💡 ポイント(先に結論)
5名以下・月1万円以内ならAOSBOX BusinessまたはBackup1。10〜30名・ランサムウェア対策重視ならAcronis Cyber Protect Cloud。30〜50名・自社で運用設計まで踏み込めるならWasabi+VeeamまたはIIJクラウドバックアップが現実解です。理由は本文後半の「結局どれを選ぶべきか」セクションで詳述します。
なぜ今、中小企業ほどクラウドバックアップが必要なのか
「うちは小さな会社だから狙われない」——この感覚が、もっとも危険な思い込みです。攻撃者はセキュリティ予算の少ない組織を意図的に狙っており、被害分布は明らかに中小企業に偏っています。
ランサムウェア被害の6割が従業員300名以下に集中している現実
警察庁が公表している「令和5年におけるサイバー空間をめぐる脅威の情勢等について」によると、国内のランサムウェア被害報告のうち、中小企業(資本金または従業員数で中小企業基本法の定義に該当する企業)が占める割合は約6割に達しています。IPA(情報処理推進機構)が毎年公表している「情報セキュリティ10大脅威」でも、組織編の第1位はランサムウェア攻撃が連続して選出されており、攻撃の高度化と被害の長期化が指摘されています。
ここで重要なのは、被害企業の多くが「バックアップを取っていなかった」のではなく、「バックアップを取っていたが、そのバックアップ自体も暗号化された」ケースが多数を占めるという点です。社内ファイルサーバーと同じネットワーク上にバックアップ用NASを置いていれば、攻撃者は両方を同時に暗号化します。クラウドへのオフサイト保管が必須となる根拠はここにあります。
外付けHDDだけでは守れない3つの理由(盗難・経年劣化・暗号化攻撃)
「毎週末に外付けHDDへコピーしている」という運用は、20名以下の企業で今でも頻繁に見かけます。しかし、これは3つの致命的な弱点を抱えています。
- 盗難・火災・水害:HDDがオフィス内にある限り、物理的災害で本体もバックアップも同時に失います。東日本大震災以降、地理的に離れた保管場所の必要性は実務的な常識になりました。
- 経年劣化と無音の故障:HDDの平均故障率(AFR)は、Backblaze社が四半期ごとに公開しているレポートで概ね年1〜2%とされています。100台あれば毎年1〜2台が確実に死ぬ計算です。しかも壊れる瞬間まで気づきません。
- ランサムウェアの常時接続検知:USB常時接続のHDDは、ファイルサーバーが感染した瞬間に「ネットワークドライブの一部」として一緒に暗号化されます。「バックアップが取れていたはず」が幻想だった、と気づくのは復旧フェーズです。
「外付けHDDだけでは足りない」を中小企業の現場語で言い換えると
バックアップ業界には古くから語られる多重保管の考え方があり、近年はランサムウェア対策として「改変不能な保管領域」と「定期的な復旧訓練」を組み合わせる流派が増えています。ただし、教科書的な原則をそのまま中小企業に当てはめると、「結局、社内で何をどう運用すればいいのか」が分かりません。そこでTech Picks編集部では、SI事業者数社の中小企業向け提案書(NTT東日本・IIJ・SCSKの公開資料)を読み合わせたうえで、独自に「SMB向け5チェック」として現場語に翻訳しています。
- ① 業務PCとは別の場所に1セット:社内NASだけでなく、クラウド側にもう1セット置く。災害・盗難・ランサムウェアの三重リスクへの最小限の対処。
- ② 媒体は2種類以上に分ける:たとえば「社内SSD+クラウドオブジェクトストレージ」のように、同じ故障モードで一斉に死なない構成にする。
- ③ オフサイト保管はネットワーク経由で隔離:社内LANから直接書き換えられる場所だけに保管しない。クラウド側でアクセス権を分離する。
- ④ 一定期間は管理者でも消せない領域を持つ:イミュータブル(WORM)対応のストレージや、削除に多要素認証を必須化する設定で「消せないコピー」を1つ確保する。
- ⑤ 半年に1度は実際に戻してみる:戻せないバックアップは存在しないのと同じ。リストア訓練を年2回はカレンダー登録する。
この5項目のうち、外付けHDD単独の運用では③〜⑤を満たせません。逆に言えば、クラウドバックアップサービスを比較するときは「容量と料金」よりも先に、③〜⑤を満たす機能・運用支援が標準で付いてくるかを見るべきです。次章ではその観点を5つの判断軸に落とし込みます。
自社に合うサービスを見抜く5つの判断軸
「容量と料金」で比較してしまうと、いざ復旧が必要になった時に「ファイルが戻らない」「2週間前のバージョンが消えている」といった事態に陥ります。以下の5軸を順に当てはめることで、自社規模に合った最低限の要件を満たせます。
判断軸① 従業員規模別の容量設計(1名あたり何GB必要か)
編集部が複数のSI事業者の公開資料(NTT東日本「中小企業向けバックアップ設計ガイド」、IIJ「クラウドバックアップ事例集」等)から逆算したところ、業種にもよりますが、1名あたりの目安容量は以下が妥当です。
- 5名以下(士業・小売・個人事務所):合計100〜300GB(1名あたり20〜60GB)
- 10〜30名(IT・サービス業):合計500GB〜1.5TB(1名あたり50GB前後)
- 30〜50名(製造・建設・医療):合計2〜5TB(CADや画像データが増えるため1名あたり100GB超)
注意したいのは、メーカー公称の「無制限プラン」が実際には1ユーザーあたり数百GBで速度制限がかかる運用になっているケースです。契約前に「過去6か月で平均何GBまで使われているユーザーが多いか」を販売代理店に質問すると、実態が見えてきます。
判断軸② RPO/RTO——「何分前まで戻せるか」「何時間で復旧できるか」
用語が硬いので噛み砕きます。RPO(Recovery Point Objective)は「最悪、いつの時点まで戻れば許容できるか」。RTO(Recovery Time Objective)は「障害発生から何時間以内に業務再開したいか」です。
中小企業の現実的な許容値は、業種により次のとおり整理できます。
| 業種 | RPO目安 | RTO目安 |
|---|---|---|
| 士業・コンサル | 24時間 | 8〜24時間 |
| ECサイト・受発注業務 | 1〜4時間 | 2〜4時間 |
| 製造業(生産管理) | 4〜8時間 | 4時間以内 |
| 医療・介護 | 1時間以内 | 2時間以内 |
判断軸③ 暗号化方式とイミュータブルバックアップ対応
暗号化はもはや「対応している」だけでは不十分で、「鍵を誰が握っているか」が重要です。サーバー側暗号化(SSE)のみのサービスでは、提供事業者が鍵を保有するため、内部不正やアカウント乗っ取りに弱くなります。クライアント側暗号化(ゼロナレッジ)に対応するサービスを選ぶと、たとえクラウド事業者の管理画面が乗っ取られても、データそのものは読めません。
イミュータブルバックアップ(WORM対応)は、設定期間中はバックアップデータを管理者権限でも削除・改変できない仕組みです。AWS S3 Object Lock、Wasabi Immutable Storage、Veeam Hardened Repositoryなどが該当します。これがランサムウェア対策の最後の砦になります。
判断軸④ 世代管理(バージョニング)の保持期間
ランサムウェアの「平均感染検知遅延」は、IBMの「Cost of a Data Breach Report」によると2023年時点で約204日(侵入から発見まで)とされています。仮にバックアップの保持期間が30日しかなければ、感染を検知した時点で「健全なバックアップが1つも残っていない」状態が当たり前に起こります。
SMBに必要な保持期間の現実解は最低90日、可能なら365日です。料金が上がるため悩ましいところですが、後述の比較表では各サービスの標準保持期間と延長コストを明示します。
判断軸⑤ 日本語サポートと国内データセンターの有無
情シス兼任担当者がトラブル時に頼れるか、は実務の生命線です。海外SaaSはチャットサポートが英語のみ、もしくは時差で半日待つケースが普通です。一方、国産サービスや国内代理店経由の海外サービスは、電話やメールで日本語対応が受けられます。
また、医療・士業・自治体案件では、データの国内保管(国内データセンターでの保管)を顧客から要求されるケースが増えています。グローバルクラウドでも東京・大阪リージョンを選択できるサービスは多いものの、契約書面で「国内保管を保証」と明記される国産サービスのほうが説明コストは低くなります。
⚠ 注意
「日本語対応」と謳っていても、管理画面のUIが日本語というだけで、ヘルプドキュメントや障害通知は英語のみ、というサービスが実は少なくありません。検討段階で「最新の障害通知メールを見せてください」と販売代理店に依頼すると、実態がすぐ分かります。
中小企業向けクラウドバックアップ7サービス徹底比較表
ここから具体的なサービス比較に入ります。本記事では、編集部が中小企業の予算規模(月額1,000円〜30,000円帯)に該当する7サービスを選定しました。価格は2026年4月時点の公式サイト記載情報を参照しています(為替・キャンペーンで変動するため、契約前に必ず公式サイトで最新確認をお願いします)。
月額料金・容量・暗号化・世代管理の一覧表
| サービス | 月額目安 | 暗号化 | 世代管理 | イミュータブル | 日本語サポート | 無料トライアル |
|---|---|---|---|---|---|---|
| Acronis Cyber Protect Cloud | 3,000円〜/台 | AES-256+クライアント側 | 無制限(設定次第) | ○ | 代理店経由で電話可 | 30日 |
| AOSBOX Business | 550円〜/台 | AES-256(クライアント側可) | 最大30世代 | △(プラン依存) | 日本語電話・メール | 30日 |
| Backup1(イッツコム) | 1,650円〜/100GB | AES-256 | 30日標準 | × | 国内電話サポート | 30日 |
| IIJクラウドバックアップ | 11,000円〜/月 | AES-256+鍵管理選択可 | 最大365日 | ○ | 専任SE付帯(プラン依存) | 要相談 |
| Wasabi+Veeam | 約900円/TB+Veeamライセンス | SSE+クライアント側併用可 | 設定次第(任意) | ○(Object Lock) | 国内パートナー経由 | 30日 |
| Arcserve UDP Cloud Direct | 5,000円〜/月 | AES-256 | 無制限(設定次第) | ○ | 国内サポート窓口あり | 30日 |
| Microsoft 365 Backup(Veeam連携) | 約300円〜/ユーザー | AES-256 | 無制限(設定次第) | ○(Veeam側) | 国内代理店経由 | 30日 |
編集部独自の比較軸:1TB保管時の年間総コスト試算
月額表示だけでは見えない「年間で実際にいくら払うのか」を、1TB保管・5名利用を前提に試算しました(公式サイト記載の参考料金から編集部が概算したもの。実際の見積りは販売代理店に依頼してください)。
| サービス | 年間総額(概算) | 追加コストの注意点 |
|---|---|---|
| AOSBOX Business | 約4万円 | 最低契約期間1年・初期費用あり |
| Backup1 | 約20万円 | 100GB単位の従量課金。容量増で跳ねる |
| Acronis Cyber Protect Cloud | 約18万円 | エンドポイント数で課金。台数増で増額 |
| Wasabi+Veeam | 約14万円(Veeamライセンス込み) | 構築工数と運用人件費は別途 |
| IIJクラウドバックアップ | 約14万円〜 | SE支援込みプランは別途見積り |
金額だけ見るとAOSBOX Businessが圧倒的に安いのですが、その代わり世代管理が最大30世代、イミュータブル対応はプラン依存です。「機能を絞って安く済ませる」か「機能を備えて運用負荷を下げる」かのトレードオフが明確に見えてきます。
主要7サービスの強み・弱みを利用シーン別に解説
Acronis Cyber Protect Cloud:10〜30名・ランサムウェア対策最優先の決定打
公式サイトによると、Acronis Cyber Protect Cloudはバックアップ機能とアンチランサムウェア(Acronis Active Protection)が同一エージェントで統合されており、エンドポイントの保護とリストアを一元管理できます。10〜30名規模で「IT担当が1名兼任」という企業に特に向きます。
導入の流れは、公式ドキュメントによると「管理コンソールにログイン → エージェント配布用URLを発行 → 各PCにインストール → 保護計画(スケジュール・保持期間)を割り当て」の4ステップで、半日〜1日で全社展開が可能です。
AOSBOX Business:5名以下・月1万円以内で完結する最安帯
AOSBOX BusinessはAOSデータ株式会社が提供する国産クラウドバックアップで、公式サイトによると最小プランは1台あたり550円(税抜・公式サイト記載)から契約できます。5名のオフィスで全PCを保護しても、月額3,000円弱に収まる計算です。
強みは「ファイル選択型バックアップ」と「イメージバックアップ」を1つの管理画面で切り替えできること。書類中心の事務職PCはファイル単位で、生産管理サーバーはイメージ単位で、と業務に合わせて使い分けられます。
Backup1:国産・電話サポート重視の士業・医療機関向け
イッツコムが提供するBackup1は、契約から運用までほぼ電話で完結できる珍しいタイプのサービスです。公式サイトによると、100GBから契約可能で、月額1,650円(公式サイト記載・税込)から始められます。
士業や医療機関のように「クラウドという言葉に抵抗がある経営層を説得しなければならない現場」では、電話で日本人オペレーターと話せる安心感が決定打になります。一方、機能面ではイミュータブル対応がなく、世代管理も標準30日のため、ランサムウェア対策を重視する企業には別途検討が必要です。
IIJクラウドバックアップ:50名規模・SE支援込みで「運用設計」ごと外注したい場合
IIJ(インターネットイニシアティブ)のクラウドバックアップは、料金にIIJ側エンジニアの設計・初期構築支援が含まれるプランがあります。公式サイトによると、月額11,000円〜のスタンダードプランから、要件定義込みのカスタムプランまでラインアップがあります。
「自社にバックアップ運用の経験者がいない」「ISMS/プライバシーマーク取得を見越して、運用記録の証跡を残したい」企業に向きます。国内データセンター保管・国内法準拠が契約書に明記される点も、自治体・医療系の入札案件では強みになります。
Wasabi+Veeam:30〜50名・自社で運用設計まで踏み込めるエンジニア在籍企業向け
Wasabi Hot Cloud Storageは、公式サイトによると月額約6.99ドル/TB(公式サイト記載・税別)と、AWS S3標準ストレージ比でおよそ1/5の料金で利用できるオブジェクトストレージです。Veeam Backup & ReplicationのSObR(Scale-out Backup Repository)と組み合わせれば、社内NASをローカルキャッシュにしつつクラウドへ階層化する構成が組めます。
ただし、初期設計とエージェント配布、リストア訓練までを内製する必要があり、エンジニア人件費を込みで考えるとSMBにとっては「月額が安いだけでは選べない」サービスです。逆に、社内に1名でもVeeamを触ったことがある担当者がいるなら、年間総コストを最も圧縮できます。
Arcserve UDP Cloud Direct:仮想・物理混在環境のオンプレ移行期向け
Arcserve UDPは長年エンタープライズで使われてきたバックアップ製品の中小企業版で、Cloud DirectはSaaS型として提供されます。物理サーバーと仮想マシン(Hyper-V、VMware)を1つのライセンスでカバーできるのが強みです。
Microsoft 365 Backup(Veeam連携):SaaSデータの欠落リスクを埋める
Microsoft 365自体はクラウド上で稼働しており、Microsoftはインフラ可用性は保証していますが、ユーザー操作による削除・上書き・退職者アカウントの整理ミスは保証範囲外です。Veeam Backup for Microsoft 365などのサードパーティサービスを組み合わせて、メール・OneDrive・SharePointを別管理下に置く構成が、近年急速に標準化しています。
こんな会社には向かない——逆評価セクション
⚠ 注意:本記事の推薦が当てはまらないケース
下記のいずれかに該当する企業は、汎用クラウドバックアップではなく、より専門的なソリューションを検討すべきです。
1. 動画編集・3D CADで日次100GB以上のデータが増える制作会社
1日あたり100GB増加が常態化している企業は、汎用クラウドバックアップでは初回フルバックアップに数週間かかり、その間ランサムウェアにさらされ続けます。Backblaze B2やBackup Fabric(Backblaze+Wasabi+Veeam併用)などの専用構成、あるいはLTOテープと組み合わせたハイブリッド運用が現実解です。
2. オンプレADサーバー・基幹DBがVMware ESXi上に集中している企業
ファイルバックアップ型のサービス(AOSBOX、Backup1等)ではアプリケーション整合性が保証されません。Veeam・Acronis・Arcserveなど、ハイパーバイザー単位のスナップショットに対応した製品を選んでください。
3. 月次処理件数が1,000件を超え、Backup1の従量課金が跳ね上がる企業
具体例として、月次1.5TBのデータが新規発生する小売チェーン(10店舗・年商10億円規模)を試算すると、Backup1の100GB単位課金では年間40万円超に達します。同じデータ量をWasabi+Veeam構成に置き換えれば、ストレージ実費は年8万円台に圧縮可能です。Veeamライセンス(年20万円前後)と移行工数を加味しても、2年目以降は年間コストで30%以上の削減になり、移行工数は6か月程度で回収できる計算です。「とりあえずBackup1で始めて、500GBを超えた時点で見直す」というロードマップが、現実的な落としどころです。
結局どれを選ぶべきか——規模・業種別の最終推薦
✅ おすすめ:5名以下・月1万円以内 → AOSBOX Business
最小プラン550円/台から始められ、5名全員のPCを保護しても月3,000円弱。国産・日本語電話サポートで「初めてのクラウドバックアップ」に最適。世代管理30世代は士業・小売の事務職データには十分。
✅ おすすめ:10〜30名・ランサムウェア対策最優先 → Acronis Cyber Protect Cloud
バックアップ+アンチランサムウェア+エンドポイント管理が1エージェントで完結。情シス兼任担当の負荷を最小化できる唯一の選択肢。導入も半日〜1日で完了。
✅ おすすめ:30〜50名・社内にエンジニアがいる → Wasabi+Veeam
月900円/TBの圧倒的コスト効率+Object Lockによるイミュータブル対応。Veeam経験者が1名でも在籍していれば、3年TCOで他サービスの半額以下になる。
✅ おすすめ:30〜50名・運用も外注したい → IIJクラウドバックアップ
国内DC保管・国内法準拠が契約書に明記され、IIJエンジニアの設計支援が料金に含まれる。自治体・医療系入札を意識する企業の「説明コスト」を最小化できる。
導入前に必ず確認したい3つの実務チェックポイント
① 復旧テスト(リストアテスト)の運用が含まれているか
バックアップは「取れていること」ではなく「戻せること」が価値です。半年に1度、本番と同等の環境にリストアして業務継続を検証する運用を、契約に組み込めるか確認してください。Acronis、Arcserve、Veeamは管理画面上でリストアテスト機能を備えています。
② 退職者・組織変更時のライセンス整理フロー
クラウドバックアップは多くがユーザー数または台数課金です。退職者PCのアンインストール忘れは、無駄な課金と情報漏洩リスクの両方を生みます。月次でライセンス棚卸しをする運用ルールを、最初から決めておきましょう。
③ 解約時のデータエクスポート手順とコスト
意外と盲点になるのが「乗り換え時に過去データを取り出せるか」です。サービスによっては解約時にHDDで物理納品(数万円〜)が必要だったり、APIで取り出せず手作業でしかダウンロードできなかったりします。契約前に解約条項を必ず確認してください。
まとめ:中小企業のバックアップは「機能の豊富さ」より「運用が回ること」
クラウドバックアップサービスは、機能比較だけで決めると失敗します。「自社の情シス兼任担当が、半年後も操作できるか」「リストア訓練を年2回実施できるか」「退職者対応が運用ルールに組み込めるか」という運用観点こそが、最後の決め手になります。
本記事で紹介した7サービスは、いずれも公式サイト・公式ドキュメント・国内代理店の公開情報をもとに編集部が整理した内容です。最終的な契約前には必ず無料トライアルを実施し、自社のネットワーク環境・運用体制で「想定通り動くか」を確認してから本契約に進んでください。
💡 ポイント(最終おさらい)
5名以下:AOSBOX Business/10〜30名:Acronis Cyber Protect Cloud/30〜50名(エンジニア在籍):Wasabi+Veeam/30〜50名(運用も外注):IIJクラウドバックアップ。迷ったら無料トライアル30日を活用し、リストアテストまで実施したうえで判断しましょう。
IT・SaaS専門の比較メディア。中小企業の導入担当者向けに独自調査・中立的な比較情報を提供