中小企業庁によると、万が一の事業中断リスクに備え、54.1%の企業が「情報システムのバックアップ」を行っています(※)。あらかじめデータを複製しておくことで、サイバー攻撃やシステム障害によりデータが消失しても、バックアップ時の状態に復元可能です。
特に中小企業は、大企業と比べ経営基盤が脆弱なため、重要なデータの復旧が遅れると廃業に追い込まれるリスクがあります。事業継続計画(BCP)の一環として、正しい方法でデータをバックアップしましょう。
この記事では、中小企業がデータを定期的にバックアップすべき理由や、適切にバックアップする手法や手順について解説します。
navigate_next※参考:中小企業庁.「2024年版中小企業白書」
目次
中小企業がデータを定期的にバックアップすべき理由
内閣府発行の事業継続ガイドラインでは、データのバックアップを“電子データ、紙データにかかわらず重要な情報について複製を作成し、同時被災しない方法で保存しておくこと”と定義しています(※)。特に、自社の事業継続に欠かせないデータについては、企業規模に関係なく、定期的にバックアップを保存することが重要です。
navigate_next※出典:中小企業庁.「中小企業BCP(事業継続計画)ガイド~緊急事態を生き抜くために~」p41
ここでは、中小企業がデータをバックアップすべき理由を4つ紹介します。
- サイバー攻撃の手口が多様化し、脅威が増大しているから
- 中小企業はサイバー攻撃の標的になりやすいから
- 自然災害などの事業継続リスクが高まっているから
- ヒューマンエラーによるデータ消失リスクがあるから
サイバー攻撃の手口が多様化し、脅威が増大しているから
国内ではサイバー攻撃の脅威が増大しており、2023年に観測されたサイバー攻撃関連の通信数は約6,197億パケットと、2015年(約632億パケット)の9.8倍に増加しました(※1)。
また企業を狙ったサイバー攻撃の手口も多様化しています。以下の表は情報処理推進機構の「情報セキュリティ10大脅威 2024」に基づき、2023年に発生したセキュリティ事故のうち、企業における脅威度が高い事案を順位付けしたものです(※2)
| 順位 | 「組織」向け脅威 |
|---|---|
| 1位 | ランサムウェアによる被害 |
| 2位 | サプライチェーンの弱点を悪用内部不正による情報漏えい等の被害した攻撃 |
| 3位 | 内部不正による情報漏えい等の被害 |
| 4位 | 標的型攻撃による機密情報の窃取 |
| 5位 | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) |
| 6位 | 不注意による情報漏えい等の被害 |
| 7位 | 脆弱性対策情報の公開に伴う悪用増加 |
| 8位 | ビジネスメール詐欺による金銭被害 |
| 9位 | テレワーク等のニューノーマルな働き方を狙った攻撃 |
| 10位 | 犯罪のビジネス化(アンダーグラウンドサービス) |
特にランサムウェアによる被害が深刻化しており、9年連続で「情報セキュリティ10大脅威」にランクインしています。
サイバー攻撃によりデータが失われると、その復旧には多大な人手と時間を要します。自社の大切な情報資産を守るには、データを正しい手順や方法でバックアップすることが大切です。
ランサムウェア攻撃などの被害に遭っても、バックアップを保存したデータベースがネットワーク上から隔離されていれば、被害直前の水準まで迅速にデータを復旧できるでしょう。
navigate_next※1参考:総務省.「令和6年版情報通信白書」
navigate_next※2参考:独立行政法人 情報処理推進機構.「情報セキュリティ10大脅威 2024~脅威に呑まれる前に十分なセキュリティ対策を~」p7
中小企業はサイバー攻撃の標的になりやすいから
ランサムウェア等によるサイバー攻撃では情報を人質として身代金の要求をすることでブラックビジネスが成立しています。
そのため、身代金を支払える資産を持つ大企業が標的となるのですが、その足掛かりとして最初に狙われやすいのが中小企業です。
業務として機密情報の取り扱いやメインサーバーへのアクセス権を付与されていることもあり、大企業と同等の情報価値を持ちながら、大企業と比べリソースの制約からセキュリティ対策が後手に回りやすく、専門知識を持つ人材も不足する傾向にあります。
そのため低リスク高リターンの標的として「サプライチェーンの弱点」の代表にも挙げられています。
サイバー攻撃の中でも、中小企業を標的としたランサムウェア攻撃が増加しています。警察庁の発表によると、2023年に発生したランサムウェアによる被害(197件)のうち、中小企業が標的となった事案は102件です(※)。
ランサムウェアに感染すると、事業に関わるデータが暗号化され、業務やサービスの停止を余儀なくされる可能性があります。事業の再開まで、1カ月以上の期間を要する事案も珍しくありません。またデータの復旧にも多額の費用がかかり、復旧費用の総額が1,000万円以上にのぼる事案は全体の37%です(※)。
重要なデータを適切にバックアップしておけば、サイバー攻撃による被害を軽減できます。中小企業の場合、データを早期復旧できなければ、事業の存続が脅かされる可能性があります。まだデータのバックアップを取っていない場合は、早急に対策を進めましょう。
navigate_next※参考:警察庁 サイバー企画課.「令和5年におけるサイバー空間をめぐる脅威の情勢等について」p28-29
自然災害などの事業継続リスクが高まっているから
データを定期的にバックアップすべき理由は、サイバー攻撃だけではありません。近年は事業継続計画(BCP)の一環として、重要なデータのバックアップを取得する企業が増えています。
事業継続計画とは、“企業が自然災害、大火災、テロ攻撃などの緊急事態に遭遇した場合において、事業資産の損害を最小限にとどめつつ、中核となる事業の継続あるいは早期復旧を可能とするために、平常時に行うべき活動や緊急時における事業継続のための方法、手段などを取り決めておく計画”のことです(※)。
2020年以降の新型コロナウイルスの流行や、2024年の能登半島地震をはじめ、近年の日本では自然災害が絶えない状況です。こうした緊急事態によってシステム障害が発生した場合、重要なデータが失われ、事業の中断を余儀なくされるリスクがあります。
事業に関わるデータをバックアップしておけば、自然災害などによるダメージを最小化し、早期復旧を図れます。システム障害が発生してもすばやく対応できるよう、事業継続計画を策定して、バックアップからデータを復旧する手順を決めておくと良いでしょう。
navigate_next※出典:中小企業庁.「中小企業BCP策定運用指針」
ヒューマンエラーによるデータ消失リスクがあるから
その他、従業員のヒューマンエラーによってデータが消失する可能性もあります。例えば、以下のようなケースです。
- 誤ってファイルを削除・上書きした
- 誤ってHDDやSSDをフォーマット(初期化)した
データを定期的にバックアップしていれば、速やかに復旧させることが可能です。
また近年では、クラウドサービスの運営者が、ユーザーのデータを誤って削除する事案も起きています。2024年5月25日(米国時間)、Google Cloud blogに投稿された情報によると、2023年から同年にかけてGoogle Cloudのオペレーターのミスにより、ユーザーのデータがプライベートクラウドごと削除されるという被害が発生しました(※)。
クラウドサービスを利用していても、運営側のミスや管理不足が原因となり、意図せずデータが消えてしまうリスクがあります。重要なデータはオフラインでバックアップを取得するなど、複数の場所に保存しておくことが大切です。
実際にGoogle Cloudの事案では、ユーザー側が適切にバックアップを取得していたことにより、顧客の口座情報などのデータ復旧に成功しています。
navigate_next※参考:Google Cloud.「特定のお客様に影響を及ぼした最近のインシデントに関する詳細情報」
【中小企業向け】バックアップを保存する主な手法
データのバックアップを保存する方法は主に4つあります。
- 外付けのHDDやSSDに保存する
- NAS(ネットワークHDD)に保存する
- 外部の記録媒体に保存する
- オンラインストレージを利用する
外付けのHDDやSSDに保存する
1つ目は、外付けのHDDやSSDを購入し、バックアップ用のデバイスとして利用する方法です。外付けのデバイスなら、パソコン本体が故障しても、他のパソコンにデータを移行できます。またUSBメモリやSDカードなどの記録媒体と比べ、大容量のデータを保存できるのがメリットです。
なお、HDDとSSDには以下のような違いがあります。容量当たりの価格を重視する場合はHDD、信頼性やデータの読み書き速度を重視する場合はSSDを選ぶと良いでしょう。
| 特徴 | |
|---|---|
| HDD |
|
| SSD |
|
NAS(ネットワークHDD)に保存する
2つ目は、外付けのHDDではなく、NAS(ネットワークHDD)にデータを保存する方法です。
通常のHDDの場合、USBケーブルを使ってパソコンに接続するのが一般的です。そのため、原則として一度に1台のパソコンとしかデータの共有ができません。
一方、NASはネットワーク(LANケーブル)に接続できるため、複数のパソコンやスマートフォン、タブレットなどと同時にデータを共有できます。価格面では外付けのHDDより高価ですが、利便性が高いのがメリットです。
またWindows 10/11に標準搭載された機能を用いて、パソコンのデータを自動でバックアップすることもできます。
外部の記録媒体に保存する
3つ目は、外部の記録媒体に保存する方法です。データのバックアップに適した記録媒体として、USBメモリやSDカード、DVDメディア(DVD-R、DVD+R)、Blu-ray Disc(光ディスク)などが挙げられます。
外付けのHDDやSSDと比べ、一度に大容量のデータを保存することは難しいものの、手軽に持ち運べるのがメリットです。
オンラインストレージを利用する
4つ目は、オンラインストレージを利用する方法です。オンラインストレージとは、クラウドストレージとも呼ばれ、“インターネット上で利用できるファイル保管用サービス”を指します。
オンラインストレージのデータは、インターネット上で保管されるため、自社が自然災害に遭っても影響を受けません。一方、オンラインストレージならではのリスクもあります。
- オンラインストレージサービスが稼働するデータセンターが、自然災害に遭ったりサイバー攻撃を受けたりするリスクがある
- オンラインストレージに保存されたデータが、外部に漏えいする事案が発生している
- オンラインストレージ上のデータが消えても、バックアップや復旧はユーザーの責任で行うケースが多い
データを適切にバックアップするための手順
バックアップはただ取得すれば良いわけではありません。サイバー攻撃を受けてもバックアップが影響を受けないよう、保管場所をしっかりと検討する必要があります。また全てのデータを毎回保存すると、ストレージの容量を圧迫するため、保管期間を決めておくことも大切です。
ここでは、データを適切にバックアップするための手順を4つのステップに分けて紹介します。
- バックアップする対象を選ぶ
- バックアップの保管場所を検討する
- バックアップの保存期間を決める
- バックアップの復旧計画を立てる
バックアップする対象を選ぶ
まずはバックアップする対象を選びましょう。通常、バックアップの対象は業務データだけでなく、システムの稼働に必要な設定ファイルや、ファイルサーバーに保存されたユーザーファイルなども含まれます。
またバックアップの対象ごとに、フルバックアップをするのか、差分バックアップをするのかを決めておくことも大切です。
| バックアップの種類 | 特徴 |
|---|---|
| フルバックアップ | 全てのデータを丸ごとバックアップする |
| 差分バックアップ | 前回のバックアップから、追加・変更されたデータのみバックアップする |
例えば、業務データは週に1回を目安にフルバックアップを行い、必要に応じて差分バックアップを行うと良いでしょう(※)。
navigate_next※参考:独立行政法人 情報処理推進機構.「情報セキュリティ10大脅威 2024~脅威に呑まれる前に十分なセキュリティ対策を~」p7
バックアップの保管場所を検討する
次にバックアップの保管場所を検討しましょう。
ランサムウェア攻撃などを想定すると、バックアップはネットワーク上から隔離された場所に保管しておく必要があります。外部の記録媒体などに保存する場合は、バックアップを取得するときのみネットワークに接続し、それ以外は物理的に遮断するようにしましょう。
地震や水害など、災害対策を念頭に置く場合は、本社の所在地から地理的に離れた場所でバックアップを保管すると良いでしょう。
バックアップの保存期間を決める
データをバックアップする際は、最新のデータだけでなく、過去のデータも保存しておくことが大切です。
しかし、全てのデータを毎回保存していると、ストレージの容量が足りなくなります。バックアップを取るデータごとに保存期間を決め、期限を過ぎたデータは削除しましょう。
バックアップの復旧計画を立てる
バックアップは取得したら終わりではありません。取得したバックアップを利用して、どのようにデータを復旧するのかが重要です。
サイバー攻撃やシステム障害、ヒューマンエラーなど、想定しうる原因ごとに対応手順を検討し、復旧計画を策定しましょう。計画に基づいて正しく復旧できるかどうか確認し、定期的に対応手順を見直すことも大切です。
データのバックアップを実施する際の注意点
データのバックアップを実施する際の注意点は2つあります。
- 3-2-1ルールに沿ってバックアップする
- 定期的にオフラインバックアップを取得する
3-2-1ルールに沿ってバックアップする
3-2-1ルールとは、“データはコピーして3つ持ち、2種類のメディアでバックアップを保管し、バックアップの1つは違う場所で保存するというルール”です(※1)。データの保存場所が外付けのHDDやNAS、オンラインストレージなど、3カ所以上に分散されていれば、後で復元できる可能性が高くなります。
バックアップが1つしかないと、元データと一緒にウイルスに感染してしまい、データを復旧できなくなる恐れがあります。実際に2023年に発生したランサムウェア攻撃では、元データと一緒にバックアップが暗号化され、被害直前の水準まで復元できなかった事例が72件ありました(※2)。
navigate_next※1出典:独立行政法人 情報処理推進機構.「情報セキュリティ10大脅威 2024~脅威に呑まれる前に十分なセキュリティ対策を~」p80
navigate_next※2参考:警察庁 サイバー企画課.「令和5年におけるサイバー空間をめぐる脅威の情勢等について」p52
定期的にオフラインバックアップを取得する
複数の場所でデータをバックアップしていても、その全てがオンラインでのバックアップの場合、サイバー攻撃の被害に遭うリスクが高くなります。ネットワークと接続した環境でバックアップを保存すると、バックアップしたデータもウイルスに感染し、復旧できなくなる恐れがあるからです。
企業の情報資産を守るには、ネットワーク上から隔離された場所にデータを保存する「オフラインバックアップ」を定期的に行う必要があります。
情報処理推進機構が作成した「中小企業の情報セキュリティ対策ガイドライン(第3.1版)」でも、オンラインバックアップしか取得していないケースと比べ、定期的にオフラインバックアップを取得するケースの方が、サイバー攻撃のリスク値が低いと算定しています(※)。
navigate_next※参考:独立行政法人 情報処理推進機構.「中小企業の情報セキュリティ対策ガイドライン(第3.1版)」p61
中小企業だからこそデータの定期的なバックアップが必要
企業規模に関係なく、事業に関わるデータは定期的にバックアップしましょう。
バックアップの保存場所には、外付けのHDDやSSD、NAS(ネットワークHDD)、USBメモリ、オンラインストレージなど、さまざまな種類があります。それぞれのメリット・デメリットや、実際にデータを復旧する手順を考慮し、自社に合ったバックアップ方法を選びましょう。
中小企業向けのバックアップツールなら、ActiveImage Protector
-REの導入がおすすめです。ハードディスク全体をコピーするため、業務データやシステムの設定ファイルなどを丸ごとバックアップできます。また独自開発の「重複排除圧縮」機能により、保存先のバックアップ容量を大幅に削減可能です。
