ランサムウェアに感染しても、バックアップがあれば復旧できる。 しかし、そのバックアップがランサムウェアと一緒に暗号化されてしまったら? IPA「情報セキュリティ10大脅威 2026」でランサムウェアが 11年連続1位 にランクインする中、「バックアップを取っている」だけでは不十分だ。3-2-1ルール に基づくバックアップ戦略こそが、最後の防衛線になる。
3-2-1ルールとは
3-2-1ルールは、データバックアップの 世界標準 として広く採用されている原則だ。
| ルール | 意味 | 理由 |
|---|---|---|
| 3 つのコピー | 元データ + バックアップ2つ | 1つが壊れても2つ目がある |
| 2 種類の媒体 | 異なるストレージに保管 | 同じ障害で同時に失われない |
| 1 つはオフサイト | ネットワークから切り離した場所 | ランサムウェアが届かない |
なぜ「普通のバックアップ」では足りないのか
| バックアップ方式 | ランサムウェア耐性 | 問題点 |
|---|---|---|
| 同じサーバーにバックアップ | × | ランサムウェアがバックアップも暗号化 |
| NASにバックアップ | △ | ネットワーク経由で暗号化される可能性 |
| クラウドのみ | △ | 同期型だと暗号化ファイルが同期される |
| 3-2-1ルール | ◎ | オフサイトコピーはランサムウェアが到達不能 |
中小企業向け 3-2-1ルール実践パターン
パターンA:最小構成(月額1万円〜)
| コピー | 媒体 | 場所 | コスト目安 |
|---|---|---|---|
| ① 元データ | 社内サーバー/PC | オフィス | — |
| ② バックアップ1 | 外付けHDD/NAS | オフィス(別の物理機器) | HDD 1万〜3万円 |
| ③ バックアップ2 | クラウドストレージ | オフサイト(クラウド) | 月額1万円〜 |
パターンB:標準構成(月額3万〜8万円)
| コピー | 媒体 | 場所 | コスト目安 |
|---|---|---|---|
| ① 元データ | 社内サーバー | オフィス | — |
| ② バックアップ1 | NAS(RAID構成) | オフィス(サーバーと別ラック) | NAS 5万〜15万円 |
| ③ バックアップ2 | クラウドバックアップサービス | オフサイト | 月額3万〜8万円 |
パターンC:堅牢構成(月額10万円〜)
| コピー | 媒体 | 場所 | コスト目安 |
|---|---|---|---|
| ① 元データ | 社内サーバー | オフィス | — |
| ② バックアップ1 | バックアップ専用サーバー(イミュータブル) | オフィス | 20万〜50万円 |
| ③ バックアップ2 | クラウド + テープ/オフラインHDD | オフサイト(2箇所) | 月額10万円〜 |
構築の5ステップ
ステップ1:バックアップ対象を特定する
すべてのデータをバックアップする必要はない。「失ったら業務が止まるデータ」 を優先する。
| 優先度 | データ種別 | 例 |
|---|---|---|
| 最優先 | 業務データ | 会計データ、顧客DB、受発注データ |
| 高 | 設定・構成情報 | サーバー設定、ネットワーク構成 |
| 中 | ドキュメント | 契約書、設計図、マニュアル |
| 低 | 一時ファイル | ダウンロードファイル、キャッシュ |
ステップ2:バックアップのスケジュールを決める
| データの重要度 | バックアップ頻度 | 保持期間 |
|---|---|---|
| 最優先 | 毎日(差分) + 週1回(フル) | 30日以上 |
| 高 | 毎日(差分) | 14日以上 |
| 中 | 週1回 | 7日以上 |
ステップ3:オフサイトバックアップを設定する
3-2-1ルールの 最も重要なポイント がオフサイトバックアップだ。
| 方式 | メリット | デメリット |
|---|---|---|
| クラウドバックアップ | 自動化しやすい、災害対策にもなる | 月額費用、データ量で費用増 |
| オフラインHDD定期搬出 | ランサムウェア到達不能、低コスト | 手動作業、搬出頻度に依存 |
| テープバックアップ | 大容量、長期保存に向く | 復旧に時間がかかる |
ステップ4:復旧テストを実施する
バックアップは 「復旧できてはじめて意味がある」。
- 四半期に1回、バックアップからの復旧テストを実施
- 復旧にかかる時間(RTO)を計測・記録
- 復旧したデータの整合性を確認
ステップ5:バックアップの監視・アラートを設定する
バックアップジョブの失敗に気づかないまま数週間が経過——これは中小企業で頻繁に起きる問題だ。
- バックアップ 失敗時のメール/Slackアラート を設定
- 成功ログの定期確認 を運用ルールに組み込む
「バックアップ体制を見直したい」と思ったら
現在のバックアップ構成の診断から、3-2-1ルールに基づく設計・導入まで支援します。
※ 営業電話はしません | オンライン対応可 | 相談だけでもOK
おすすめのバックアップツール・サービス
| ツール/サービス | 種別 | 月額目安 | 特徴 |
|---|---|---|---|
| Veeam Backup | オンプレ+クラウド | 3万円〜 | イミュータブルバックアップ対応 |
| Acronis Cyber Protect | 統合型 | 500円/台〜 | バックアップ+EDR一体型 |
| AWS Backup | クラウド | 従量課金 | AWSユーザー向け、自動化容易 |
| Backblaze B2 | クラウドストレージ | $6/TB/月 | 低コスト、S3互換 |
| QNAP/Synology NAS | ローカルNAS | 初期5万〜15万円 | RAID+クラウド同期 |
補助金でバックアップ環境を整備する
「デジタル化・AI導入補助金2026」の セキュリティ対策推進枠 で、バックアップソリューションの導入費用が補助される。
| 項目 | 内容 |
|---|---|
| 補助率 | 1/2以内 |
| 補助金額 | 5万〜100万円 |
| 対象 | バックアップソフトウェア、クラウドサービス利用料 |
| 1次締切 | 2026年5月12日(火)17:00 |
よくある質問
Q. クラウドストレージ(Google Drive, OneDrive)にファイルを同期しているが、これは3-2-1ルールを満たすか? A. 同期型クラウドストレージだけでは不十分です。ランサムウェアがファイルを暗号化すると、暗号化されたファイルがクラウドにも同期されます。バージョン履歴機能がある場合は一部復旧可能 ですが、専用のバックアップサービスの方が確実です。
Q. バックアップの頻度はどのくらいが適切か? A. 業務データは毎日を推奨します。「昨日の状態に戻れれば業務を再開できるか?」が判断基準です。
Q. 外付けHDDに毎日バックアップしているが、十分か? A. 外付けHDDが常にPCに接続されている場合、ランサムウェアに暗号化されるリスクがあります。バックアップ後にHDDを取り外す、または接続時間を最小限にする 運用が必要です。
まとめ
| 項目 | ポイント |
|---|---|
| 3-2-1ルール | 3コピー、2種類の媒体、1つはオフサイト |
| 最小コスト | 月額1万円〜(クラウド+外付けHDD) |
| 最重要ポイント | オフサイトバックアップ(ランサムウェアが到達不能な場所) |
| 見落としがちな点 | 復旧テスト、バックアップ監視、保持期間(最低2週間) |
| 補助金 | セキュリティ対策推進枠で最大100万円 |
ランサムウェアに備えるバックアップ体制、一緒に構築しませんか?
現状診断から、3-2-1ルールに基づく設計、ツール選定、補助金申請まで、ワンストップで対応します。
※ まずは現状の診断から | オンライン完結OK
GXO実務追記: サイバーセキュリティで発注前に確認すべきこと
この記事のテーマは、単なるトレンド紹介ではなく、自社で最初に塞ぐべきリスク、外部診断の範囲、初動体制を決めるための検討材料です。検索で情報収集している段階でも、発注前に次の観点を整理しておくと、見積もりのブレ、手戻り、ベンダー依存を減らせます。
まず決めるべき3つの論点
| 論点 | 確認する内容 | 未整理のまま進めた場合のリスク |
|---|---|---|
| 目的 | 売上拡大、工数削減、リスク低減、顧客体験改善のどれを優先するか | 成果指標が曖昧になり、PoCや開発が終わっても投資判断できない |
| 範囲 | 対象部署、対象業務、対象データ、対象システムをどこまで含めるか | 見積もりが膨らむ、または重要な連携が後から漏れる |
| 体制 | 自社責任者、現場担当、ベンダー、保守運用者をどう置くか | 要件確認が遅れ、納期遅延や品質低下につながる |
費用・期間・体制の目安
| フェーズ | 期間目安 | 主な成果物 | GXOが見るポイント |
|---|---|---|---|
| 事前診断 | 1〜2週間 | 課題整理、現行確認、投資判断メモ | 目的と範囲が商談前に整理されているか |
| 要件定義 / 設計 | 3〜6週間 | 要件一覧、RFP、概算見積、ロードマップ | 見積比較できる粒度になっているか |
| PoC / MVP | 1〜3ヶ月 | 検証環境、効果測定、リスク評価 | 本番化判断に必要な数値が取れるか |
| 本番導入 | 3〜6ヶ月 | 本番環境、運用設計、教育、改善計画 | 導入後の運用責任と改善サイクルがあるか |
発注前チェックリスト
- [ ] 重要システムと個人情報の所在を棚卸ししたか
- [ ] VPN、管理画面、クラウド管理者の多要素認証を必須化したか
- [ ] バックアップの世代数、復旧時間、復旧訓練の実施日を確認したか
- [ ] 脆弱性診断の対象をWeb、API、クラウド、社内ネットワークに分けたか
- [ ] EDR/MDR/SOCの必要性を、監視できる人員と照らして判断したか
- [ ] インシデント時の連絡先、意思決定者、広報/法務/顧客対応を決めたか
参考にすべき一次情報・公的情報
上記の一次情報は、社内稟議やベンダー比較の根拠として使えます。一方で、公開情報だけでは自社の現行システム、業務フロー、データ状態、予算制約までは判断できません。記事で一般論を把握した後は、自社条件に落とした診断が必要です。
GXOに相談するタイミング
次のいずれかに当てはまる場合は、記事を読み進めるだけでなく、早めに相談した方が安全です。
- 見積もり依頼前に、要件やRFPの粒度を整えたい
- 既存ベンダーの提案が妥当か第三者視点で確認したい
- 補助金、AI、セキュリティ、レガシー刷新が絡み、判断軸が複雑になっている
- 社内稟議で費用対効果、リスク、ロードマップを説明する必要がある
- PoCや診断で終わらせず、本番導入と運用改善まで進めたい
バックアップ3-2-1ルール実践ガイド|ランサムウェアから会社を守る方法【2026年版】を自社条件で診断したい方へ
GXOが、現状整理、RFP/要件定義、費用対効果、ベンダー比較、導入ロードマップまで実務目線で確認します。記事の一般論を、自社の投資判断に使える形へ落とし込みます。
※ 初回相談では営業資料の説明よりも、現状・課題・判断材料の整理を優先します。