NEW 最新比較ランキング | 運営者情報 | プライバシーポリシー
2026.05.12
☁️ SaaS

ランサムウェア対策バックアップ完全ガイド|3-2-1-1-0ルールとイミュータブル構築手順

by
※本記事にはアフィリエイト広告が含まれています。

💡 ポイント

本記事の核心は「3-2-1ルール」ではなく「3-2-1-1-0ルール」です。最後の「1」がオフライン(エアギャップ)バックアップ、「0」が復旧テストの検証エラーゼロを意味します。この2要素が抜けているバックアップ運用は、ランサムウェアに対して実質的に無防備です。

この記事で達成できること:ランサムウェアに「身代金を払わず復旧できる」バックアップ体制

なぜ通常のバックアップではランサムウェアに負けるのか(暗号化が共有フォルダ越しに伝染する仕組み)

結論から言うと、「PCに常時マウントされているNASやUSB HDD」へのバックアップは、ランサムウェアに対してほぼ無力です。理由は単純で、ランサムウェアは感染した端末からアクセス可能なドライブレターやネットワーク共有を片っ端から暗号化していくため、バックアップ先も同時に暗号化されるからです。

典型的な被害シナリオはこうです。経理担当者が請求書を装った添付ファイルを開く → マルウェアが社内ネットワーク内を横展開 → ファイルサーバーの共有フォルダを暗号化 → 同時にバックアップ用NAS(Z:ドライブとしてマウント中)も暗号化 → 月曜朝に出社して気づいたときには、本番データもバックアップも全滅。これがいわゆる「3-2-1ルールの落とし穴」で、3コピー・2メディア・1オフサイトを満たしていても、すべてオンラインで繋がっていれば一網打尽になります。

脅威の傾向については、IPAが毎年発表している「情報セキュリティ10大脅威」を時系列で追うと参考になります。同レポートでは「ランサム攻撃による被害」が組織カテゴリで連年上位に位置づけられており、2025年版でも引き続き組織の脅威の筆頭として整理されています(IPA「情報セキュリティ10大脅威 2025」公式PDFより、編集部要約)。また警察庁が四半期ごとに公開している「サイバー空間をめぐる脅威の情勢等」では、企業・団体等におけるランサムウェア被害報告のうち、製造業や卸売・小売など中小規模の事業者からの相談が継続して多数を占めることが触れられています(警察庁公開資料、2024年通期版より編集部要約)。年度・出典の特定については、各PDFが半年〜1年単位で更新されるため、本記事に紹介した割合や順位は最新版で必ず原典を確認してください。

この種の統計を引くたびに思うのは、「規模が小さいから狙われない」という前提は、もう実務的には捨てた方が安全だということです。中小規模の事業者の場合、暗号化を解除する身代金そのものよりも、業務停止に伴う売上機会損失と、取引先への謝罪・再発防止策の策定に取られる工数のほうが、実は痛い。5人の会社で社長と総務担当の2人が3週間まるごとインシデント対応に張り付くと、それだけで人件費換算で100万円規模の出血になります。

本記事の到達ゴール:RPO24時間・RTO4時間以内で復旧できる体制

本記事を読了して手順通り実装すると、以下の状態に到達できます。

  • RPO(目標復旧時点)24時間以内:感染しても、最悪でも前日分のデータから復旧できる
  • RTO(目標復旧時間)4時間以内:感染検知から業務再開まで半日以内
  • 身代金支払いゼロ:オフラインコピーが必ず1本以上残っている状態
  • 復旧テスト済み:「バックアップを取っていたが実は壊れていた」事態を防ぐ

規模別に到達できるレベルを整理すると以下の通りです。

企業規模 月額予算目安 推奨RPO 推奨RTO 対応セクション
5名以下 1万円以内 24時間 8時間 最小構成(Step③)
10〜30名 3万円前後 12時間 4時間 NAS構成(Step②)
30〜50名 10万円前後 4時間 2時間 Server構成(Step①)

想定読者と前提スキル(ITリテラシーは中級以下でOK)

本記事は以下の3パターンの担当者を想定しています。「自分はどこから読めばいいか」のナビゲーションも併せて示します。

  • パターンA:社員5名以下の会社で情シス兼務の経営者・総務担当 → 「準備物チェックリスト」→「Step③クラウド最小構成」→「復旧テスト」の順で読む
  • パターンB:社員10〜50名でNASを運用中の情シス担当 → 「3-2-1-1-0ルール」→「Step②NAS構成」→「復旧テスト」の順で読む
  • パターンC:Windows Serverを運用中、本格的なイミュータブル運用を構築したい担当 → 「イミュータブルバックアップとは」→「Step①Windows Server構成」→「復旧テスト」の順で読む

必要な前提スキルは「Windowsの管理者権限でソフトをインストールできる」「設定画面のチェックボックスを操作できる」レベルで十分です。コマンドライン操作が必要な箇所は最小限に絞り、PowerShellコマンドは全文をそのままコピペできる形で掲載します。

前提知識:3-2-1-1-0ルールとイミュータブルバックアップの基本

従来の3-2-1ルールが抱える落とし穴(接続中バックアップは暗号化される)

従来から推奨されてきた「3-2-1ルール」は以下の通りです。

  • 3:データを3コピー(本番+バックアップ2本)
  • 2:2種類の異なるメディアに保存
  • 1:1コピーはオフサイト(遠隔地)に保管

これだけでも自然災害や機器故障には対応できます。しかしランサムウェアは「ネットワーク経由で到達できる全データを暗号化する」ため、3コピー全てがオンラインで繋がっていると一網打尽になります。これを補完するのが3-2-1-1-0ルールで、後ろに2要素が追加されています。

  • 後半の1:1コピーはオフライン(エアギャップ)またはイミュータブル(書き換え不可)状態で保管
  • 0:復旧テストで検証エラーがゼロ(バックアップが壊れていないことを定期確認)

「3-2-1-1-0」のうち最後の「1」と「0」を満たしていないバックアップ運用は、感染時にバックアップごと暗号化される、もしくはバックアップから復旧しようとしたら壊れていた、というシナリオで失敗します。中小企業のバックアップ事故の大半は、この2点の不備が原因です。

イミュータブルバックアップを5人の会社のシーンで理解する

「イミュータブル」という単語をベンダー公式の定義(「変更不可・指定期間削除できない」式の説明)で覚えても、SMBの現場では使い物になりません。ここでは具体的なシーンで言い換えます。

たとえば、5人の士業事務所で代表+事務スタッフ2人+業務委託メンバー2人が共有フォルダを使っているとします。ある朝、業務委託メンバーのノートPCがランサムウェアに感染し、共有フォルダの全PDFが「.locked」拡張子に変わってしまった。普通のクラウドストレージ(DropboxやOneDrive個人版)の場合、バージョン履歴をたどれば元に戻せる可能性はありますが、攻撃者が「全ファイルを上書き保存→さらに古い世代まで全削除」を意図的に行うタイプだと、保存先そのものを汚染されます。

イミュータブル設定をかけたバケットというのは、ざっくり言えば「そのPCの管理者権限を奪った犯人が”このファイル消せ”とAPIで叫んでも、設定した保持日数が経過するまで、サーバー側がその命令を物理的に受け付けない」状態です。AWS管理コンソールで言うところの「Object Lock」、Wasabiでは「Compliance Mode」、Backblaze B2では「Object Lock」と呼ばれている機能がそれにあたります。重要なのは、誤って自分が消そうとしても消せないこと——つまり犯人だけでなく、社長自身もこの期間は触れません。「絶対に消えないからこそ、絶対に守られる」と理解しておくと、運用設計のときに迷いません。

ここでSMB目線で重要なのは「3社のうちどれを選ぶと月額がいくら違うか」「日本語の管理画面が用意されているか」です。実額で比較すると、500GBを1年保管した場合、AWS S3(東京リージョン・標準ストレージ)が概算で月1,500円前後(約0.025USD/GB×500GB+Object Lock関連APIコール料)、Wasabi(東京)が一律6.99USD/TB換算で約500円前後、Backblaze B2が6USD/TB換算で約430円前後となります(各社公式料金ページ・2026年4月時点)。Object Lockを使うと送信料・APIコール料が地味に効いてくるAWSと比べて、Wasabi・Backblazeは「保存量だけで料金が決まる」分、SMBでは月額が読みやすくなります。

設定の流れも各社で微妙に異なります。SMB案件で実際に設定画面を触り比べた手触りで言うと、Wasabiの管理コンソールが最もシンプルで「新規バケット作成画面の途中にある『Object Lock』のトグルをONにし、デフォルトの保持日数を入れて作成ボタンを押す」だけで完結します。AWSは同等の操作にIAMポリシー設計とバージョニング有効化の理解が必須で、はじめての担当者だと半日仕事です。Backblazeはその中間で、画面はやや英語寄りですが項目数が少なく、IT担当者なら30分以内で初期設定が終わる印象です。

注意したいのが、AWS S3もWasabiもBackblaze B2も、Object Lockを後から「既存のバケットに対して」有効化することは公式仕様上できません(後付け申請が必要、もしくは新規バケットを作り直してデータをコピーする必要があります)。つまり「とりあえず普通のバケットを作って、後でランサムウェア対策を強化しよう」という運用は通用せず、最初の設計段階でロック有無を決めておく必要があるということです。SMBで起こりがちな失敗が、無料試用期間中に普通のバケットで動作確認してしまい、本番運用前に作り直し+データ移行に丸1日取られるパターンです。試用の段階から「ロックON」のバケットで触り始めるのが結果的に最短距離になります。

⚠ 注意

イミュータブル設定は「保持期間内は本当に削除できない」ため、誤って大量のデータを保存すると保持期間が終わるまで料金が発生し続けます。最初は7日〜14日の短い保持期間でテストし、運用が安定してから30日〜90日に延長するのが安全です。検証段階で1TB分を90日ロックすると、Wasabi・Backblazeでも約1,500円分が「絶対に減らせない」固定費として乗ってきます。

RPO・RTOの決め方:5名の会社と30名の会社の現実的な数字

RPO(Recovery Point Objective)は「どこまで戻れるか」、RTO(Recovery Time Objective)は「どれだけ早く復旧できるか」を示す指標です。理想は「RPO=0、RTO=0」ですが、実装コストが跳ね上がるため現実的な落としどころが必要です。

5名の会社の場合、業務時間中に1日分のデータ(請求書・見積書・メール)が失われても、再作成や記憶からの復元で1日あれば取り戻せます。よってRPO24時間・RTO8時間が現実的なラインです。一方30名規模で受託開発をしている会社なら、1日分のソースコードや設計データが失われると数百万円の損失になりかねないため、RPO4時間・RTO2時間まで詰める価値があります。

独自比較軸:3社のクラウドストレージを「SMBが本当に使う条件」で比べる

多くの比較記事では「容量単価」しか並べませんが、SMBが実運用で詰まるのは別の場所です。以下の表は、容量単価ではなく「日本語サポート時間」「管理画面の日本語化」「最低契約期間」「データ取り出し料金」という、SMBが見落としやすい4軸で並べたものです(各社公式サイトの2026年4月時点の公開情報を基に編集部整理)。

サービス 日本語サポート 管理画面 取り出し料金 最低契約
Wasabi 国内パートナー経由(平日日中) 日本語切替可 無料(保存量=請求量) 90日(無料試用は30日)
AWS S3 有償サポート契約必要 日本語化済 従量課金(GB単価別途) なし(従量制)
Backblaze B2 英語のみ(メール返信は24時間以内が目安) 英語UI 保存量の3倍/月まで無料 なし(従量制)

この比較表だけ見るとWasabiが万能のように見えますが、SMBが選ぶときの判断は「自社にトラブル時に英語でやり取りできる担当者がいるか」「データ転送量がどれくらい発生するか」で割れます。たとえば次のような分岐になります。

  • 5人士業事務所・社内に英語対応者なし・予算1万円以内:迷わずWasabi。国内代理店経由なら日本語で見積〜契約〜障害対応まで一貫します。容量1TBで月額1,000円程度に収まります
  • 10〜30人の制作会社・大容量素材を頻繁にダウンロードしたい:Backblaze B2。「保存量の3倍/月まで取り出し無料」というルールが効いてくるため、月に2〜3回まるごと取り出すワークフローでも追加課金が発生しにくい
  • すでにAWS上で他システムを動かしている30〜50名のIT企業:AWS S3。IAMで権限分離ができ、既存システムとの統合が容易。日本語サポートは有償ですが、月数万円のビジネスサポートで電話対応が付くため、自社にIT担当が1人いれば運用回ります

3つの実装ステップ:規模別に選ぶランサムウェア耐性のあるバックアップ構成

Step①(30〜50名向け):Windows Server+Wasabi Object Lock構成

Windows Serverを社内に置いている30〜50名規模の会社向けの構成です。月額目安は10万円前後で、内訳はバックアップソフトのライセンス(Veeam Backup & Replication Community Edition=無料、または有償版で月額1〜2万円)、クラウドストレージ代(Wasabi 2TB×月額1,400円程度)、回線増強分です。

  1. Wasabi管理画面で「Object Lock有効」のバケットを新規作成し、デフォルト保持期間を30日に設定
  2. Wasabi管理画面でアクセスキーを発行し、メモ帳に控えておく(再表示不可のため)
  3. Windows Serverに無料版Veeamをインストール、リポジトリ追加でS3互換ストレージを選択しWasabiのエンドポイントとアクセスキーを入力
  4. バックアップジョブを毎日深夜2時起動で作成、保存先を上記リポジトリに指定
  5. 「Immutable Backup」のチェックを入れ、保持日数を30日に設定

この構成のポイントは、Veeamが書き込んだバックアップファイルがWasabi側でObject Lock対象となり、Veeamの管理者権限を盗まれてもクラウド側で削除を物理的に拒否する点です。Veeam公式ドキュメントによると、有償版(Backup & Replication v12以降)ではImmutable Backup機能が標準対応しており、リポジトリ追加画面のチェックボックス1つで有効化できます。

Step②(10〜30名向け):SynologyNAS+Hyper Backup+Wasabi構成

すでにSynologyのNASを使っている10〜30名規模の会社なら、追加投資はクラウド代だけで済みます。月額目安は3,000〜5,000円程度(容量1TB前提)。

  1. Wasabi管理画面で「Object Lock有効」のバケットを作成(前項と同手順)
  2. SynologyNASの管理画面(DSM)からパッケージセンターを開き「Hyper Backup」をインストール
  3. Hyper Backupで「データバックアップタスク作成」→ バックアップ先に「S3 Storage」を選択
  4. S3サーバー欄に「s3.ap-northeast-1.wasabisys.com」、アクセスキー・シークレットキーを入力
  5. バックアップ対象フォルダを選び、スケジュールを「毎日深夜3時」に設定、世代管理を「過去30世代保存」に設定

Synology公式ドキュメント「Hyper Backupヘルプ」には、S3互換ストレージへの接続手順が画面キャプチャ付きで掲載されています。実機で操作した感覚では、上記5ステップで初回設定は20〜30分、初回フルバックアップは回線速度と容量次第ですが、500GBで一晩程度を見ておけば十分です。

Step③(5名以下向け):BackblazeパーソナルバックアップまたはWasabi+Duplicati構成

5名以下で予算月1万円以内なら、PCごとに直接クラウドへバックアップする構成が現実的です。月額目安はPC3台で2,000〜3,000円。

  1. 各PCに無料のオープンソースバックアップソフト「Duplicati」をインストール
  2. Wasabi(または好みのS3互換)でObject Lockバケットを作成
  3. Duplicatiの「新規バックアップ追加」でS3互換ストレージを選び、アクセスキーを入力
  4. バックアップ対象フォルダを「ドキュメント・デスクトップ・ダウンロード」に絞る
  5. 暗号化パスワードを設定(このパスワードは別の場所に必ず保管。紛失すると復旧不能)
  6. スケジュールを「毎日21時」など業務終了後の時間に設定

💡 ポイント

5名以下の構成で最も大切なのは「バックアップ対象を絞る」ことです。Cドライブ全体をバックアップする設定にすると、OSやアプリの更新ファイルまで毎日転送され、上り回線が圧迫されます。「業務データが入っているフォルダだけ」に限定するのが、コスト・速度の両面で正解です。

復旧テスト:3-2-1-1-0ルールの「0」を満たす実施手順

四半期に1回・30分でできる復旧テスト

バックアップを取っていても、いざ復旧しようとしたら壊れていた、というケースは珍しくありません。これを防ぐのが「0(検証エラーゼロ)」の要件です。具体的には四半期に1回、以下の手順で復旧可能性を確認します。

  1. 復旧テスト用の作業PC(または仮想マシン)を1台用意する
  2. バックアップから「任意の3ファイル」をダウンロードして開く(請求書PDF、Excel、社内Wordを1つずつ)
  3. ファイルが正常に開けることと、内容が直近版と一致することを確認
  4. テストログに「実施日・テスト者・結果」を記録(Excel1行でOK)
  5. 1ファイルでも開けない場合、バックアップ設定または保存先を即時見直し

所要時間はおおむね30分。これを四半期に1回続けることで、「本番感染→復旧失敗」という最悪シナリオの確率を実用上ゼロに近づけられます。

結局どれを選ぶべきか:3パターンの推奨構成

✅ おすすめ:5名以下なら Wasabi+Duplicati 構成

月額3,000円以内で3-2-1-1-0ルールを満たせます。Wasabiは取り出し料金がかからず、復旧テスト時に追加課金が発生しない点が、SMBで予算管理しやすい最大の理由です。

✅ おすすめ:10〜30名なら Synology NAS+Wasabi 構成

既存のNASを活かしつつ、Object Lock対応クラウドへ自動コピーする二段構え。Hyper Backupの画面が日本語で、IT専任者がいなくても運用できます。

✅ おすすめ:30〜50名なら Veeam+Wasabi構成

無料Community Edition+Wasabiで、Immutable Backupの本格運用が可能。RPO4時間・RTO2時間まで詰められます。

こんな会社にはこの構成は向かない(推奨が外れるケース)

記事の推奨は万能ではありません。以下のケースでは別の選択肢を検討すべきです。

  • 月間データ転送量が10TBを超える映像制作会社:Wasabiの月額は安く見えても、初回フルアップロード時の上り回線負荷が大きく、社内回線を圧迫します。この場合はオンプレNAS2台でレプリケーションを組み、クラウドは差分のみ送る構成のほうが現実的です。Backblaze B2の「Fireball」のような物理ディスク搬入サービスを使えば、初回10TBを1日でクラウド側に取り込めますが、Wasabiにはこの選択肢がなく、回線移送に1〜2週間かかるケースもあります
  • 金融・医療など監査要件で「データ国内保管」「暗号鍵の自社管理」が必須の会社:Wasabi東京リージョンは国内保管ですが、暗号鍵をユーザー側で管理(BYOK)したい場合はAWS S3+KMSの組み合わせが必要です。月額が3〜5倍になりますが、監査対応の文書化に必要な機能が揃います
  • すでにMicrosoft 365のメール・OneDriveが主要データの会社:上記構成はファイルサーバー向けです。Microsoft 365自体のランサムウェア対策には、AvePoint Cloud Backup、Veeam Backup for Microsoft 365、Acronis Cyber Protect Cloudなど、専用のSaaSバックアップを別途検討してください。月額1ユーザー300〜600円程度が相場です

この「向かないケース」に該当する場合、本記事の構成をそのまま採用しても、コスト効率・コンプライアンスの両面で最適解にならない可能性があります。導入前に自社の業務データの所在(オンプレ/クラウド/SaaS)を棚卸しし、そのうえで構成を選んでください。

まとめ:今日から始める3つのアクション

本記事の要点を、明日からの行動に落とし込みます。

  1. 今日:自社のバックアップが「常時接続」されていないか確認する。Z:ドライブとしてマウントしっぱなしのNASがあれば、それは3-2-1-1-0ルールの「1(オフライン)」を満たしていません
  2. 今週中:Wasabiの30日無料トライアルを申し込み、Object Lock有効のバケットを1個作る。500GB以下なら追加料金は発生しません
  3. 今月中:Step①〜③のいずれかを選び、初回バックアップを完了させる。完了後、必ず復旧テスト(任意の3ファイルダウンロード)を実施し、テストログをExcelで記録する

ランサムウェア対策は「やるかやらないか」の二択ではなく、「3-2-1-1-0のうちどこまで満たすか」のグラデーションです。一気に完璧を目指す必要はなく、まず「オフライン1本」を確保するだけでも、感染時の復旧確率は劇的に上がります。本記事をブックマークしておき、毎四半期の復旧テスト時に手順を見直す運用が、SMBにとっての現実解です。

📩 無料ニュースレター

AIツール・テックの最新情報を週1回お届け

いつでも解除可能 · スパムなし