バックアップは、保存していることではなく、必要な順番で復元できることが重要である。 旧版にあった復旧率や効果の断定は、環境、攻撃範囲、保管方式、復旧手順で変わるため撤回する。
CISAはランサムウェア対策として、重要データのバックアップを維持し、定期的にテストすることを推奨している。バックアップ設計では、3-2-1の考え方に加え、攻撃者がバックアップまで削除できないようにする権限分離が重要である。
3-2-1で確認すること
横にスクロールして確認できます
| 観点 | 確認すること |
|---|---|
| 3コピー | 本番、ローカル、別保管など複数コピーがあるか |
| 2媒体 | 同じ障害で同時に消えない保管先か |
| 1つは別場所 | オフサイト、クラウド、イミュータブル保管か |
| 権限 | 本番管理者が全バックアップを消せないか |
| 復元 | 実際に戻せるか、所要時間を測ったか |
ランサムウェアでは、本番データだけでなく、接続されたバックアップや管理画面も狙われる。バックアップサーバーの認証、MFA、操作ログ、削除保護を確認する。
FREE CONSULTATION
この記事の内容について、専門家に相談できます
AI・DX・セキュリティに関するご質問やお見積もりなど、お気軽にお問い合わせください。
復旧計画で決めること
横にスクロールして確認できます
| 項目 | 決めること |
|---|---|
| 優先順位 | 基幹、会計、受発注、メール、ファイルの復旧順 |
| RTO/RPO | どの業務をどこまで戻すか |
| 復旧手順 | 誰が、どの環境へ、何から戻すか |
| 検証 | 復元後にデータ整合性とマルウェア有無を確認する |
| 連絡 | 経営、現場、顧客、取引先、専門家への連絡 |
復旧は、技術作業だけではない。どの時点のデータを採用するか、感染前かをどう判断するか、顧客に何を説明するかまで含む。
相談前に整理するポイント
横にスクロールして確認できます
| 相談テーマ | 初月に作るもの | 継続支援 |
|---|---|---|
| バックアップ診断 | 対象システム、保管先、権限表 | 月次復元テスト、改善 |
| ランサムウェア復旧 | 被害範囲、復旧優先順位、暫定手順 | 恒久対策、監視 |
| BCP連携 | RTO/RPO、連絡体制、代替業務 | 訓練、手順更新 |
| セキュリティ運用 | MFA、EDR、ログ、脆弱性対応 | 月額伴走 |
このテーマは、ハッキングされたサイト、業務停止、ファイル暗号化などの復旧系商談に直結する。GXOでは初動調査、暫定復旧、再発防止、月次監視へつなげる。
相談前に用意すると早い資料
- サーバー、SaaS、ファイル、DBの一覧
- バックアップ先、世代、保管期間、権限
- 復元テストの記録、失敗した履歴
- ランサムウェアや障害時の連絡体制
- 復旧を急ぐ業務と、停止許容時間
よくある失敗
横にスクロールして確認できます
| 失敗 | 防ぎ方 |
|---|---|
| バックアップ先が常時接続 | オフライン、別権限、イミュータブルを検討する |
| 復元テストをしていない | 小さなDBやフォルダから定期的に戻す |
| 管理者権限が同じ | 本番とバックアップの管理権限を分ける |
| 優先順位がない | 復旧する業務と順番を経営で決める |
| 感染後すぐ上書きする | 証拠保全と感染範囲確認を先に行う |
月次支援にできる内容
バックアップは一度設計して終わりではない。新しいSaaS、サーバー、ファイル共有、退職者アカウント、権限変更が発生するたびに対象がずれる。GXOでは、月次で対象一覧、失敗ジョブ、復元テスト、権限、ランサムウェア対策を確認し、復旧できる状態を維持する。
復元テストの最小単位
横にスクロールして確認できます
| 対象 | テスト内容 |
|---|---|
| ファイル共有 | 指定フォルダを別環境に戻し、権限を確認する |
| DB | テストDBへ戻し、アプリから読めるか確認する |
| SaaS | エクスポート、復元、管理者権限を確認する |
| 端末 | 代表端末を初期化し、業務復帰までの手順を見る |
| 手順書 | 担当者以外が読んでも復旧できるか確認する |
復元テストは本番停止を伴わない小さな単位から始められる。重要なのは、実際に戻した記録を残し、次回の改善点を明確にすることだ。
ハッキング後に確認すること
横にスクロールして確認できます
| 項目 | 理由 |
|---|---|
| 最終正常時点 | どの世代へ戻すべきか判断するため |
| 感染範囲 | 戻したデータが再感染しないようにするため |
| 管理者権限 | 攻撃者がバックアップを消せる状態を避けるため |
| 外部公開設定 | 復旧後に同じ侵入口を残さないため |
| 顧客説明 | 復旧見込みと影響範囲を説明するため |
復旧系の相談では、バックアップだけでなく、侵入口調査、権限見直し、脆弱性対応、監視強化をセットで扱う必要がある。
復旧後の再発防止も記録する。
バックアップ対象を業務から逆算する
サーバー単位の一覧だけでは、復旧順を決められません。受注、出荷、請求、給与、顧客対応など、停止すると売上・信用・法令対応へ影響する業務から必要なデータとシステムを紐付けます。
横にスクロールして確認できます
| 業務 | 必要なデータ・システム | 許容できる欠損 | 代替手段 |
|---|---|---|---|
| 受注・出荷 | 受注DB、在庫、配送連携 | 経営が決める時点まで | 紙・CSV・電話受付 |
| 請求・入金 | 会計、請求書、入金履歴 | 締め処理との関係で決定 | 前回データと手動照合 |
| 顧客対応 | CRM、メール、FAQ | 対応履歴の必要範囲 | 代表窓口と暫定台帳 |
| 社内業務 | ID、ファイル、端末設定 | 業務別に決定 | 代替端末、標準イメージ |
RTOとRPOはIT部門だけで決めず、復旧が遅れた場合の損失と、古いデータへ戻した場合の再入力・照合作業を業務責任者が確認します。
復元訓練の実施記録
訓練では「成功」とだけ記録せず、対象、世代、開始時刻、完了時刻、担当者、失敗、手動補正、データ整合性を残します。
- 本番から隔離した復元先を準備する
- 復元に使う世代を選び、選定理由を記録する
- ファイル、DB、認証、アプリを順に復元する
- 業務担当者が件数・金額・権限を確認する
- マルウェアや侵入口を再確認する
- 目標時間との差と次回改善を記録する
バックアップ管理者本人しか復元できない場合は、手順書と権限移管が不十分です。担当者不在を想定した訓練も行います。
経営者が月次で見る5指標
横にスクロールして確認できます
| 指標 | 見る理由 |
|---|---|
| バックアップ成功率 | 失敗ジョブの放置を把握する |
| 最終復元テスト日 | 「保存だけ」の状態を防ぐ |
| 復元所要時間 | 事業側のRTOと比較する |
| 保護対象外資産数 | 新規SaaSやサーバーの漏れを見る |
| 強い権限の保有者数 | 攻撃者が全コピーを消せる状態を防ぐ |
インシデント発生時に先にしないこと
- 感染範囲を確認せずバックアップを本番へ上書きする
- 証拠やログを削除して初期化する
- 同じ認証情報のまま復旧環境へ接続する
- 復旧見込みを確認せず顧客へ断定的に説明する
- バックアップがあることだけを理由に身代金対応を判断する
初動では事業継続と証拠保全が衝突する場合があります。経営、IT、法務・広報、外部専門家の判断経路を事前に決めてください。
システム別バックアップ設計票
各システムについて、次の項目を1行で記録します。保管先の製品名だけでは復旧判断に使えません。
- 業務名、システム名、業務責任者、技術責任者
- バックアップ対象、対象外、取得頻度、保持世代
- 保存場所、暗号化、削除保護、管理者、MFA
- 依存するID基盤、DNS、証明書、APIキー、ソースコード
- RTO、RPO、最終復元テスト日、実測復元時間
- 復元先、検証方法、手動代替、顧客・取引先への連絡条件
SaaSで見落としやすい対象
メール、チャット、CRM、クラウドストレージ、会計などは、サービス側の保全と自社が必要な時点へ戻す機能を区別します。保持期間を過ぎた削除、同期された暗号化ファイル、悪意ある管理者操作、設定や権限の消失をどこまで戻せるか確認します。エクスポートできても、関係性、権限、添付、監査ログを元どおりに戻せるとは限りません。
復旧環境で必要になるもの
データだけでなく、OS・アプリのイメージ、設定、ソース、ライセンス、秘密情報の安全な再発行手順、ネットワーク設定、DNS、証明書が必要です。バックアップ本体と同じ認証基盤が停止すると復元できない設計もあるため、緊急用アカウントの保管と利用監査を決めます。
取締役会・経営会議への報告テンプレート
報告は技術用語の一覧ではなく、停止業務、復旧見込み、顧客影響、判断事項にまとめます。
- 現在停止または制限している業務
- 確認済みの影響範囲と未確認範囲
- 利用可能なバックアップ世代と信頼性
- 復旧の優先順位、最短見込み、前提条件
- 証拠保全、外部専門家、関係機関への相談状況
- 顧客・取引先・従業員への説明判断
- 経営判断が必要な費用、停止、代替運用
GXOへ平時に相談する場合は設計票と復元訓練を整え、発生後は侵入口を残さない暫定復旧と恒久対策を分けます。復旧だけを急いで同じ権限・同じ脆弱性へ戻さないことが、再発防止の最低条件です。
委託先との責任分界
バックアップを外部へ委託していても、復旧する業務の優先順位とデータの正しさは自社が判断します。契約では、取得失敗の通知、監視時間、復元依頼の受付、作業開始条件、実費、保存期間、解約時の返却・削除を確認します。「バックアップ込み」という表現だけでは、復元テストや感染調査が含まれるとは限りません。年に一度は委託先と共同で復元訓練を行い、連絡先、権限、所要時間、手順書の差分を更新してください。
訓練後は予定と実測の差を改善バックログへ入れます。DNSや証明書がなく公開できない、MFA端末が使えない、DBは戻ったがアプリの整合性確認に時間がかかる、といった問題は保存ジョブの成功率では見つかりません。次回訓練日と責任者を決め、改善が終わるまで経営リスクとして追跡します。
訓練記録は監査のためだけでなく、次の投資判断に使います。復旧目標を満たせない原因が回線、世代数、権限、手順、担当者不足のどこにあるかを分け、事業停止への影響が大きい順に改善してください。
FAQ
クラウドサービスならバックアップは不要ですか
不要とは限りません。サービス提供者の可用性と、自社が誤削除・不正操作・保存期間超過からデータを戻せる範囲は別です。契約、エクスポート、復元機能を確認します。
3-2-1を満たせばランサムウェア対策は完成ですか
完成ではありません。オフライン性、暗号化、権限分離、MFA、監視、復元テスト、感染前データの判定まで必要です。
復元テストはどの頻度で行うべきですか
一律の回数ではなく、業務重要度、変更頻度、監査要件に合わせます。少なくとも重要システムの変更後と、定めた定期日には実施し、実測時間を残します。
バックアップを、復元テストとランサムウェア復旧まで見直したい方へ
GXOは、バックアップ診断、復元テスト、ランサムウェア復旧、BCP、セキュリティ運用伴走まで支援します。
公式情報・確認日
- CISA #StopRansomware Guide(確認日: 2026年7月12日): https://www.cisa.gov/stopransomware/ransomware-guide






