サイバー攻撃やシステム障害への備えとして、「バックアップを取っているから大丈夫」と考えて安心していませんか?
たしかに、バックアップは重要な対策です。ランサムウェアによってファイルが暗号化された場合でも、バックアップから復元できれば、身代金を支払わずに業務を再開できる可能性があります。
しかし近年のランサムウェア攻撃では、攻撃者が最初からバックアップを狙うケースが増えています。サーバーやパソコンのデータだけでなく、バックアップデータまで削除・暗号化されると、「バックアップはあるはずなのに復旧できない」という事態に陥ります。
国家サイバー統括室も、ランサムウェア対策では「予防・検知・対応・復旧」の観点から具体的な対策を取る重要性を示しています。つまり、バックアップは単なるデータ保存ではなく、事業継続のための経営課題として考える必要があります。
本記事では、なぜバックアップが破壊されるのか、どのようなバックアップなら有効なのか、そして中小企業がまず見直すべきポイントを解説します。
なぜ「バックアップがあるのに復旧できない」のか
バックアップとは、業務データやシステムのコピーを別の場所に保存しておくことです。ファイルを誤って削除した場合や、パソコンが故障した場合には、バックアップがあれば元に戻せます。
しかし、ランサムウェア攻撃では事情が異なります。
攻撃者は、単に1台のパソコンを暗号化するだけではありません。社内ネットワークに侵入した後、サーバー、共有フォルダ、クラウドストレージ、バックアップ装置などを探し、重要なデータをまとめて暗号化しようとします。
特に問題になるのが、バックアップ先が社内ネットワークから簡単にアクセスできる状態になっているケースです。
例えば、次のような状態です。
|
✖️ バックアップ用のNAS※が常に社内ネットワークにつながっている |
※NAS(ナス):「Network Attached Storage」の略で、社内ネットワークにつないで使う共有用の保存装置。複数のパソコンから同じデータにアクセスできるため、ファイル共有やバックアップ先としてよく使われます。ただし、常時ネットワークにつながっているため、ランサムウェア感染時にNAS内のデータまで暗号化・削除されるリスクがあります。
このような場合、攻撃者が管理者権限を奪うと、バックアップデータまで削除・暗号化される可能性があります。
つまり、「バックアップを取っているか」だけでなく、「攻撃者から見て、そのバックアップが簡単に触れる場所にないか」が重要なのです。
また、Windows OSには、過去の特定の状態にシステムを書き戻せる「シャドウコピー」という自動バックアップ機能が標準で備わっています。
近年のランサムウェアは、起動すると同時に、このWindows標準のバックアップ機能を強制的に停止し、過去の復元ポイントをすべてコマンドで削除するプログラムが組み込まれています。ユーザーが「感染前の状態に戻そう」とした時には、すでに復元ポイントのデータごと消し去られている、という恐ろしい手口もあるのです。
攻撃者はバックアップを“復旧手段”として見ている
なぜ攻撃者はバックアップを狙うのでしょうか。
理由は明確です。企業が自力で復旧できてしまうと、身代金を支払う可能性が下がるからです。
ランサムウェア攻撃の目的は、多くの場合、企業に身代金を支払わせることです。そのため攻撃者は、業務データを暗号化するだけでなく、復旧手段であるバックアップも同時に無力化しようとします。
CISAのランサムウェア対策ガイドでも、重要データのバックアップはオフラインで暗号化し、災害復旧時に使えるかどうかを定期的にテストすることが推奨されています。これは、アクセス可能なバックアップが攻撃者に削除・暗号化されるリスクを前提にした考え方です。
中小企業では、「外付けHDDにコピーしている」「NASに毎日バックアップしている」「クラウドに自動同期している」といった対策をしていることがあります。
しかし、自動同期型のクラウドストレージは注意が必要です。感染した端末でファイルが暗号化され、その変更がクラウド側にも同期されると、バックアップのつもりだったデータまで暗号化後の状態に置き換わることがあります。
もちろん、クラウドストレージやNASが悪いわけではありません。問題は、それが「復旧できるバックアップ」として設計されているかどうかです。
ランサムウェアの凶悪化:「二重脅迫」とバックアップの関係
バックアップが破壊されることの恐ろしさは、単に「データが消える」ことだけにとどまりません。近年のサイバー攻撃は「二重脅迫(ダブルエクストーション)」が主流になっています。
|
|
仮に、強固なバックアップ体制を敷いていて、攻撃者にデータを暗号化されても自力でシステムを復旧できたとしましょう。しかし、「盗まれた機密データを世間に公開する」という二重目の脅迫に対しては、バックアップだけでは対抗できません。
取引先の情報や顧客の個人情報、独自の技術ノウハウが流出すれば、企業の社会的信用は失墜し、損害賠償や法的ペナルティによる事業継続の危機に直面します。だからこそ、バックアップの強化と同時に、以前の記事でご紹介したSASE(サシー)などの次世代ネットワークセキュリティ対策やUTMの導入といった、「そもそも侵入させない・外にデータを送らせない」総合的な対策(多層防御)が必要不可欠になるのです。
(参考)SASEとは?VPNやUTMと何が違う?中小企業が知っておきたい次世代のセキュリティ対策
(参考)UTMとは?中小企業に必要か|メリット・デメリットと「古い」と言われる理由
破壊されないバックアップを構築する「3-2-1-1-0ルール」の考え方
では、これほど凶悪化した脅威から、中小企業はどうやってデータを守ればよいのでしょうか。その国際的な指針となるのが「3-2-1-1-0ルール」というバックアップの新常識です。
従来のセキュリティでは「3-2-1ルール」が推奨されていましたが、ランサムウェアの進化に伴い、さらに強化された「1-1-0」が付け加えられました。
| ルールの要素 | 具体的な内容 | 中小企業での実践イメージ |
|
3 (つのデータ) |
オリジナルデータを含めて、3つ以上のコピーを持つ。 | 元データ + バックアップA + バックアップB |
| 2 (つの異なる媒体) | 2種類以上の異なるメディアに保存する。 | サーバーの内蔵HDD + 外部のNASやクラウド |
| 1 (つの離れた場所) | 少なくとも1つは遠隔地(オフサイト)に保管する。 | 本社内のNAS + クラウドストレージ (または別支店) |
| 1 (つのオフライン) | 少なくとも1つはネットワークから隔離する。 | クラウドの不変ストレージ、または物理的な隔離 |
| 0 (のエラー) | バックアップ復旧時のエラーをゼロにする。 | 定期的な復旧テストの実施 |
このルールの中で、特にランサムウェア対策として重要なのが、後半の「1(オフライン)」の部分です。これらを実現する技術として、以下の2つの考え方があります。
|
1.エアギャップ(物理的・論理的隔離) |
| 2.不変(イミュータブル)バックアップ 一度書き込まれたデータを、設定された一定期間(例:30日間)、管理者権限であっても「削除も変更もできない」ようにロックする技術です。これにより、万が一管理者アカウントが乗っ取られても、バックアップデータを消去されるのを防ぐことができます。最近の中小企業向けクラウドバックアップサービスでも、この機能を備えたものが増えています。 |
有効なバックアップに必要な4つの条件
ランサムウェア対策として有効なバックアップには、少なくとも次の4つの条件が必要です。
| 1つ目 | 本番環境から切り離されていること |
|
本番サーバーや社員のパソコンから常時アクセスできる場所にあるバックアップは、攻撃者からもアクセスされる可能性があります。そのため、重要データの一部は、
などの工夫が必要です。 |
|
| 2つ目 | 複数世代を残していること |
| 昨日のバックアップだけでは不十分です。ランサムウェア感染や不正アクセスに数日間気付かない場合、すでに異常な状態のデータがバックアップされている可能性があります。 そのため、日次・週次・月次など、複数の世代を残しておくことが重要です。これにより、「いつの時点まで戻せるか」を選べるようになります。 |
|
| 3つ目 | アクセス権限の最小化とパスワード管理 |
| 「全社員がバックアップ用NASの全データにアクセスできる」という設定は今すぐやめましょう。 バックアップデータを操作できるアカウントは、システム担当者(または経営者)の最小限に限定します。さらに、その管理用パスワードは、他の業務システムで使っているものとは完全に異なる、予測不可能な長い文字列(12文字以上、記号や数字を交ぜたもの)に設定し、二要素認証(MFA)が設定できる場合は必ず有効にしてください。 |
|
| 4つ目 | 復元テストをしていること |
|
バックアップは、取っているだけでは意味がありません。実際に復元できるか、復元にどれくらい時間がかかるか、担当者が手順を理解しているかを確認しておく必要があります。 IPAの実践事例でも、通常のバックアップとは別に、重要データを手作業で保存し、通常時は電源を落としておくストレージを確保する対策が紹介されています。また、ランサムウェア感染を早期に検知し、被害を限定することの重要性も示されています。半年に1回、あるいは1年に1回でも構いません。「特定のフォルダを過去の状態に戻してみる」という模擬テストを社内で行い、マニュアル化しておくことが、有事の際の命綱になります。 |
|
出典:IPA「サイバーセキュリティ経営ガイドラインVer3.0 実践のためのプラクティス集 第4版」悩み(16)ランサムウェア感染による事業停止を回避したい
中小企業がまず考えたいバックアップの基本設計
中小企業がバックアップを見直す場合、いきなり高度な仕組みを導入する必要はありません。まずは、次のような考え方で現状を整理することが大切です。
まず確認したいのは、「何を守るべきか」です。
すべてのデータを同じレベルで守ろうとすると、費用も運用負荷も大きくなります。まずは、次のようなデータを優先して整理します。
|
次に、「どこに保存されているか」を確認します。
社内サーバーだけでなく、クラウドサービス、社員のパソコン、外付けHDD、個人のクラウドストレージなどにデータが分散している場合、どこをバックアップすべきか分からなくなります。
特に近年は、クラウドを使っているため「サービス提供会社がすべて守ってくれる」と誤解しているケースもあります。クラウドサービスの障害対策と、自社データを誤削除・不正操作・ランサムウェア被害から守るバックアップは、分けて考える必要があります。
(参考)クラウド利用が増えた企業が見落とすリスクとは?|CASB・CSPM入門
バックアップだけでなく、検知と初動対応も必要
バックアップは、被害を受けた後に復旧するための対策です。しかし、攻撃に気付くのが遅れれば、被害範囲は広がります。
そのため、バックアップとあわせて重要になるのが、検知と初動対応です。
ランサムウェア攻撃では、いきなり全データが暗号化されるとは限りません。攻撃者はまず社内に侵入し、どのサーバーに重要データがあるか、どのアカウントに権限があるか、バックアップはどこにあるかを調査します。
この段階で異常に気付くことができれば、被害を小さく抑えられる可能性があります。
例えば、EDRは社員のパソコンやサーバーの異常な動きを検知する対策です。SOCは、EDRや各種ログのアラートを監視し、異常が起きたときに早期判断を支援する体制です。
(参考)EDRとは?ウイルス対策ソフトとの違いをわかりやすく解説|中小企業のエンドポイント対策
(参考)SOCとは?中小企業に監視体制は必要か|SIEM・MDRとの違いも解説
また、検知しても対応できなければ意味がありません。アラートを誰が見るのか、感染が疑われた端末を誰がネットワークから切り離すのか、取引先や顧客への連絡は誰が判断するのか。こうした初動対応も、事前に決めておく必要があります。
(参考)検知しても対応できない企業の現実|SOARとは?インシデント対応とセキュリティ自動化を解説
バックアップはBCPの一部として考える
バックアップ対策は、IT部門だけの話ではありません。経営として考えるべきBCP、つまり事業継続計画の一部です。
ランサムウェア被害が発生したとき、経営者が知りたいのは「データが残っているか」だけではありません。
| ✅何日で業務を再開できるのか ✅どの業務から復旧するのか ✅顧客対応はどうするのか ✅売上への影響はどれくらいか ✅取引先にどう説明するのか ✅再発防止策をどう示すのか |
といった判断が必要になります。
そのため、バックアップ設計では「何をどれくらいの時間で復旧したいか」を決めておくことが重要です。
例えば、会計データは翌営業日までに復旧したい、販売管理システムは24時間以内に復旧したい、過去の社内資料は数日かかってもよい、というように、業務ごとに優先順位を付けます。
(参考)BCPとは何か?― セキュリティ時代に経営として考える事業継続の基本 ―
まとめ|バックアップは「取る」から「復旧できる」へ
バックアップは、サイバー攻撃への重要な備えです。しかし、バックアップを取っているだけでは十分ではありません。
現在のランサムウェア攻撃では、攻撃者がバックアップまで探し、削除・暗号化しようとします。そのため、バックアップは次の観点、および「3-2-1-1-0ルール」に照らし合わせてどこまでできているか、一度チェックしてみることを強くおすすめします。
| ✅本番環境から切り離されているか ✅複数世代を残しているか ✅削除・改ざんされにくい仕組みになっているか ✅実際に復元テストをしているか ✅復旧の優先順位が決まっているか ✅検知、初動対応、BCPとつながっているか |
中小企業にとって大切なのは、完璧な対策を一度に入れることではありません。まずは、自社の重要データがどこにあり、どのようにバックアップされ、いざというとき本当に復旧できるのかを確認することです。
「バックアップがあるから大丈夫」ではなく、「攻撃を受けても復旧できる状態になっているか」。
この視点で見直すことが、守れる会社づくりの第一歩です。
セキュリティ対策は、ツールを導入するだけでは十分ではありません。
LYSTでは、
- バックアップ体制の見直し
- ランサムウェア対策の現状診断
- EDR、SOCなどの検知・監視体制の導入支援
- BCPを意識したセキュリティ対策の整理
など、中小企業の実情に合わせたサイバーセキュリティ支援を行っています。
「自社のバックアップで本当に復旧できるか分からない」「どこから見直せばよいか分からない」という企業様は、ぜひ一度ご相談ください。
