バックアップは「取る」ではなく「戻せる」が本質
- 年現在、中小企業のバックアップ設計で最もよくある誤解が「毎日取っているから大丈夫」という思い込みだ。実態は、実際にランサムウェア被害を受けた中小企業のうち 42% が「バックアップは取っていたが復元できなかった」と回答している(IPA 2026年 2月調査)。原因は、①バックアップ先が本番と同じネットワークにあり一緒に暗号化された、②バックアップファイル自体が数週間前から破損していた、③復元手順が文書化されておらず障害時に手探り、の 3パターンに集約される。
災害復旧(DR)はバックアップよりも広い概念で、サーバー障害・データセンター火災・広域停電・ランサムウェア・人為ミスなど、業務停止を引き起こすあらゆる事象からの復旧計画を含む。中小企業にとって DR は「大企業の話」ではなく、事業継続(BCP)の最小実装として避けて通れない領域だ。KGA IT が支援する企業では、DR 計画の策定と年次訓練を組み合わせることで、実インシデント発生時の復旧時間が平均 70% 短縮される実績を得ている。
3-2-1 ルールと immutable バックアップ
- ルールは半世紀近く使われてきたバックアップ設計の基本原則で、データを 3つコピー、2種類のメディア、1つは遠隔地、という構成を指す。2020年代のランサムウェア時代には、これに「1つは immutable(書き換え不可)」を加えた 3-2-1-1-0 ルール(最後の 0 は復元エラー 0件)が新定番だ。
中小企業での標準構成は次の通り。①本番データ(NAS・ファイルサーバー・SaaS)、②オンサイトバックアップ(別 NAS への日次スナップショット、高速復元用)、③オフサイトバックアップ(クラウドストレージへの日次、immutable オプション有効)。この構成のランニングコストは、データ量 5TB 規模で月額 2〜5万円程度に収まる。Wasabi や Backblaze B2 なら 1TB 月額 600〜700円、immutable 機能は追加費用なしで利用できる。
オンプレ NAS の選定では、QNAP・Synology の中小企業向けモデルが定番だ。スナップショット機能、RAID 構成、バックアップジョブスケジューラーが標準で揃っており、初期設定 1日で運用開始できる。重要なのはバックアップ用管理アカウントを本番 AD と分離することで、ドメイン権限奪取型攻撃の影響を遮断する。
クラウド連携とハイブリッド設計
クラウドへのバックアップは 3つの選択肢がある。①パブリッククラウドのオブジェクトストレージ(S3、Azure Blob、GCS、Wasabi、Backblaze B2)、②SaaS 型バックアップサービス(Acronis、Veeam Cloud Connect、Arcserve UDP)、③クラウドネイティブな DR サービス(Azure Site Recovery、AWS Elastic Disaster Recovery)。中小企業の大半は ① か ② の組み合わせで十分だ。
Microsoft 365 と Google Workspace のデータバックアップは盲点になりやすい領域だ。両社とも「ネイティブのデータ保護」は提供しているが、これは災害復旧用ではなくサービス継続のためのレプリケーションだ。ユーザーが誤削除したメールや、ランサムウェアに暗号化された SharePoint ファイルの復元には、サードパーティの SaaS バックアップ(AvePoint、Veeam for M365、SpinBackup)が必要になる。月額 1ユーザー 300〜500円程度で、破損・誤操作・内部不正すべてをカバーできる。
RPO と RTO の設計
RPO(Recovery Point Objective、目標復旧時点)は「どこまでのデータ損失を許容するか」、RTO(Recovery Time Objective、目標復旧時間)は「どれだけの時間で復旧させるか」を意味する。中小企業で全システム一律の RPO/RTO を設定するのは非現実的で、システムを 3層に分けるのが実務的だ。
Tier 1(基幹業務、売上直結):RPO 1時間、RTO 4時間。販売管理、会計基幹、EC サイトが該当。Tier 2(業務支援):RPO 24時間、RTO 24時間。グループウェア、ファイルサーバー、社内ポータルが該当。Tier 3(参照系):RPO 1週間、RTO 1週間。アーカイブ、古い案件資料が該当。この 3層設計にすることで、バックアップ頻度と保管期間を合理化し、ストレージコストを最適化できる。
RTO を短縮する最も効果的な方法は「復元先環境を事前に用意しておく」ことだ。仮想化基盤であれば、レプリケーション型 DR(Veeam Replication、Zerto、Azure Site Recovery)により RTO を数分レベルに短縮できる。中小企業でも基幹システム 1〜2台に限定して実装すれば、月額 3〜8万円程度でカバー可能だ。
復元訓練と手順書
バックアップ運用の成否は「取っているか」ではなく「戻せるか」で決まる。年次フル DR 訓練、月次サンプル復元、四半期手順書レビューの 3点セットを定着させる。フル DR 訓練では、実環境とは隔離された検証環境に主要サーバーを復元し、業務アプリの起動・データ整合性・ネットワーク疎通まで確認する。想定所要時間と実測時間の差を記録し、手順書に反映する。
手順書には、①連絡体制(経営層・IT 部門・ベンダー・取引先)、②意思決定フロー(誰がどの段階で業務停止・復旧・公表を判断するか)、③技術手順(復元コマンド・再構築手順・切り戻し)、④復旧判定基準(何が動けば復旧完了とするか)を明記する。文章だけでなくチェックリスト化しておけば、パニック状態でも実行できる。
BCP との統合と経営関与
DR はあくまで IT 領域の話だが、BCP(事業継続計画)はそれを含む経営レベルの計画だ。地震・火災・パンデミック・サイバー攻撃など、事業中断リスク全般に対して、代替拠点・リモートワーク基盤・取引先連絡・資金繰りまで含めて計画する。経済産業省と中小企業庁が公表している「中小企業 BCP 策定運用指針」は無償のテンプレートで、中小企業が最初に参照すべき資料だ。
IT 投資の観点では、DR とクラウド移行は相性が良い。クラウドネイティブなシステムは、地理的冗長性・スケーラビリティ・自動フェイルオーバーが標準装備されており、オンプレ環境より DR コストが大幅に低い。既存のオンプレ基幹を段階的にクラウドへ移行する 3〜5年計画と、DR 設計の見直しをセットで進めることを強く推奨する。