パスつく.com

バックアップと復旧のセキュリティ対策

この記事は約 5 分で読めます

ランサムウェア攻撃、ハードウェア障害、誤操作によるデータ削除など、 データ損失のリスクは日常的に存在します。Veeam の 2024 年調査によると、 企業の 76% が過去 12 か月間に少なくとも 1 回のデータ損失を経験しており、 個人ユーザーでも HDD の年間故障率は約 1.5 - 2% に達します。 適切なバックアップ戦略は、これらの脅威からデータを守る最後の砦です。 しかし、バックアップ自体のセキュリティが不十分であれば、 バックアップデータが攻撃者に悪用される危険があります。 本記事では、バックアップと復旧におけるセキュリティ対策と、 パスつく.com を活用した暗号化パスワードの生成方法を解説します。

バックアップの基本戦略 - 3-2-1 ルール

データバックアップの基本原則として広く知られているのが 「3-2-1 ルール」です。データのコピーを 3 つ作成し、 2 種類以上の異なるメディアに保存し、そのうち 1 つは 物理的に離れた場所 (オフサイト) に保管するという考え方です。 この原則は米国国土安全保障省の US-CERT が推奨しており、 企業・個人を問わずデータ保護の基盤として採用されています。

たとえば、PC のデータを外付け HDD にバックアップし、 さらにクラウドストレージにも同期するという運用が、 3-2-1 ルールの典型的な実装です。ローカルのバックアップは 迅速な復旧に、クラウドバックアップは災害時の復旧に それぞれ対応します。近年ではランサムウェアの高度化に伴い、 「3-2-1-1-0 ルール」も提唱されています。これは 3-2-1 に加えて、 1 つのオフラインまたはイミュータブル (変更不可) なコピーを保持し、 バックアップエラーが 0 であることを検証するという拡張版です。

よくある誤解として「クラウド同期はバックアップと同じ」と 考えがちですが、同期サービスではローカルで誤って削除した ファイルがクラウド側でも即座に削除されます。バックアップとは 特定時点のスナップショットを保持する仕組みであり、 同期とは本質的に異なる点に注意してください。

バックアップ環境の構築には、バックアップ用外付け HDD や NAS (Amazon)も参考になります。

バックアップデータの暗号化

なぜバックアップを暗号化すべきか

バックアップデータには、元のデータと同じ機密情報が含まれています。 暗号化されていないバックアップが盗まれた場合、攻撃者は パスワードデータベース、個人文書、写真、メールなど、 すべてのデータに自由にアクセスできます。 外付け HDD の紛失や盗難、クラウドストレージへの不正アクセスなど、 バックアップデータが第三者の手に渡るシナリオは現実的です。 Ponemon Institute の調査では、データ侵害 1 件あたりの 平均被害額は約 445 万ドル (2023 年) に達しており、 暗号化されていないバックアップからの情報漏洩は 被害を大幅に拡大させる要因となります。

暗号化パスワードの生成と管理

バックアップの暗号化には、十分な強度を持つパスワードが不可欠です。 パスつく.com で 20 文字以上のランダムなパスワードを生成し、 英大文字・英小文字・数字・記号の 4 種類すべてを含めてください。 20 文字の英数字記号混合パスワードは約 130 ビットのエントロピーを持ち、 AES-128 暗号鍵と同等以上の強度を確保できます。

バックアップ用の暗号化パスワードは、パスワードマネージャーに 保存するだけでなく、紙に書いて耐火金庫に保管するなど、 デジタルとアナログの両方で管理することを推奨します。 暗号化パスワードを忘れると、バックアップデータを復元できなくなります。 これはバックアップの意味を完全に失わせるため、パスワードの 安全な保管は暗号化と同等に重要です。

注意点として、暗号化パスワードをバックアップデータと同じ メディアに保存しないでください。外付け HDD にパスワードの テキストファイルを一緒に保存してしまうと、HDD が盗まれた時点で 暗号化の意味がなくなります。

クラウドバックアップのセキュリティ

クラウドサービスのアカウント保護

クラウドバックアップサービスのアカウントが乗っ取られると、 バックアップデータの窃取だけでなく、データの削除や ランサムウェアによる暗号化の被害を受ける可能性があります。 クラウドバックアップのアカウントには、パスつく.com で 生成した 20 文字以上の強力なパスワードを設定し、 必ず二段階認証を有効にしてください。

エンドツーエンド暗号化の確認

クラウドバックアップサービスを選ぶ際は、エンドツーエンド暗号化 (E2EE) に対応しているかを確認してください。E2EE では、 データがデバイス上で暗号化されてからクラウドに送信されるため、 サービス提供者でさえデータの内容を閲覧できません。 サービス提供者側で暗号化する方式 (サーバーサイド暗号化) では、 サービス提供者の内部不正やサーバー侵害時にデータが 露出するリスクがあります。

E2EE とサーバーサイド暗号化の違いを理解することが重要です。 サーバーサイド暗号化では、暗号鍵をサービス提供者が管理するため、 法的要請や内部不正によってデータが復号される可能性があります。 E2EE では暗号鍵をユーザー自身が管理するため、 サービス提供者側からのアクセスは原理的に不可能です。

復旧時のセキュリティリスク

復旧環境の安全性を確認する

ランサムウェア感染後にバックアップからデータを復旧する場合、 復旧先の環境がクリーンであることを確認してください。 マルウェアが残存している環境にバックアップを復元すると、 復元したデータが再び暗号化される危険があります。 Sophos の 2024 年調査では、ランサムウェア被害を受けた組織の 約 32% がバックアップからの復旧を試みたものの、 復旧環境の汚染により再感染したケースが報告されています。 OS の再インストールやセキュリティスキャンを実施してから 復旧作業に入ることを推奨します。

復旧後のパスワード変更

データ損失の原因がセキュリティインシデント (マルウェア感染、 不正アクセスなど) である場合、復旧後にすべてのアカウントの パスワードを変更してください。パスつく.com で各サービスの パスワードを一括で再生成し、パスワードマネージャーに 保存し直すことで、侵害された可能性のある認証情報を すべてリセットできます。

見落としがちなポイントとして、バックアップから復元した パスワードマネージャーのデータベースには、侵害前の 古いパスワードが含まれています。復元後にそのまま使い続けると、 漏洩済みのパスワードで各サービスにログインすることになるため、 復元直後に全パスワードを再生成する手順を忘れないでください。

ランサムウェア対策の知識を深めるには、ランサムウェアのインシデント対応と BCP 策定ガイド (Amazon)が役立ちます。

バックアップの定期テスト

バックアップは「取っている」だけでは不十分です。定期的に 復旧テストを実施し、バックアップデータから実際にデータを 復元できることを確認してください。暗号化パスワードが正しいか、 バックアップデータが破損していないか、復旧手順が明確かを 検証することで、いざというときに確実に復旧できる体制を 維持できます。Gartner の調査では、復旧テストを定期的に 実施している組織は、未実施の組織と比較して復旧成功率が 約 2.5 倍高いという結果が出ています。

テストの頻度は、重要度の高いデータは月 1 回、 それ以外のデータは四半期に 1 回を目安にしてください。 テスト時には復旧にかかった時間 (RTO: 目標復旧時間) と、 どの時点のデータまで復元できたか (RPO: 目標復旧時点) を 記録し、許容範囲内に収まっているかを評価します。

バックアップと復旧のセキュリティは、データ保護の最終防衛線です。 パスつく.com で生成した強力な暗号化パスワードでバックアップを保護し、 クラウドアカウントのセキュリティを強化することで、 あらゆるデータ損失シナリオに備えてください。

関連記事

パスワードを生成する →