万が一に備える｢バックアップ｣は元データ含め3つが基本のなぜ､《｢3-2-1｣の原則は知ってる？｢3-2-1-1-0｣ならさらに安心》何が違うのか

Amazon Web Services（以下、AWS）などのクラウド事業者は物理設備やハイパーバイザー層のセキュリティなどを担保しますが、OS上で動くワークロードの設定ミスやアクセス権限の過剰付与、そしてバックアップの可搬性や保護強度といったレイヤは利用者の責任範囲となります。

そのため、クラウド環境でもオンプレミス環境と同じように、Zero Trustの視点で強化した「3-2-1-1-0」こそが、安全なバックアップの原則となります。

コスト面についても現実的な視点が必要でしょう。イミュータブルストレージやオフラインバックアップの導入には初期投資や運用コストがかかるものの、書き込み後にロックできるクラウドサービスを使えば、コストを抑えつつ高い耐性を得ることができます。

例えば、AWSが提供するストレージサービス「Amazon S3」の機能の1つ「Object Lock」です。WORM （Write-Once Read-Many）モデルを採用し、ファイルを上書きや削除から保護します。Wasabi Technologiesが提供する「Wasabi Hot Cloud Storage」も、Amazon S3互換のイミュータブル機能を提供しており、コストパフォーマンスが高く、注目を集めています。

中小企業であれば、全社一律のバックアップではなく、重要なデータや業務システムに優先度をつけて段階的に適用していくことで、コストと安全性のバランスを取ることもできます。いきなり完璧を目指すのではなく、まずはできるところからすぐに着手することが重要です。

日本企業では、クラウドサービスの利用が進む一方で、内部統制やバックアップ運用がまだ不十分なケースが多く見られます。「3-2-1-1-0 + Zero Trust」の組み合わせは、セキュリティ強化という側面だけでなく、事業継続計画（BCP）としても有効です。

とくに情報システム部門が小規模な企業では、ベンダー任せにせず、自社で復旧シナリオを具体的に設計し、年に1度、できれば半年に1度は復旧テストを実施することが求められます。サイバー攻撃や災害発生時にも事業を止めない力がつき、顧客や取引先からの信頼にもつながります。

経営マターで「サイバー・レジリエンス」の確立を

現代のビジネスにおいて、データは石油に代わる新たな資源と言われるほど貴重な経営資源になっています。データを守り抜くことは、もはやIT部門の責任範囲を超えた、経営そのものの根幹をなす課題とも言えます。

堅牢なデータ保護体制は、不測の事態における事業継続を可能にする守りの要であると同時に、企業の信頼性を高め、競争優位を築く攻めの基盤ともなります。

バックアップやデータ保護を単なるコストセンターと見なす旧来の考え方から脱却し、事業の未来を守るための不可欠な投資と位置づける意識改革が必要です。自社のデータがどこにどれだけあり、重要なデータを把握し、保護のために適切なリソースを配分するというトップの強い意志が求められます。

「備えあれば憂いなし」と言いますが、現代のデジタル社会においては「備え続けなければ、憂いだらけ」というのが実情です。完璧な防御が存在しない以上、攻撃されることを前提としたうえで、いかに迅速に回復し、事業を継続できるかというサイバー・レジリエンスが重要になります。

これまであまりバックアップを意識してこなかったという企業は、サイバー・レジリエンスの中核を担うバックアップ戦略を見直してみることをお勧めします。

東洋経済Tech×サイバーセキュリティでは、サイバー攻撃、セキュリティーの最新動向、事業継続を可能にするために必要な情報をお届けしています。

著者フォローすると、柳谷 智宣さんの最新記事をメールでお知らせします。