけない
オフラインバックアップにおいて最も重要でありながら最も見落とされるのが、リストアテストです。バックアップの成功ログが出ていても、実際に復元できなければ意味がありません。メディアの物理的な劣化、書き込み時のエラー、復元手順の陳腐化——これらはテストしなければ発見できません。
定期的なリストアテストでは以下を確認します。
- バックアップデータが破損なく読み出せるか(チェックサム・ハッシュ値の検証)
- 復元手順書どおりに操作して、想定時間内に復旧できるか
- 復元したデータの整合性(データベースなら整合性チェック、アプリなら起動確認)
- 担当者一人でなく、複数人が手順書を見て実施できるか
少なくとも四半期に一度はリストアテストを実施し、その結果を記録として残すことをお勧めします。この記録は、監査対応や情報セキュリティ保険の審査においても有効な証明資料になります。「バックアップは取っている」から「バックアップから確実に戻せる」へ——この一段上の状態を目指してください。
まとめ
オフラインバックアップは「古い技術」ではなく、ランサムウェアや大規模障害が現実の脅威となった今こそ再評価すべき、堅牢な防御手段です。クラウドバックアップと組み合わせた3-2-1-1ルールの実践、メディアのローテーション管理、保管場所の分散、そして定期的なリストアテスト——これらを地道に積み重ねることが、最悪の事態から組織を救う一手になります。
どれだけ高度なセキュリティ製品を導入していても、最後の砦としてオフラインバックアップが機能するかどうかが、インシデント後の事業継続を左右します。今日、自社のバックアップ体制を見直してみてください。