中小企業のバックアップ戦略｜3-2-1ルールでランサムウェアから事業を守る実践ガイド

「ランサムウェアに感染したらバックアップから戻せば大丈夫」——そう信じている中小企業の情シスは少なくありません。ところが近年の攻撃は、バックアップそのものを狙い撃ちにして復旧不能に追い込む手口が主流になっています。社内の共有フォルダにバックアップを置いているだけでは、攻撃者に数分で暗号化されてしまうのが実情です。

この記事では、中小企業が最小限の予算と人員で実現できるバックアップ戦略を、3-2-1ルールという国際的な原則に沿って解説します。バックアップの基本原則、ランサムウェアに狙われる弱点、今日から始められる具体的な構成例、予算別の選び方まで、情シス1人体制でも現実的に運用できるレベルで網羅します。

中小企業こそバックアップ戦略が重要な理由

バックアップは大企業だけの課題ではありません。むしろ情シス1人体制で外部セキュリティベンダーと契約する余裕のない中小企業ほど、有事の際に頼れるのはバックアップだけという状況に陥りやすいのです。

警察庁が公表しているサイバー犯罪の統計でも、ランサムウェア被害の過半数が中小企業で占められており、業種や規模を問わず狙われていることが明らかになっています。攻撃者にとって中小企業は「防御が手薄で、身代金は支払える規模」という絶好の標的です。

バックアップが不十分だと、次のような事態に直結します。

・業務停止の長期化: 復旧までに数日〜数週間かかり、売上と信用を同時に失う
・身代金の支払い圧力: 他に選択肢がなく、犯罪者に資金を渡す判断を迫られる
・取引先への波及: 納品遅延や情報漏えいで、取引先からの信頼も失う
・従業員の離職: 復旧作業の過酷さで情シス担当者が疲弊し退職する

逆に言えば、適切なバックアップ戦略があれば、ランサムウェアに感染しても「暗号化されたサーバーを切り離して、クリーンな環境に復旧する」という選択肢が残ります。これは経営の生殺与奪を自社で握るための最後の砦です。

3-2-1ルールとは？バックアップの基本原則

3-2-1ルールは、米国国土安全保障省配下のCISA（サイバーセキュリティ・インフラセキュリティ庁）なども推奨している、バックアップの国際的なベストプラクティスです。覚え方はシンプルで、次の3つの数字に対応しています。

・3: データのコピーを合計3つ持つ（オリジナル1つ+バックアップ2つ）
・2: 異なる2種類の媒体（ストレージ）にバックアップを分散する
・1: そのうち1つは必ずオフサイト（物理的に別の場所）に保管する

なぜこの3つの数字が重要なのか、一つずつ意味を押さえておきましょう。

1. コピーを3つ持つ理由

バックアップが1つしかないと、そのバックアップ自体が破損・紛失・暗号化された時点で終わりです。現役のデータ+2つのバックアップがあれば、片方が失われてももう片方が残ります。確率論的に、3つすべてが同時に失われる事態は非常に起きにくくなります。

2. 2種類の媒体に分散する理由

たとえばHDDとNAS、NASとクラウド、社内サーバーと外付けSSDといった形で、異なる種類の媒体に置きます。同じ製品・同じロットのHDDばかりを使っていると、製造不良や経年劣化で同時に故障するリスクがあります。ランサムウェア対策の観点では、「ネットワーク越しに書き換えられない媒体」を1つ混ぜることが決定的に重要です。

3. オフサイト保管の理由

火災、水害、地震、盗難——物理的な災害は、社内のどれだけ堅牢なサーバーも一瞬で使えなくします。本社ビルが全焼した瞬間に、同じ建物内のバックアップもすべて失われます。クラウドストレージや遠隔地のデータセンターに1つ置いておくことで、この地理的リスクを回避できます。

近年では3-2-1ルールをさらに発展させた「3-2-1-1-0」ルールも提唱されています。最後の「1」は「オフライン（イミュータブル）なコピーを1つ」、「0」は「復元テストで0エラー」を指します。ランサムウェア時代には、この拡張版の考え方を取り入れておくと安心です。

ランサムウェア攻撃でバックアップが無効化される仕組み

敵の手口を知らなければ、有効な防御は組めません。近年のランサムウェア攻撃では、いきなりファイルを暗号化するのではなく、数週間〜数ヶ月かけて社内ネットワークを調査し、バックアップを先に無力化してから本番の暗号化を実行するケースが増えています。

典型的な攻撃の流れは次のとおりです。

# 1. 初期侵入（フィッシング・VPN脆弱性・RDP総当たり）
# 2. 権限昇格（ドメイン管理者権限の奪取）
# 3. 横展開（社内ネットワーク全体の把握）
# 4. バックアップサーバーの特定と削除・暗号化
#    - Volume Shadow Copyの削除（vssadmin delete shadows）
#    - NAS上のバックアップファイルを暗号化
#    - クラウドバックアップのアカウント乗っ取り
# 5. 本番環境の一斉暗号化
# 6. 身代金要求

ポイントは、攻撃者は必ずバックアップを先に潰すということです。なぜなら、バックアップが無事なら被害企業は身代金を払わないからです。

特に狙われやすいバックアップ構成は次のようなものです。

・社内LAN上の共有フォルダ(SMB/CIFS)にバックアップを置いている: 感染端末から直接書き換え可能
・ドメイン参加済みのバックアップサーバー: 管理者権限を奪われた時点で全アクセスが通る
・常時マウントされているNAS: ランサムウェアがネットワークドライブとして検出して暗号化
・単一のクラウドアカウントに集約: 認証情報の流出で全データを失う

これらを踏まえ、次の章から「攻撃者にたどり着かれないバックアップ」を実現する具体的な手順を見ていきます。

中小企業が今日から実践できるバックアップ手順

ここからは、情シス1人体制でも現実的に運用できる4ステップの手順を示します。完璧を目指すより、まず動く仕組みを作り、運用しながら磨き込むのが中小企業の正解です。

1. ステップ1: 保護対象データの棚卸し

最初にやるべきは、バックアップ対象の整理です。すべてのデータを同じ頻度でバックアップする必要はありません。業務停止時の損失で区分すると判断が楽になります。

RPO（Recovery Point Objective）は「どれくらい前のデータまでなら失っても事業が続けられるか」を表す指標です。これを決めずにバックアップ構成を考えると、コスト過剰か対策不足のどちらかになります。

2. ステップ2: バックアップ先の選定（オンプレ+クラウド）

3-2-1ルールに沿って、2種類の媒体+1つのオフサイトを選びます。中小企業で現実的な組み合わせは次のとおりです。

・構成A(最小): 本番サーバー + 社内NAS + クラウドストレージ
・構成B(推奨): 本番サーバー + 外付けHDD(ローテーション) + クラウドストレージ
・構成C(ランサム対策強化): 本番サーバー + イミュータブルストレージ + クラウドS3 Object Lock

構成Bの外付けHDDローテーションは、バックアップ完了後にHDDを物理的に取り外す運用です。ネットワークから切り離されたデータは、どんなに高度なランサムウェアでも手出しできません。週1回持ち帰って金庫に入れる、というアナログな手段が最強の防御になるケースもあります。

クラウドストレージは、AWS S3、Backblaze B2、Wasabi、さくらのクラウドストレージなどが選択肢になります。選ぶ際は「Object Lock」（書き込み後の削除を一定期間禁止する機能）に対応しているかを必ず確認してください。これがイミュータブルバックアップの核になります。

3. ステップ3: 自動化とスケジュール設計

手動バックアップは必ず忘れられます。cronやタスクスケジューラで自動化しましょう。Linuxサーバーの場合、rsyncとsystemd timerの組み合わせが軽量で扱いやすい選択です。

# /etc/systemd/system/backup-daily.timer
[Unit]
Description=Daily backup to NAS and cloud

[Timer]
# 毎日深夜2時に実行
OnCalendar=*-*-* 02:00:00
Persistent=true

[Install]
WantedBy=timers.target

ポイントは、バックアップサーバーから本番サーバーへ「取りに行く（Pull型）」構成にすることです。本番サーバーが乗っ取られても、バックアップサーバー側の認証情報は漏れません。逆にPush型（本番→バックアップ）だと、本番サーバーの権限でバックアップを書き換えられてしまいます。

Windowsサーバー中心の環境なら、Veeam Backup & Replication Community Edition（無料版）やArcserve UDP、オープンソースのBacula・UrBackupなどが選択肢です。

4. ステップ4: リストアテストの実施

バックアップはテストしなければ存在しないのと同じ——この言葉を情シスの合言葉にしてください。実際の復旧訓練をやったことのない企業は、有事の際に必ずどこかでつまずきます。

四半期に1回は、次のテストを実施しましょう。

・ファイル単体の復元: ランダムに1ファイル選んで指定フォルダに戻せるか
・DB全体の復元: 別サーバーに戻して起動し、アプリから読み書きできるか
・サーバー丸ごとの復元: 仮想マシンとして立ち上げ、本番と同等に動作するか

テスト結果はExcelやスプレッドシートで記録し、復元にかかった時間（RTO: Recovery Time Objective）もあわせて残します。これが次年度のBCP見直しの貴重な材料になります。

中小企業でも今日からできる予算別バックアップ構成例

ここでは、従業員10〜100名程度の中小企業を想定した、予算別の現実的な構成例を示します。月額費用は2026年時点の目安です。

重要なのは、自社の売上規模に見合った予算をかけることです。年商10億円の企業が月額3千円のバックアップで済ませていたら、1日の業務停止で年間バックアップ予算の何百倍もの損失が出ます。「1日業務が止まったらいくらの損失か」を経営層と共有し、そこから逆算するのが最も説得力のあるアプローチです。

Linux環境でのバックアップスクリプトやcronの運用については、姉妹サイトLinuxMaster.JPでも詳しく解説しています。

よくある誤解と注意点

バックアップ戦略を組むときに、多くの中小企業が陥りがちな誤解を整理しておきます。

【注意】クラウドストレージに置いておけば安心という誤解

Google DriveやOneDriveに自動同期しているから大丈夫、と考えている担当者は多いですが、これは重大な誤解です。本番側のファイルが暗号化されると、その暗号化済みファイルがそのままクラウドにも同期されてしまいます。同期はバックアップではありません。

本当に必要なのは、「特定時点のスナップショット」を別に保存し、任意の時点に戻せる仕組みです。Google Workspaceのビジネスプラン以上にはバージョン履歴がありますが、保持期間が限定されるためランサムウェア対策としては不十分なケースがあります。

【注意】RAIDがバックアップ代わりになるという誤解

RAIDは「ディスク1本が故障しても継続運用できる」という冗長性を提供する技術であって、バックアップではありません。人為的な誤削除、ランサムウェア、サーバー本体の故障、自然災害には無力です。RAIDとバックアップは役割がまったく違うものとして、両方を整備する必要があります。

【注意】バックアップのパスワードを使い回している

バックアップ先の認証情報を、普段の業務で使っているAD（Active Directory）アカウントと同じにしていませんか。ドメイン管理者権限が奪われた瞬間にバックアップまで到達されます。バックアップ用のアカウントは完全に分離し、パスワードもパスワードマネージャーで厳重に管理してください。

【注意】一度決めた構成を放置している

データは日々増え続けます。3年前に決めた500GBのバックアップ枠に、いつの間にか3TBのデータを詰め込もうとしていないでしょうか。年1回は容量・構成・ポリシーを見直す機会を設けてください。

なお、不正アクセス禁止法や個人情報保護法など、法律に関わる記述については、詳細は法律の専門家にご確認ください。

本記事のまとめ

中小企業のバックアップ戦略は、「3-2-1ルール」を基礎として、ランサムウェア時代に耐えられる形にアップデートすることが重要です。要点を再度整理します。

・3-2-1ルールを基本に: 3つのコピー、2種類の媒体、1つをオフサイトへ
・バックアップはPull型: バックアップサーバーから本番を取りに行く構成に
・ネットワークから切り離す: 外付けHDDローテーションやObject Lockでランサムウェアの手が届かないコピーを1つ持つ
・自動化と記録: systemd timerやcronで自動実行し、ログで成否を確認する
・リストアテスト: 四半期に1回、実際に戻せるかを検証する
・RPO/RTOで判断: 「何時間までの損失を許容するか」を経営層と握る

完璧な構成を一度に作ろうとせず、今週できる1歩から始めるのが成功のコツです。まずは重要データの棚卸しと、外付けHDDでの週次バックアップから始めても、何もないよりは桁違いに安全になります。

関連記事

• 中小企業のリモートワークセキュリティ対策｜情シス1人でもできる安全なテレワーク環境の作り方
• ランサムウェア被害後「身代金払ってもデータ復元できない」衝撃の実態調査―対策と復旧方法を解説
• 中小企業のメールセキュリティ対策｜SPF・DKIM・DMARCの設定と運用ガイド