バックアップ戦略 (3-2-1 ルール)

3-2-1 ルールとは

3-2-1 ルールとは、データ保護の基本原則として広く採用されているバックアップ戦略です。米国の写真家 Peter Krogh が 2005 年に提唱したこの原則は、3 つのコピー、2 種類の異なるメディア、1 つのオフサイト保管という 3 つの要素で構成されます。

具体的には、(1) データのコピーを最低 3 つ保持する (本番データ + バックアップ 2 つ)、(2) 2 種類以上の異なる記録媒体に保存する (例: SSD と外付け HDD、NAS とクラウド)、(3) 少なくとも 1 つのコピーを物理的に離れた場所に保管する、という構成です。

この原則が有効な理由は確率論にあります。1 つのストレージが故障する確率を 1/100 とすると、独立した 2 つのストレージが同時に故障する確率は 1/10,000 になります。異なるメディアと異なる場所に分散することで、単一障害点を排除し、火災・盗難・自然災害といった物理的リスクにも対応できます。

ランサムウェア時代の 3-2-1-1-0 拡張ルール

ランサムウェアの脅威が深刻化する中、従来の 3-2-1 ルールだけでは不十分なケースが増えています。ランサムウェアはネットワーク接続されたバックアップ先にも暗号化攻撃を仕掛けるため、オンラインのバックアップが全滅するリスクがあります。

そこで提唱されたのが 3-2-1-1-0 ルールです。従来の 3-2-1 に加え、1 つのエアギャップ (ネットワークから物理的に切り離された) またはイミュータブル (書き換え不可能な) コピーを保持し、バックアップのリストアテストでエラー 0 を確認するという 2 つの要素が追加されます。

イミュータブルバックアップは、AWS S3 のオブジェクトロックや、クラウドストレージの WORM (Write Once Read Many) 機能で実現できます。一度書き込んだデータを一定期間削除・変更できないため、ランサムウェアに感染しても安全なコピーが残ります。

実践的なバックアップ構成例

個人ユーザーの場合、本番データ (PC の内蔵ストレージ) + 外付け HDD への定期バックアップ + クラウドストレージへの自動同期という構成が現実的です。外付け HDD はバックアップ時のみ接続し、普段はオフラインにしておくことでランサムウェア対策にもなります。

企業環境では、本番サーバー + オンプレミスの NAS (日次バックアップ) + クラウドへのレプリケーション (日次) + テープまたはイミュータブルストレージ (週次) という多層構成が推奨されます。

バックアップで最も見落とされがちなのがリストアテストです。バックアップが正常に取得できていても、復元できなければ意味がありません。最低でも四半期に 1 回はリストアテストを実施し、RTO (目標復旧時間) と RPO (目標復旧時点) が要件を満たすことを確認してください。

データ暗号化との組み合わせも重要です。バックアップデータが暗号化されていなければ、オフサイトに保管したメディアが盗難に遭った場合に情報漏洩につながります。

バックアップ戦略の落とし穴と対策

バックアップ運用で陥りがちな失敗パターンがあります。まず「同期」と「バックアップ」の混同です。クラウド同期サービス (Google Drive、Dropbox 等) はファイルの変更をリアルタイムに反映するため、誤って削除したファイルや、ランサムウェアで暗号化されたファイルも同期先に伝播します。同期はバックアップの代替にはなりません。

次に、バックアップの世代管理の不備です。最新のバックアップ 1 世代だけを保持していると、データ破損に気づくのが遅れた場合に正常なデータを復元できません。最低でも 7 日分の日次バックアップと 4 週分の週次バックアップを保持する世代管理が推奨されます。

インシデントレスポンス計画にバックアップからの復旧手順を組み込むことも不可欠です。誰が、どのバックアップから、どの手順で復旧するかを文書化し、定期的に訓練しておくことで、実際の障害時に迅速に対応できます。

クラウド時代の 3-2-1-1-0 ルール

ランサムウェアがネットワーク接続されたバックアップ先まで暗号化する攻撃が常態化した現在、従来の 3-2-1 ルールに 2 つの要素を追加した 3-2-1-1-0 ルールが業界標準になりつつあります。

「1」- イミュータブルバックアップ: 書き換え不可能 (イミュータブル) なバックアップを最低 1 つ保持します。AWS S3 のオブジェクトロック (コンプライアンスモード) や Azure Blob Storage の不変ストレージを使えば、管理者権限を持つ攻撃者でも保持期間中はデータを削除・変更できません。保持期間は RPO に基づいて設定し、最低 30 日間を推奨します。

「1」- エアギャップコピー: ネットワークから物理的に切り離された (エアギャップ) コピーを保持します。テープメディアへの書き出しや、バックアップ完了後にネットワークから切断する外付けストレージが該当します。クラウド環境では、別アカウント・別リージョンへのクロスアカウントレプリケーションで論理的なエアギャップを実現する方法もあります。

「0」- エラーゼロの検証: バックアップのリストアテストを定期的に実施し、復元エラーが 0 件であることを確認します。バックアップジョブの成功ログだけでは不十分です。実際にデータを復元し、ファイルの整合性チェック (チェックサム照合) まで行って初めて「エラー 0」と言えます。

ランサムウェア耐性を高めるには、バックアップ環境自体の認証情報を本番環境と完全に分離することも重要です。本番環境の Active Directory が侵害されても、バックアップシステムにアクセスできない設計にしてください。BCP の復旧戦略にイミュータブルバックアップからの復元手順を組み込み、四半期ごとに訓練を実施することが推奨されます。

よくある誤解

クラウドストレージに保存していれば 3-2-1 ルールを満たしている

クラウドストレージ 1 つだけでは「1 種類のメディアに 1 つのコピー」にすぎません。クラウドプロバイダーの障害やアカウント侵害のリスクもあるため、ローカルバックアップとの併用が必要です。

RAID を組んでいればバックアップは不要

RAID はディスク故障に対する冗長性を提供しますが、バックアップではありません。誤削除、ランサムウェア、ファイルシステムの破損、RAID コントローラーの故障には対応できません。RAID とバックアップは別の目的を持つ補完的な技術です。

バックアップ方式の比較 - フルバックアップと増分バックアップ

関連用語

関連記事