バックアップの3-2-1ルールが守る障害とその仕組み
対象の目安: これから備える個人から小規模事業者まで / 入門

データが失われる原因は一つではありません。保存先の機器が壊れることもあれば、火災や水害でその機器ごと失われることもあり、操作する人がファイルを誤って消すこともあります。さらに近年は、ランサムウェアが端末や共有フォルダのファイルを暗号化し、読めない状態にしてしまう被害が続いています。これらは性質の異なる障害であり、一つの対策ですべてを防げるわけではありません。この記事は、複数の障害に重ねて備えるための指針である3-2-1ルールを取り上げ、3つの要素がそれぞれどの障害に効くのかを分けて説明し、ランサムウェアに対応するための拡張版と復元テストの位置づけまでを整理します。
なぜ一つの保存先だけでは足りないのか
データを一か所にしか置いていないと、その保存先で起きた障害がそのまま全損につながります。パソコン本体のドライブにだけ写真や書類を置いている状態では、ドライブが故障した時点で取り戻す手段がありません。外付けドライブに毎日コピーしていても、その外付けを本体のすぐ隣に置いていれば、同じ部屋の火災や水害で本体と一緒に失われます。
障害の種類ごとに、効く備えは変わります。機器の故障に対してはコピーの数を増やすことが直接効きますが、災害に対しては数を増やすよりも置き場所を離すことが効きます。誤って消したファイルを取り戻すには、消す前の状態が別のコピーに残っている必要があります。ランサムウェアに対しては、暗号化を仕掛けてくる相手の手が届かない場所にコピーを一つ確保しておくことが効きます。一つの工夫で全部をまかなおうとせず、性質の違う備えを重ねる必要があるという点が出発点になります。
この「重ねて備える」を覚えやすい形にまとめたのが3-2-1ルールです。写真分野でPeter Krogh氏が普及させたとされる整理で、米国のCISA(旧US-CERT)も一般向けの資料で、重要なファイルは3つのコピーを保ち、2種類のメディアに保存し、1つは施設の外へ置くことを推奨しています。
3-2-1ルールの3つの要素と効く障害
3-2-1ルールは、コピーの数、メディアの種類、置き場所という三つの軸でデータの守り方を指定します。それぞれが対応する障害が異なるため、軸ごとに役割を分けて見ていきます。
最初の「3」はコピーの数で、元データを含めて3つを保つことを指します。元データのほかに2つの予備があれば、1つの保存先が壊れても残りから戻せます。コピーが増えるほど、すべてが同時に使えなくなる確率は下がります。さらに、過去の時点のコピー(世代)を残しておけば、誤って上書きや削除をしたファイルを、消す前の世代から取り戻せます。コピー数を確保することは、機器の故障と人の操作ミスの両方に効きます。
次の「2」はメディアの種類で、コピーを2種類以上の異なる保存先に分けることを指します。同じ製品の同じ型番のドライブを2台並べても、製造上の不具合や同じ寿命による故障が重なると、両方が近い時期に壊れることがあります。内蔵ドライブと外付けドライブ、あるいはローカルの機器とクラウドのように、仕組みの違うメディアへ分散させると、ある原因による故障が全コピーへ同時に及びにくくなります。メディアの分散は、単一の原因による同時障害を避けるために効きます。
最後の「1」は置き場所で、コピーのうち1つを別拠点(オフサイト)に置くことを指します。同じ建物の中にコピーを集めていると、火災や水害、盗難のように場所そのものを襲う事象で、まとめて失われます。離れた拠点やクラウドにコピーを1つ置いておけば、一方の拠点が被災しても、もう一方が無事に残ります。オフサイト保管は、保管場所ごとデータを奪う災害に効きます。
メモ
3つの軸は別々の障害に対応するため、どれか一つだけでは守れる範囲が限られます。コピーを増やしても全部を同じ建物に置けば災害に弱く、置き場所を離してもメディアが一種類なら同一原因の故障に弱いままです。3つを同時に満たして、はじめて広い範囲の障害をカバーできます。
オフサイトとオフラインがランサムウェアに効く仕組み
ランサムウェアへの備えを考えるときは、3-2-1ルールの「1」が指すオフサイトと、ネットワークからの切り離しを表すオフラインを区別する必要があります。両者は混同されがちですが、守る対象が違います。
ランサムウェアの多くは、感染した端末から到達できる範囲を探し、共有フォルダや常時接続されたバックアップ先まで暗号化します。攻撃者が管理者の権限を奪っていれば、その権限で届く保存先は、別の建物にあっても暗号化の対象になり得ます。オフサイトであることは火災や水害には効きますが、ネットワークでつながっている限り、攻撃者の手が届く点は変わりません。別拠点に置くだけではランサムウェアへの備えとして足りない理由がここにあります。
ランサムウェアに効くのは、攻撃者の手が物理的または論理的に届かない退避先を確保することです。一つの方法は、バックアップ用のメディアを普段はネットワークから外しておくオフライン(エアギャップ)です。線がつながっていないメディアには、ネットワーク経由の暗号化が及びません。JPCERT/CCも、日常のバックアップとは別に、普段はネットワークから切り離した外部メディアへ重要なデータの世代バックアップを取ることを対策として挙げています。もう一つの方法は、書き込んだ後は保持期間が過ぎるまで変更や削除をできなくするイミュータブル(変更不可)な保存です。適切に設定された保持ロックでは、保持期間中のデータは上書きも削除もされないため、暗号化や消去の被害を受けにくくなります。ただし不変性の強さは実装に依存します。通常の管理者が保持設定を変更できる構成と、コンプライアンスモードのように設定変更自体を禁じる構成では耐性が異なり、保持期間の変更権限やアカウントの削除、暗号鍵の破棄、管理基盤そのものの侵害といった抜け道も評価が要ります。
ランサムウェア感染時に正常なバックアップから復旧する考え方と、普段はネットワークから切り離した世代バックアップを別に保つ対策については、JPCERT/CCのランサムウエア対策特設サイトと侵入型ランサムウェア攻撃を受けたら読むFAQを参照しました。
個人での3-2-1ルールの実践例
個人が手元のデータで3-2-1を満たす場合は、本体に加えて性質の違う2つの保存先を用意すると整理しやすくなります。たとえば、編集や閲覧をするパソコン本体のドライブを1つ目のコピーとし、外付けのSSDやHDDを2つ目、クラウドストレージを3つ目に置きます。この構成では、本体とは別のメディアである外付けドライブが「2種類のメディア」を満たし、手元から離れた場所にあるクラウドが「オフサイト」を満たします。
- 1
3つのコピーを置く先を決める
本体のドライブを元データとし、外付けドライブとクラウドストレージを予備にして、合計3つのコピーになる構成にします。守りたいデータがすべてこの3か所に含まれるかを確認します。
- 2
メディアを2種類に分ける
内蔵ドライブと外付けドライブ、ローカルとクラウドのように、仕組みの違う保存先を組み合わせます。同じ製品を2台並べるだけにならないようにします。
- 3
1つを手元から離す
クラウドストレージか、別の場所に保管する外付けドライブを使い、火災や盗難で手元のものとまとめて失われない置き場所を1つ確保します。
- 4
世代を残す設定にする
上書きや削除のたびに古い状態が消える運用ではなく、過去のバージョンを一定期間残す設定にします。誤削除や誤上書きから消す前の状態を取り戻せるようにします。
クラウドストレージを使うときに注意したいのは、フォルダの同期はバックアップとは別物だという点です。同期は手元の状態をそのまま反映するため、手元でファイルを暗号化されたり誤って消したりすると、その変更がクラウド側へも上書きされることがあります。バージョン履歴や削除済みファイルの復元機能の保持期間を確認し、過去の状態へ戻せるかどうかを把握しておくと安心です。
拡張版の3-2-1-1-0と復元テストの役割
ランサムウェアがバックアップそのものを狙う状況を受けて、3-2-1ルールを補強した3-2-1-1-0という整理が、バックアップ製品の提供元(Veeamなど)から紹介されています。これは普遍的な標準規格ではなくベンダー由来の整理ですが、3-2-1の3要素に、さらに2つの条件を加えたものとして参考になります。
加わる「1」は、コピーのうち少なくとも1つを、オフラインまたはイミュータブルな退避先にすることを指します。前の節で述べたとおり、これが攻撃者の手の届かない場所を確保し、本番もろともバックアップを暗号化される事態を防ぎます。最後の「0」は、復元の検証でエラーがゼロであること、つまり実際に戻せる状態であることを確かめることを指します。Veeamはこの整理を、不変なコピーと検証済みの復元可能性を加えたものとして説明しています。
「0」が独立した条件として置かれているのは、取れているつもりのバックアップが、いざというときに復元できない事態が起こり得るからです。バックアップの対象から一部のデータが漏れていたり、保存されたファイルが壊れていたり、復元手順を担当者しか把握していなかったりすると、データを残していても業務は止まります。これを避けるには、別の環境へ実際に復元してみて、戻せること、戻すのにかかる時間、どの時点まで戻せるかを確かめておく必要があります。JPCERT/CCも、定期的な復元テストで手順を確認し、復旧にかかる時間を把握しておくことを挙げています。IPAの中小企業向けガイドラインでも、世代管理や遠隔地での保管とあわせて、バックアップから実際に復元できるかを定期的に確認することが推奨されています。なお、ここでの「0」はバックアップ自体の整合性や復元可能性を検証する考え方であり、業務全体の復旧やRTO・RPOの達成、関連サービスの動作までを保証するものではありません。それらは別途の復旧訓練で確かめます。
3-2-1や3-2-1-1-0を満たしていれば必ず復元できる、とは言えません。これらが頼れる備えになるのは、コピーの数や置き場所だけでなく、世代が正しく残り、退避先が攻撃者から切り離され、そして実際に戻せることを検証で確かめたときに限られます。設計だけで安心せず、復元テストまで含めて初めて、バックアップは復旧の手段として機能します。
3-2-1ルール実践チェックリスト
- 元データを含めて3つのコピーがあり、守りたいデータがすべて含まれているか
- 内蔵と外付け、ローカルとクラウドのように2種類以上のメディアに分けているか
- 1つを別拠点(オフサイト)やクラウドに置き、災害でまとめて失われないようにしているか
- 過去の世代を残す設定にし、誤削除や誤上書きから消す前の状態へ戻せるか
- オフラインまたはイミュータブルな退避先を1つ確保し、ランサムウェアの巻き添えを防いでいるか
- 別環境への実際の復元テストで、戻せること・所要時間・戻せる時点を確かめているか
ランサムウェア被害からの復旧を運用担当者の視点でより深く知りたい場合や、NASをバックアップ先に使う際の落とし穴、侵入を防ぐ側の対策、不要になった機器やメディアを手放すときの安全なデータ消去は、次の関連記事で扱っています。
あわせて読みたい
ランサムウェア被害からの復旧とバックアップ設計。3-2-1とイミュータブルで「戻せる」備えをつくる
あわせて読みたい
ランサム対策に効くバックアップ機器(NAS)の選び方。隔離とスナップショットで復旧力を残す
あわせて読みたい
ランサムウェアの感染経路と被害最小化。初期侵入を断ち、復旧できる備えをつくる
あわせて読みたい
パソコンやスマホを手放す前のデータ消去はどこまでやれば足りるのか
出典・参考
関連する記事
クラウド(オンライン)バックアップの選び方
3-2-1ルールが求める別拠点への1コピーをクラウドで満たすための選び方を、復元単位や版管理、暗号化とゼロ知識方式、復元速度、保管リージョンという軸で整理し、個人と小規模事業所に向けてファイル型とイメージ型のサービスの向き不向きを公式情報に基づいて説明します。
重要書類とバックアップ媒体を守る金庫の選び方を整理する
火災や盗難から重要書類やバックアップ媒体、復元情報を守る金庫は、耐火金庫と防盗金庫で守る対象が異なります。試験で区分される耐火時間や防盗のグレード、CPマークの意味、施錠方式や設置の勘どころを、業界団体や公的機関の情報に基づいて整理します。
UPS(無停電電源装置)の選び方
停電や電圧変動でNASやパソコンが急に落ちると、書き込み中のデータが壊れることがあります。UPSがその数分を稼いで安全なシャットダウンを助ける仕組みと、給電方式や容量、出力波形、バッテリー寿命の見方を整理します。


