バックアップの 3-2-1 ルールとは何ですか？

データのコピーを 3 つ作成し、2 種類以上の異なるメディアに保存し、そのうち 1 つはオフサイト (物理的に離れた場所) に保管するルールです。ランサムウェアや災害でも全データを失わないための基本戦略として広く推奨されています。

クラウドバックアップは安全ですか？

大手クラウドサービスは高度な暗号化と冗長化を備えており、物理的な災害に強い利点があります。ただし、アカウントの乗っ取りリスクがあるため、強力なパスワードと二要素認証の設定が必須です。重要データはアップロード前に自分で暗号化するとさらに安全です。

バックアップからの復旧テストはどのくらいの頻度で行うべきですか？

最低でも半年に 1 回は復旧テストを実施しましょう。バックアップが正常に取れていても、復旧手順が機能しなければ意味がありません。テスト時にはデータの完全性と復旧にかかる時間も確認し、手順書を最新の状態に保つことが重要です。

バックアップと復旧のセキュリティ対策

この記事は約 11 分で読めます

ランサムウェア攻撃、ハードウェア障害、誤操作によるデータ削除など、データ損失のリスクは日常的に存在します。 Veeam の 2024 年調査によると、企業の 76% が過去 12 か月間に少なくとも 1 回のデータ損失を経験しており、個人ユーザーでも HDD の年間故障率は約 1.5 - 2% に達します。 2025 年現在、ランサムウェアの標的は企業だけでなく個人にも広がっており、 Backblaze の最新統計では SSD の年間故障率も約 1% に達しています。適切なバックアップ戦略は、これらの脅威からデータを守る最後の砦です。しかし、バックアップ自体のセキュリティが不十分であれば、バックアップデータが攻撃者に悪用される危険があります。本記事では、バックアップと復旧におけるセキュリティ対策と、パスつく.com を活用した暗号化パスワードの生成方法を解説します。

結局どうすればいいのか

バックアップ戦略は難しく考える必要はありません。初心者の方は、まず外付け HDD を 1 台購入し、週に 1 回 PC のデータをコピーするところから始めてください。加えて、写真や重要書類はクラウドストレージ (Google Drive や iCloud) にも同期しておけば、 2 種類のメディアに 2 つのコピーが確保できます。中級者の方は、 3-2-1 ルールに従い、クラウドバックアップにはエンドツーエンド暗号化対応のサービスを選び、暗号化パスワードをパスつく.com で 20 文字以上に設定しましょう。 NAS の導入も検討すると、自動バックアップと高速な復旧を両立できます。

バックアップの基本戦略 - 3-2-1 ルール

データバックアップの基本原則として広く知られているのが「 3-2-1 ルール」です。データのコピーを 3 つ作成し、 2 種類以上の異なるメディアに保存し、そのうち 1 つは物理的に離れた場所 (オフサイト) に保管するという考え方です。この原則は米国国土安全保障省の US-CERT が推奨しており、企業・個人を問わずデータ保護の基盤として採用されています。

たとえば、 PC のデータを外付け HDD にバックアップし、さらにクラウドストレージにも同期するという運用が、 3-2-1 ルールの典型的な実装です。ローカルのバックアップは迅速な復旧に、クラウドバックアップはディザスタリカバリにそれぞれ対応します。近年ではランサムウェアの高度化に伴い、「 3-2-1-1-0 ルール」も提唱されています。これは 3-2-1 に加えて、 1 つのオフラインまたはイミュータブル (変更不可) なコピーを保持し、バックアップエラーが 0 であることを検証するという拡張版です。ランサムウェア対策の観点からも、イミュータブルバックアップの導入は強く推奨されます。

よくある誤解として「クラウド同期はバックアップと同じ」と考えがちですが、同期サービスではローカルで誤って削除したファイルがクラウド側でも即座に削除されます。バックアップとは特定時点のスナップショットを保持する仕組みであり、同期とは本質的に異なる点に注意してください。

バックアップ環境の構築には、バックアップ用外付け HDD や NAS (Amazon)も参考になります。

バックアップデータの暗号化

なぜバックアップを暗号化すべきか

バックアップデータには、元のデータと同じ機密情報が含まれています。暗号化されていないバックアップが盗まれた場合、攻撃者はパスワードデータベース、個人文書、写真、メールなど、すべてのデータに自由にアクセスできます。外付け HDD の紛失や盗難、クラウドストレージへの不正アクセスなど、バックアップデータが第三者の手に渡るシナリオは現実的です。 Ponemon Institute の調査では、データ侵害 1 件あたりの平均被害額は約 488 万ドル (2024 年) に達しており、暗号化されていないバックアップからの情報漏洩は被害を大幅に拡大させる要因となります。

暗号化パスワードの生成と管理

バックアップの暗号化には、十分な強度を持つパスワードが不可欠です。パスつく.com で 20 文字以上のランダムなパスワードを生成し、英大文字・英小文字・数字・記号の 4 種類すべてを含めてください。 20 文字の英数字記号混合パスワードは約 130 ビットのエントロピーを持ち、 AES-128 暗号鍵と同等以上の強度を確保できます。

バックアップ用の暗号化パスワードは、パスワードマネージャーに保存するだけでなく、紙に書いて耐火金庫に保管するなど、デジタルとアナログの両方で管理することを推奨します。暗号化パスワードを忘れると、バックアップデータを復元できなくなります。これはバックアップの意味を完全に失わせるため、パスワードの安全な保管は暗号化と同等に重要です。

注意点として、暗号化パスワードをバックアップデータと同じメディアに保存しないでください。外付け HDD にパスワードのテキストファイルを一緒に保存してしまうと、 HDD が盗まれた時点で暗号化の意味がなくなります。

クラウドバックアップのセキュリティ

クラウドサービスのアカウント保護

クラウドバックアップサービスのアカウントが乗っ取られると、バックアップデータの窃取だけでなく、データの削除やランサムウェアによる暗号化の被害を受ける可能性があります。クラウドストレージのセキュリティ対策と同様に、クラウドバックアップのアカウントには、パスつく.com で生成した 20 文字以上の強力なパスワードを設定し、必ず二段階認証を有効にしてください。

エンドツーエンド暗号化の確認

クラウドバックアップサービスを選ぶ際は、エンドツーエンド暗号化 (E2EE) に対応しているかを確認してください。 E2EE では、データがデバイス上で暗号化されてからクラウドに送信されるため、サービス提供者でさえデータの内容を閲覧できません。サービス提供者側で暗号化する方式 (サーバーサイド暗号化) では、サービス提供者の内部不正やサーバー侵害時にデータが露出するリスクがあります。

E2EE とサーバーサイド暗号化の違いを理解することが重要です。サーバーサイド暗号化では、暗号鍵をサービス提供者が管理するため、法的要請や内部不正によってデータが復号される可能性があります。 E2EE では暗号鍵をユーザー自身が管理するため、サービス提供者側からのアクセスは原理的に不可能です。

復旧時のセキュリティリスク

復旧環境の安全性を確認する

ランサムウェア感染後にバックアップからデータを復旧する場合、復旧先の環境がクリーンであることを確認してください。マルウェアが残存している環境にバックアップを復元すると、復元したデータが再び暗号化される危険があります。 Sophos の 2024 年調査では、ランサムウェア被害を受けた組織の約 32% がバックアップからの復旧を試みたものの、復旧環境の汚染により再感染したケースが報告されています。 OS の再インストールやセキュリティスキャンを実施してから復旧作業に入ることを推奨します。

復旧後のパスワード変更

データ損失の原因がセキュリティインシデント (マルウェア感染、不正アクセスなど) である場合、復旧後にすべてのアカウントのパスワードを変更してください。個人向けインシデント対応の手順に従い、パスつく.com で各サービスのパスワードを一括で再生成し、パスワードマネージャーに保存し直すことで、侵害された可能性のある認証情報をすべてリセットできます。

見落としがちなポイントとして、バックアップから復元したパスワードマネージャーのデータベースには、侵害前の古いパスワードが含まれています。復元後にそのまま使い続けると、漏洩済みのパスワードで各サービスにログインすることになるため、復元直後に全パスワードを再生成する手順を忘れないでください。

ランサムウェア対策の知識を深めるには、ランサムウェアのインシデント対応と BCP 策定ガイド (Amazon)が役立ちます。

バックアップ方式の比較

バックアップ方式にはフルバックアップ、差分バックアップ、増分バックアップの 3 種類があり、それぞれ特性が異なります。フルバックアップは全データを毎回コピーするため復旧が最も簡単ですが、時間とストレージ容量を大量に消費します。差分バックアップは前回のフルバックアップ以降の変更分のみを保存し、増分バックアップは前回のバックアップ (フル・差分・増分を問わず) 以降の変更分のみを保存します。個人ユーザーには、週 1 回のフルバックアップと毎日の増分バックアップの組み合わせがストレージ効率と復旧速度のバランスに優れています。

バックアップ保存先の比較

バックアップの保存先は大きく 3 つに分かれます。それぞれの特徴を理解し、自分の環境に合った方式を選択してください。

方式	セキュリティ	コスト	復旧速度	おすすめ対象
クラウドストレージ	中 (E2EE 対応なら高)	月額 200 - 1,500 円	遅い (回線速度依存)	災害対策を重視する方、外出先からもアクセスしたい方
外付け HDD / SSD	高 (オフライン保管時)	5,000 - 20,000 円 (買い切り)	速い (USB 3.0 以上)	コストを抑えたい方、手軽に始めたい初心者
NAS (ネットワーク接続ストレージ)	高 (RAID + 暗号化)	30,000 - 100,000 円 (初期投資)	速い (LAN 経由)	複数デバイスを自動バックアップしたい方、家庭内サーバーを運用したい方

理想的な運用は、外付け HDD (または NAS) とクラウドストレージを併用する 3-2-1 ルールの実践です。外付け HDD は迅速な復旧に、クラウドは災害時のオフサイトバックアップとして機能します。 NAS は初期投資が大きいものの、複数デバイスの自動バックアップと RAID による冗長性を両立できるため、家族全員のデータを一括管理したい場合に最適です。

バックアップの定期テスト

バックアップは「取っている」だけでは不十分です。定期的に復旧テストを実施し、バックアップデータから実際にデータを復元できることを確認してください。暗号化パスワードが正しいか、バックアップデータが破損していないか、復旧手順が明確かを検証することで、いざというときに確実に復旧できる体制を維持できます。 Gartner の調査では、復旧テストを定期的に実施している組織は、未実施の組織と比較して復旧成功率が約 2.5 倍高いという結果が出ています。

テストの頻度は、重要度の高いデータは月 1 回、それ以外のデータは四半期に 1 回を目安にしてください。テスト時には復旧にかかった時間 (RTO: 目標復旧時間) と、どの時点のデータまで復元できたか (RPO: 目標復旧時点) を記録し、許容範囲内に収まっているかを評価します。

バックアップと復旧のセキュリティは、データ保護の最終防衛線です。パスつく.com で生成した強力な暗号化パスワードでバックアップを保護し、クラウドアカウントのセキュリティを強化することで、あらゆるデータ損失シナリオに備えてください。

今すぐできること

外付け HDD またはクラウドストレージに、 PC の重要データ (写真、書類、パスワードマネージャーのエクスポート) をバックアップする
パスつく.com で 20 文字以上の暗号化パスワードを生成し、バックアップデータの暗号化に使用する
クラウドバックアップサービスのアカウントに二段階認証を設定する
暗号化パスワードを紙に書き、デジタルデバイスとは別の安全な場所 (耐火金庫など) に保管する
バックアップからの復元テストを 1 回実施し、データが正しく復旧できることを確認する

よくある質問

バックアップの 3-2-1 ルールとは何ですか？: データのコピーを 3 つ作成し、2 種類以上の異なるメディアに保存し、そのうち 1 つはオフサイト (物理的に離れた場所) に保管するルールです。ランサムウェアや災害でも全データを失わないための基本戦略として広く推奨されています。
クラウドバックアップは安全ですか？: 大手クラウドサービスは高度な暗号化と冗長化を備えており、物理的な災害に強い利点があります。ただし、アカウントの乗っ取りリスクがあるため、強力なパスワードと二要素認証の設定が必須です。重要データはアップロード前に自分で暗号化するとさらに安全です。
バックアップからの復旧テストはどのくらいの頻度で行うべきですか？: 最低でも半年に 1 回は復旧テストを実施しましょう。バックアップが正常に取れていても、復旧手順が機能しなければ意味がありません。テスト時にはデータの完全性と復旧にかかる時間も確認し、手順書を最新の状態に保つことが重要です。

この記事は役に立ちましたか？

パスワードを生成する →