災害対策バックアップの完全ガイド:RTO/RPO設計と3-2-1ルール、エアギャップ・ランサムウェア対策で事業継続を守る
エバープレイ編集部災害対策バックアップとは
災害対策バックアップとは、自然災害や停電、火災、ハードウェア障害、人的ミス、マルウェア(特にランサムウェア)などにより業務に必要なデータやシステムが失われた場合に、業務を迅速かつ確実に復旧できるように事前に取得・保管・運用するデータ保全の仕組みを指します。単なるファイルコピーにとどまらず、事業継続(BCP: Business Continuity Planning)や災害復旧(DR: Disaster Recovery)の観点から、復旧目標(RTO/RPO)に合致する設計・運用を行うことが必要です。
目的と重要概念:RTO と RPO
- RTO(Recovery Time Objective):業務を復旧させるまでに許容できる最大の時間。サービス停止によるビジネス影響から決定する。
- RPO(Recovery Point Objective):許容できるデータ損失の最大時間(最後のバックアップ以降の差分)。データ更新頻度や法規制で決定される。
- これらを明確にすることで、バックアップの頻度・保管場所・技術(スナップショット、レプリケーション、オンライン/オフライン)を選定できます。
基本原則とベストプラクティス
- 3-2-1ルール:オリジナルを含めて3コピー、異なる媒体に2種類、1コピーはオフサイト(地理的に分離)。多くの企業やベンダーが推奨する基本ルールです。
- 発展ルール(例:3-2-1-1-0):さらに1コピーをオフライン/エアギャップ化し、定期的に復元テストを行って0エラーを目指す考え方。
- 最小権限と分離:バックアップデータへのアクセス制御、管理者アカウントの分離、MFAの導入。
- 暗号化と署名:保存(at rest)と転送(in transit)の両方で暗号化し、データ整合性検証を行う。
バックアップの種類と技術
- フルバックアップ/差分/増分:保存効率と復旧速度のトレードオフ。運用に合わせて組合せる。
- ファイルレベル vs イメージ/ブロックレベル:ファイル単位の復元が必要か、OSやアプリケーションごとの丸ごと復旧が必要かで選択。
- スナップショット:短時間で状態を保存。ストレージ機能や仮想化環境で多用。
- レプリケーション:別拠点へリアルタイムまたは準リアルタイムで複製し、短いRTOを実現。
- テープアーカイブ/コールドストレージ:長期保管・コスト重視の保存。オフライン保管でランサムウェア耐性が高い。
- クラウドバックアップ/DRaaS:可用性・スケーラビリティを活かし、オンデマンドで復旧資源を利用可能。
ランサムウェア対策としてのバックアップ設計
ランサムウェア被害が増える中、バックアップは復旧手段として最重要な防御層です。ただし単にバックアップを取るだけでは不十分で、攻撃者がバックアップを暗号化・削除できない設計が必要です。
- イミュータブル(不変)バックアップ:改ざん・削除ができない保存期間を設定する機能。クラウドプロバイダや一部バックアップ製品が提供。
- エアギャップ/オフラインコピー:ネットワークから完全に切り離された媒体による保管。
- 多層防御:エンドポイント保護、ネットワーク分離、アクセス制御と組み合わせる。
- 定期的な復元テスト:バックアップが実際に復元可能かを定期的に検証し、侵害検知の証拠保全も行う。
設計と導入のステップ
実際の導入は次のようなプロセスで進めます。
- リスク評価・業務影響分析(BIA):どのデータ・システムが重要かを洗い出し、RTO/RPOを決定。
- データ分類と保持方針:法令や契約で定められた保存期間、個人情報の扱いを明確化。
- 技術選定:オンプレ/クラウド、スナップショット/レプリケーション、暗号化、イミュータブル機能などを採用。
- ネットワーク・帯域計画:バックアップウィンドウ、転送帯域、差分転送・重複排除の設定。
- 実装と自動化:定期スケジュール、監視・アラート、運用手順の自動化。
- テストと文書化:復元手順(Runbook)の作成、リハーサル実施、関係者への教育。
運用・監視と定期テスト
バックアップ運用では「取得」だけで終わらず、「検証」と「改善」が重要です。具体的には以下を実施します。
- バックアップ成功/失敗の自動通知とSLAレポート。
- 定期的なリストアテスト(部分復元・全体復元の両方)。
- 復旧時間の計測とRTO達成確認。
- ログの保管と監査トレイルの整備(誰がいつ何をしたか)。
- 定期的なリスクレビューとポリシー更新。
コスト、コンプライアンス、ガバナンス
バックアップは無限に取得すれば安心ではなく、コストと法令要求のバランスが必要です。保持期間や暗号化・保管国(データロケーション)に関する規制(個人情報保護法、各種業界規制)を確認し、委託先(クラウドやDRaaS事業者)の契約・SLAを厳格に評価します。
最新のトレンド
- クラウドネイティブとコンテナバックアップ:Kubernetes環境やマイクロサービス向けの整合性確保機能(アプリケーション認識バックアップ)が重要。
- DRaaS(Disaster Recovery as a Service):災害時にクラウド側で迅速に代替環境を起動するサービス。
- AI/自動復旧支援:障害原因の分類や復旧手順の自動化にAIを活用する例が増加。
現場で使えるチェックリスト
- 重要システムのRTOとRPOを文書化しているか。
- バックアップは3-2-1原則を満たしているか。
- イミュータブルまたはオフラインのバックアップを用意しているか。
- 定期的に復旧テストを実施し結果を記録しているか。
- バックアップデータへのアクセス制御と暗号化が適切か。
- ベンダーのSLA、保管場所、法令適合性を確認しているか。
- インシデント発生時の連絡フローと復旧手順(Runbook)を整備しているか。
まとめ
災害対策バックアップは単なるデータの複製ではなく、事業継続を支える総合的な設計と運用が求められます。RTO/RPOに基づく設計、3-2-1などの基本原則、ランサムウェア対策としてのイミュータブルやオフライン保管、定期的な復元テストと文書化が不可欠です。コスト、法令、技術トレンドを踏まえた上で、計画的に実装・改善を進めることが、災害時に事業を守る最善の方法です。
参考文献
- NIST Special Publication 800-34 Rev.1 — Contingency Planning Guide for Federal Information Systems
- ISO 22301 — Business continuity management systems
- 情報処理推進機構(IPA) — インシデント対策・ランサムウェア対策情報
- Veeam — The 3-2-1 Backup Rule: Why It Works and How to Implement It
- Microsoft Learn — Azure Backup の概要
- AWS Backup — Amazon Web Services
- CISA — Stop Ransomware (米国土安全保障省 サイバーセキュリティ部門)
投稿者プロフィール
