日本の企業がランサムウェアに狙われるケースが、ここ数年継続的に報告されていますが、専門企業による調査などによれば、いまだその水準は高い傾向なようです。

被害に遭ったという企業の公表などを見ていると、手持ちのデータやファイルが暗号化されてしまったのか、暗号化されてしまったものは復旧できたのか、といったことは、あまり書かれていないことが多いように感じます。それが書いてあるときは大抵、取得していたバックアップからの復旧に成功した場合、という印象です。顧客や取引先への報告の必要がないならば、対外的に公表することは最小限にしたいという考えなのだろうと推察されます。

どの企業でもデータのバックアップについては、一定の配慮と対策をしているようですが、それで安泰ではないのが実態かもしれません。ある調査では、ここ数年以内でランサムウェアの被害に遭った企業の 7 割は完全に復旧できなかった、バックアップデータまでがランサムウェアにより暗号化されたという企業は 5 割弱もいた、という結果もあるようです。

バックアップ対策は、当社でも継続的に考えていることですが、いまだに悩ましく、絶対の自信と高い利便性がある解は導き出せていません。どの対策にしても一長一短、という印象があります。

まず、多くの人が業務で利用する Windows には、バックアップ機能が標準で複数種類内蔵されています。追加料金なく利用ができ、使わない手はありません。特に端末を交換する用事があるときには、これらの機能はとても便利です。ただし、会社の BCP 対策という意味でのバックアップとしては、どの機能もどこか一癖ある印象が否めません。Windows だけに委ねる気には、個人的にはなれないと考えています。

近年推奨されているバックアップのベストプラクティスに、「３－２－１ルール」というものがあります。このルールでは、データは（コピー 2 つを含む）3 個、保管する記録メディアは 2 種類、会社の管轄外のオフサイトに 1 つを移して保管、というアクションを推奨しています。

このような保管のしかたにしておけば、データのいずれかは有事にもアクセス可能な状態として残っている可能性が高いということです。とても有効なルールだと思います。

ただしこのルールの中で、「オフサイトに保管」というのが案外面倒でハードルが高いところがあります。一方で、企業の事業継続を問われる有事において、おそらく最も頼りになると想定されるのが、オフサイトに保管したバックアップと思われます。ここで手を抜くことはできません。

例えば、バックアップ保管先の候補としてよく挙がり、利用が多いのが、外付けのストレージや、NAS と呼ばれるネットワーク越しに接続するストレージです。いずれでも、簡単な設定とバックアップソフトの利用で、ファイルだけでなくシステムを丸ごとバックアップすることが可能になります。大容量のストレージでも最近はかなり価格がこなれてきて、小さな企業でも購入しやすくなっています。会社で使っているすべてのパソコンやサーバーのバックアップも可能でしょう。

ただし最大の難点は、これらが「つながってしまう」ということです。ランサムウェアによる暗号化を回避するには、感染させられたパソコンやサーバーから「見えない」状態、つまりネットワークから切り離されたオフサイトにバックアップが存在する必要があります。外付けストレージや NAS ではこの問題に対応できないのです。

ネットワークでつながっている場所へのバックアップは容易に実施ができますし、ファイルが壊れた、パソコンが故障した、などの日常的に起こり得るリスクへの対応では、迅速に復旧対応できることから便利な選択肢です。整備しておきたいですが、これだけだと脆弱なのが現実です。

クラウドはどうでしょうか。クラウドのストレージは会社からは切り離されており、オフサイトの預け先として考えることができます。多くの事業者のサービスは機能も充実している傾向があり、利便性は高いです。暗号化保存や世代管理も可能ですし、モノによっては、一度書き込んだものは二度と更新できないようにして攻撃被害から守る設定ができるものもあります。

これは考え方の問題になると思います。クラウド事業者を信頼し、全面的に預けて問題ないと思うなら、クラウドはオフサイトの預け先にできるでしょう。一方で、会社のデータ「すべて」を他社に預けるというのはやはりリスクが高い、と考えることもできます。クラウド事業者の技術レベルがどれだけ高いとしても、人間が管理していることに変わりはありません。あり得ないミスも、恣意的な不正行為も、今後一切ないとは言い切れません。実際、昨年7月に発生したGoogle Cloudにおける人為ミスなど、そうした「事故」は、過去に大手クラウド事業者などで複数回発生しています。

そしてもちろん、クラウドにデータを預けると、継続的にコストを支払い続けることになります。バックアップデータが増えれば、その分コストも増える可能性があります。普段は保管しているだけのデータに支払う料金として見合うのか、という判断も出てくるでしょう。

オフサイトの保存先として他に考えられるものとしてテープドライブもありますが、過去も現在もあまり使いやすいものではありません。古い技術なようで案外有用ということで、実はいまだに生き残って現役で使われています。

小さな企業なら、大容量のUSBメモリか外付けSSDを使って定期的にバックアップを取得し、普段はシステムから切り離して保管する、という方法があります。この方法の難点は、自動にできない（そうすると意味がない）ので、例えば週1回など定期的に手動でUSBポートに挿してバックアップを取得することになってしまうところです。面倒はありますが、コストは最小限で実現でき、条件次第ではオフサイト保管の現実解かと思います。

現状では、上記のようにいろいろとある選択肢の中から、自社の環境や条件に合うものを複数組み合わせて整備する、ということになるでしょう。しかしそれでもなお、決定版にはなかなかなりません。どこかに弱さや手間が残りますし、最後は人間の運用にかかってくる側面もあります。ただ、この分野はまだ技術や利便性の面で進歩が見られ、自社にとって使い勝手がよいソフトや技術がこれから発見できる可能性も大いにあると思います。継続して情報を得ていきたいところです。