万が一に備える｢バックアップ｣は元データ含め3つが基本のなぜ､《｢3-2-1｣の原則は知ってる？｢3-2-1-1-0｣ならさらに安心》何が違うのか

「3-2-1バックアップ」の弱点を克服するために生まれたのが「3-2-1-1-0 + Zero Trustバックアップ」です。新たに追加された部分が、現代の脅威に対する強力な防御壁となります。「3-2-1」の3つのバックアップで、2種類以上のストレージを利用し、1つはオフサイトで保管することは同じです。

追加された「1」は、イミュータブルコピーもしくはエアギャップコピーを持つことを意味します。イミュータブル（Immutable）とは「変更不可能」という意味で、バックアップデータを保存する際に「このデータは指定した期間が過ぎるまで、誰によるいかなる操作も受け付けない」という強力な保護設定を施した状態を指します。

単なるアクセス権の制限とは異なり、たとえ組織のITシステムにおける最高権限を持つ管理者アカウントであっても、データの削除や上書きといった変更操作がシステムレベルで拒否されます。

ランサムウェア攻撃では、ネットワークに侵入後、まず管理者権限を乗っ取り、業務データと同時にバックアップデータまで破壊して復旧の望みを断つのが典型的な手口です。しかし、バックアップがイミュータブル化されていれば、攻撃者がいかにして管理者権限を奪おうとも、バックアップデータへの破壊命令は届かず、攻撃者の試みは完全に無力化されます。

エアギャップ （Air-gapped）は、バックアップデータを保存するシステムやメディアが、本番環境のネットワークからも、インターネットからも物理的・論理的に完全に隔離されている状態を指します。

たとえ社内ネットワーク全体が攻撃者によって掌握され、オンライン上のすべてのデータとバックアップが暗号化されるという最悪の事態に陥ったとしても、この隔離されたデータだけは無傷で残り、事業復旧のための最後の、そして最も信頼できる命綱となります。

古典的で代表的な例は、バックアップを取得した後のテープメディアをサーバーから取り外し、耐火金庫や遠隔地の専用施設に保管する運用です。しかし、テープ媒体の運用は人手による物理的な搬送や保管が必要で、復旧（リストア）時にはテープを探し出して輸送し、サーバーに読み込ませる手間と時間がかかるという課題があります。

そこで近年は、クラウドを活用した「論理的エアギャップ」という方法も注目されています。これは、通常時はバックアップ用のストレージ環境へのネットワーク経路を完全に遮断しておき、バックアップが必要なごく短時間だけ自動的に接続を許可し、処理が完了すれば即座に再び遮断するという仕組みです。

最後の原則である「0」はエラーゼロ（Zero Errors）のことです。筆者はサイバーセキュリティ企業に取材することが多いのですが、専門家たちはバックアップを取っている企業は多いが、復旧テストをしているところは本当に少ないと口をそろえます。

エラーゼロ担保のため「定期的な復旧テスト」が不可欠

いざ、ランサムウェアの被害に遭い、バックアップから復旧しようとするとうまくいかないことが多いのです。実はバックアップが取れていなかった、という事例から、一部はバックアップしていたが、バックアップしていないデータもあり、基幹システム内で整合性が取れず業務がストップしてしまうケースもあります。