被害を少なく迅速なデータ復旧へ

ランサムウエアなどのサイバー攻撃による暗号化や記憶装置の故障、運用時の操作ミスによる消去など、さまざまな原因でデータの破損が発生する。失ったデータの復旧は困難であり、復旧には人手と時間を要する。しかし、バックアップを取得しておくことでこの被害を縮小することが可能である。

迅速にデータを復旧し業務継続できなければ、組織の信頼も失墜し、存続の問題につながりかねない大きなリスクとなる。そこで本稿では適切なバックアップ運用について、取得、保管、復旧の三つのフェーズに分けて解説する。

取得方法、日時、間隔を検討

バックアップの取得に当たっては、対象を選定し、取得方法や取得日時、間隔を検討する。バックアップの対象は業務データだけではない。システムの稼働に必要な設定ファイルや、プログラムも含め、バックアップ対象を選定する。

また、サーバーの稼働要件に合わせてオフライン、オンラインバックアップのどちらかを検討する。対象のデータごとに適切な取得日時、間隔を検討する。

例えば、業務データは週に１回フルバックアップ、その他の日に差分バックアップ（フルバックアップから変更・追加されたデータを複製）をする。プログラムファイルはシステム改修がない限り変更はないため、リリース時のみバックアップをする。設定ファイルは随時変更があるため週に１回取得するなどのように検討する。

保管場所と世代管理が重要

バックアップの取得に当たっては、保管場所、世代管理、保管期間を検討する。

バックアップは、ランサムウエア攻撃に備えて、ネットワーク上隔離された場所へ保管する。外部記憶装置に保管し、バックアップ取得時以外は物理的に接続を切ることが望ましい。災害対策も含めるのであれば、地理的に離れた場所で保管するとさらによい。

最新だけでなく、過去のバックアップも保管し、複数の時点に復旧できるようにしておくことが望ましい。データの破損からそれを認知するまでに時間がかかると最新のバックアップもすでに破損している恐れもあるためである。

また、バックアップにはいつ時点のどのデータが含まれているのか、ファイルの名称や保管している外部記憶装置を判別できるようにする。それらを扱う際の運用手順を定めることで誤った上書きや消去してしまうといった事故を防ぐ。バックアップの保管方法や世代管理と合わせて組織の方針を満たせる保管期間を決定する。

なお、データはコピーして三つ持ち、２種類のメディアでバックアップを保管し、バックアップの一つは違う場所で保存するという「３‐２‐１」ルールがある。ランサムウエアに対しては「３‐２‐１‐１‐０」ルールも提唱されているので参考にするとよい。

復旧計画は定期的に確認

バックアップからの復旧に当たっては、復旧計画を立て、正しく復旧できることを確認する。バックアップは取得するだけで終わりではなく、それを利用していかに早く復旧するかが重要である。そのために想定される障害とその被害をあらかじめ考え、それぞれに対して復旧する時点や復元手順を確立する。また、計画に基づいて正しく復旧できるか定期的に確認し、必要に応じて手順の見直しを行う。

◇◇◇

業務のＩＴ活用が進むほど、バックアップの重要性は増していく。今後の運用の参考にしてほしい。

（独立行政法人情報処理推進機構・江島将和）

「情報セキュリティ10大脅威２０２３」はこちら