ランサム対策に効くバックアップ機器（NAS）の選び方。隔離とスナップショットで復旧力を残す

ランサムウェアの被害が深刻になるのは、攻撃者が「業務データを暗号化する」だけでなく、「復旧の頼みの綱であるバックアップごと破壊しにくる」からです。社内のファイルサーバーと同じネットワークに置かれ、同じ管理者アカウントで触れるバックアップは、攻撃者から見れば本番データの延長線上にある一つの標的にすぎません。実際に侵入された組織では、本番もバックアップも同時に暗号化され、自力での復旧が著しく困難になり、身代金要求への圧力が高まる、という事態が起きています。

そこでバックアップ機器、とりわけ中小規模で広く使われる NAS（Network Attached Storage、ネットワーク接続型ストレージ）を選ぶときの軸は、「容量が大きい」「安い」「転送が速い」ではありません。第一に問うべきは、「攻撃者が本番環境を制圧したあとでも、このバックアップは壊されずに残るか」です。言い換えれば、隔離（ネットワークや権限からの切り離し）と、変更不可のスナップショット（撮った時点の状態を、管理者権限でも消せない形で保持する仕組み）を備えているかどうかが、復旧力を分けます。

この記事は、NAS の製品名やスペックの比較表に飛びつく前に、経営者と情報システム担当が「どういう備えにいくら投じるか」を判断するための土台を整えるものです。3-2-1 という基本原則から、隔離の現実的なやり方、スナップショットとイミュータブル（変更不可）機能の違い、そして実在する NAS 製品の見極めどころまでを、原理から噛み砕いて解説します。

なお本記事にはアフィリエイトリンクを含みます。紹介する製品は編集部が選定したものですが、効果や適合性を保証するものではなく、最終的な購入判断はご自身の利用環境と要件に照らしてお願いします。詳細は記事冒頭の表示と広告・アフィリエイトについてをご覧ください。

早見表: NAS の見極めどころ#

容量や価格より先に確認すべき観点を一枚に整理します。下の「対ランサム重要度」が高い項目ほど、侵入されたときに復旧できるかどうかを直接左右します。

容量やベイ数が「中」なのは軽視してよいという意味ではなく、対ランサムの観点では「壊されない仕組み」を満たした上で選ぶ二次的な軸だからです。侵入された前提で考えると、消せないコピーが一つ残っているかどうかが復旧の可否を決めます。攻撃の全体像と侵入を断つ側の対策は

で扱っているので、本記事は「侵入されても復旧できる備え」に絞って掘り下げます。

JPCERT/CC の「侵入型ランサムウェア攻撃を受けたら読む FAQ」では、被害最小化の段階として「被害を免れたバックアップの保護」を挙げ、復旧段階ではバックアップからの復元を主要な方針として位置づけています。バックアップが生き残っているかどうかが復旧の前提になることを、対応手順の側からも読み取れます。

なぜ「容量より隔離」なのか#

バックアップ機器を選ぶとき、つい「何TB入るか」「何台ディスクを積めるか」に目が向きます。しかしランサムウェア対策という文脈では、まず別の問いを立てる必要があります。「攻撃者が社内ネットワークの管理者権限を握った瞬間、このバックアップは生き残るか」です。

侵入型ランサムウェアの典型的な流れは、VPN機器やリモートデスクトップから内部に入り込み、認証情報を奪って横方向に広がり、ドメイン管理者などの強い権限を得てから一斉に暗号化を実行する、というものです。この段階で攻撃者は、ファイルサーバーと同じ要領で共有フォルダにアクセスできる NAS も、当然のように暗号化対象にします。つまり、本番と同じネットワーク・同じ管理者アカウントでアクセスできる NAS は、原理的に本番と運命を共にします。

ここで効いてくるのが「隔離」です。隔離には段階があります。もっとも強いのは、バックアップ媒体を物理的にネットワークから切り離す「オフライン（エアギャップ）」です。次に、ネットワークには繋がっているが、本番とは別の認証・別のセグメントに置き、複製を一方向（本番からバックアップ先へ送るだけで、バックアップ先から本番を触らせない）にする方法があります。NAS を使う場合、後者を基本にしつつ、後述するイミュータブルスナップショットで「ネットワーク越しに消されても困らない」状態を作るのが現実的です。

3-2-1 の原則を NAS でどう満たすか#

バックアップ設計の基本としてよく挙げられるのが「3-2-1」です。データのコピーを3つ持ち、2種類の異なる媒体に保存し、そのうち1つは別の場所（オフサイト）に置く、という考え方です。もともとは写真家のPeter Krogh氏が著書で広めた経験則ですが、現在ではNISTやCISAといった米国の公的機関も推奨する、可用性を高めるための基本原則として定着しています。

NAS はこの3-2-1のどこを担うのかを意識して配置することが大切です。よくある誤りは、「本番データ」と「NAS 上のバックアップ」の二つだけで満足してしまうことです。これだと媒体は2系統あっても、両方が同じ建物・同じネットワークにあり、火災・水害や、まさにランサムウェアによる同時破壊に弱いままです。NAS を中心に据えるなら、たとえば「本番」「社内 NAS（スナップショット付き）」「別拠点 NAS またはクラウドへの複製」の三層で3-2-1を満たす、といった設計にします。

近年は、ここに「オフラインまたは改ざん不可のコピーを1つ」「復旧テストでエラーゼロを確認」という要素を加えて表現することもありますが、出発点は3-2-1です。まずは「コピーが物理的・論理的に離れた場所に複数ある」状態を作ることを目標にしてください。

以前は大容量の NAS を1台買い、そこへ毎晩バックアップしていれば安心だと思っていました。ところが机上で「もしこの NAS の管理者パスワードが漏れたら」と考えたとき、本番もバックアップも同じ認証で触れる状態だと気づいて青ざめました。容量を増やすより先に、複製先を別認証・別拠点にすることへ予算を振り向けるべきだった、と今は考えています。

スナップショットとイミュータブルの違い#

NAS の対ランサム機能でよく登場するのが「スナップショット」と「イミュータブル（WORM）」です。似た言葉ですが、守れる範囲がはっきり違うので、ここを正確に理解しておくと製品選びの判断が変わります。

スナップショットは、ある時点のファイルシステムの状態を、差分を使って軽量に保持する仕組みです。短時間で大量の世代を残せるため、「ランサムウェアに暗号化される前の状態」へ素早く巻き戻せる可能性が高まります。ただし、通常のスナップショットには弱点があります。NAS の管理者権限を奪われると、スナップショット自体を削除されてしまうのです。攻撃者は復旧の芽を摘むために、暗号化の前後でスナップショットを消しにきます。これでは「最後の砦」になりません。

そこで登場するのが、イミュータブル（変更不可）スナップショットです。これは WORM（Write Once Read Many、一度書いたら読み出しのみ）の考え方を応用し、指定した保持期間のあいだは、たとえ管理者であってもスナップショットや対象フォルダを削除・改変できないようにするものです。Synology は DSM 7.2 以降でイミュータブルスナップショットに対応しており、QNAP も ZFS ベースの QuTS hero で WORM やイミュータブルスナップショットを提供しています。管理者権限が奪われても、保持期間が満了するまでは消せない世代が残るため、この機能こそが対ランサムの「最後の砦」になります。

通常のスナップショット   : 管理者権限を奪われると削除され得る → 砦になりきれない
イミュータブル(WORM)     : 保持期間中は管理者でも削除不可    → 最後の砦になる
オフライン(エアギャップ)  : そもそもネットワークから切断       → 物理的に届かない

Synology のナレッジセンターは、ランサムウェア対策としてスナップショットや変更不可スナップショット、別拠点・クラウドへのバックアップの組み合わせを案内しています。スナップショットだけに頼らず、複数の防御層を重ねる前提で機能が設計されています。

実在製品の見極めどころ#

ここからは、編集部が中小規模での導入を想定して選定した、入手しやすく対ランサム機能を備える NAS を用途別に紹介します。価格・仕様・対応 OS は変動し、ディスク（HDD/SSD）は通常別売りです。購入時には各製品の公式情報で、スナップショットやイミュータブル機能の対応可否、必要な OS バージョンを必ず確認してください。効果や適合性を保証するものではなく、選定はあくまで参考としてご活用ください。

まず1台、スナップショット対応の小規模向け（Synology 2ベイ）#

少人数のオフィスで「まずバックアップ専用機を1台」という場合に検討しやすい2ベイ機です。Synology の DSM は管理画面が分かりやすく、スナップショットや別拠点・クラウドへの複製まで一通りまかなえます。2ベイ機はディスク2台でRAID 1（ミラー）を組めるため、ディスク1台が故障してもデータを保てます。

容量と拡張に余裕を持たせたい（Synology 4ベイ）#

データ量が増えてきた、または将来の拡張を見込むなら4ベイ機が候補です。RAID の選択肢が広がり、容量と冗長性のバランスを取りやすくなります。スナップショットやイミュータブル運用を本格的に回すなら、容量に余裕のある構成が安心です。

より高い保護とパフォーマンスを求める（Synology 上位機）#

仮想化や複数拠点の集約、より多い同時アクセスを見込むなら、CPU・メモリに余裕のある上位機が向きます。イミュータブルスナップショットを含む保護機能を、性能面の余裕を持って運用したい組織に適します。

WORM を本格的に使いたい（QNAP 4ベイ）#

ZFS ベースの QuTS hero に切り替えることで、WORM やイミュータブルスナップショットといった改ざん防止機能をより本格的に使いたい場合の選択肢です。データ整合性を重視する運用や、変更不可の保持を厳密に効かせたい場面に向きます。

小規模で WORM を試したい（QNAP 2ベイ）#

「まず少容量で、ZFS や WORM の運用を試したい」という小規模向けには2ベイ機が候補になります。2.5GbE を備える構成なら、バックアップや復旧の転送時間も抑えやすくなります。

QNAP の TS-464 は標準の QTS に加え、ZFS ベースの QuTS hero へ切り替えて利用できます。QuTS hero は WORM によるデータ改ざん防止やデータ整合性機能を提供します。対応状況や必要なバージョンは製品ページで確認してください。

導入と運用の設計#

機器を選んだら、「壊されない仕組み」と「戻せることの確認」まで設計して初めて備えになります。買って繋いだだけでは、対ランサムの効果は限定的です。

よくある誤解と注意点#

NAS を導入しても、いくつかの誤解が残っていると効果が削がれます。実務で間違えやすい点を整理します。

第一に、「RAID はバックアップではない」という点です。RAID はディスク故障に備える冗長化であり、ランサムウェアがファイルを暗号化すれば、その暗号化データがそのままミラー側にも反映されます。RAID があるからバックアップ不要、という理解は危険です。RAID は可用性のための仕組み、バックアップは別時点のコピーを残す仕組みで、役割が異なります。

第二に、「クラウド同期はバックアップではない」という点です。常時同期型のクラウドストレージは、暗号化されたファイルもそのまま同期してしまうことがあります。バージョン履歴やゴミ箱の保持期間が短いと、巻き戻せる世代が残りません。同期と、世代を保持するバックアップは区別して設計してください。

第三に、「NAS 自体が攻撃対象になる」という点です。インターネットに直接公開された NAS の管理画面や、放置された脆弱性が侵入口になる事例があります。NAS を外部へ不用意に公開せず、ファームウェアを更新し、強い認証を設定することが前提です。バックアップ機器だから安全、ということはありません。

よくある質問#

まとめ#

ランサムウェア対策としての NAS 選びは、「容量で選ぶ」発想から「侵入されても消されないコピーを残せるか」という発想へ切り替えることが出発点です。スナップショットで素早く巻き戻せること、イミュータブルで管理者権限を奪われても消されない世代を残せること、そして別の場所へ一方向で複製して3-2-1を満たすこと。この三つを満たして初めて、バックアップは「最後の砦」として機能します。攻撃そのものを断つ侵入対策は

を、実際の復旧手順とバックアップ設計の深掘りは

あわせて読みたい

ランサムウェア被害からの復旧とバックアップ設計。3-2-1とイミュータブルで「戻せる」備えをつくる

をあわせてご覧ください。