セキュリティ

ランサムウェア対策!
バックアップを見直そう

掲載日:2026/03/17

ランサムウェア対策! バックアップを見直そう

警察庁が発表した内容によると、ランサムウェアの被害に遭った企業の約85%がデータ復旧に失敗しているという。その理由は、バックアップデータも暗号化されてしまったことや設定の不備によるものだ。できるだけコストや時間をかけずにバックアップする方法と、バックアップ時に押さえておきたいポイントを再確認し、サイバー攻撃に遭っても復旧できるバックアップデータ管理の方法を紹介する。

目次

ランサムウェア対策にバックアップの見直しが急務

ランサムウェアの被害が年々増加している。警察庁が発表した「令和7年上半期におけるサイバー空間をめぐる脅威の情勢等について」によると、2025年上半期だけでもランサムウェアの被害報告は116件。これは、2022年下半期に並ぶ最多件数となっている。

ランサムウェアを開発、運営する者が、攻撃の実行者にランサムウェアなどを提供し、身代金の一部を受け取るRaaSという形態を中心に、攻撃者の裾野が拡大しているからだという。

身近なインターネット上やSNS上に募集情報が存在しているため、犯罪実行者になるハードルが下がっていることも指摘される。

ランサムウェア対策には、ZTNA(ゼロ・トラスト・ネットワーク・アクセス)などを活用する防御が重要であることは言うまでもないが、あわせて考えなければならないのがデータのバックアップだ。

同資料では、ランサムウェアの被害に遭った際にバックアップからデータを復元できたかどうかについても言及されている。バックアップを取得していた企業は51/53件、約96%だが、バックアップから復元できたのは7/48件、わずか約15%にすぎない。

バックアップから復元できなかった理由は、「バックアップも暗号化」が23/35件で約66%、「運用不備」が8/35件で約23%、「その他」が4/35件で約11%となっている。

バックアップの方法は?

せっかくデータのバックアップをとっていても、ランサムウェア被害に遭ったときに復元できないのでは、無駄なコストをかけただけになってしまう。バックアップにはまず4種類の方法があることを押さえよう。

フルバックアップ

システム内の全てのデータを複製する。定期的に実施し、ほかのバックアップ方法と併用することが一般的。メリットは復元時、一度の操作で完全にデータを復旧できる点だが、デメリットとして、バックアップ作業に時間がかかり、保存先のストレージ容量が大きくなってしまうことが挙げられる。

差分バックアップ

いったんフルバックアップした後、変更されたデータのみを保存する。フルバックアップしたデータと差分を用いれば短時間で復元が可能。メリットはフルバックアップに比べて保存データの容量が少ない点。デメリットは更新ごとにファイルサイズが増加しやすいことだ。

増分バックアップ

前回のバックアップ以降に変更されたデータのみを保存する。差分バックアップが初回のフルバックアップから変更があったデータを毎回バックアップするのに対して、増分バックアップは前回のバックアップから変更があったデータのみを保存する。バックアップにかかる時間が短く、容量も節約できるが、復元時には全ての増分バックアップが必要になることに注意が必要だ。

永久増分バックアップ

最初のフルバックアップと変更のみの増分バックアップを合成し、フルバックアップのデータを更新する。差分バックアップと増分バックアップのいいところ取りができ、最新のデータを効率的に保持し、容量を抑えることができる。今後のバックアップの主流はこの永久増分バックアップになると言われている。

仮に1週間ごとにバックアップの世代(1セット)を定めた場合は、以下のようになる。

バックアップで大切なポイント

万が一、ランサムウェアの被害に遭ったとき、データを復旧できるように押さえておきたいポイントには以下のようなものがある。

イミュータブル(不変)設定

バックアップデータを変更、削除できない状態を「イミュータブル」という。攻撃者がバックアップデータを暗号化することもできないため、効果的な方法だ。導入する際には、データをイミュータブルに設定できるストレージやクラウドを利用することになる。

イミュータブル非対応の製品に比べて高価なことがデメリットであるため、費用対効果で検討することになるだろう。Amazon Simple Storage Service(S3)など、オブジェクトロック機能を有効にすることでデータをイミュータブルにできるストレージサービスもある。

リカバリーポイントの設定

ランサムウェアの攻撃者は、標的のネットワークに侵入した後に一定の時間潜伏してからデータの暗号化を行うことが多い。2025年10月にランサムウェアの攻撃を受けたアスクルの場合、初期侵入はランサムウェア発動の4カ月以上前だった。

暗号化される前のデータであっても、侵入後はバックドアを仕掛けられている可能性もあり、最新データの使用はリスクが高い。そのため、リカバリーポイントを複数設けておき、復号する際にはどのポイントを使うのかを検討する。

検知機能を用いる

ランサムウェアを検知するソフトウェアやクラウドサービスなどを適切に用いて、事前に検知できるように備えておく。

エアギャップを設ける

本番環境とバックアップデータを物理的かつ論理的に隔離する「エアギャップ」を設けることも大切だ。通常のバックアップの場合、本番データとバックアップデータを同じネットワーク内に置くことは有用であるが、ランサムウェア対策を考えた場合はバックアップデータごとに暗号化されてしまうリスクが高くなる。

エアギャップは、オンラインストレージの使用や磁気テープに保管する方法などが考えられる。

データ復旧の手順を確立する

ランサムウェアの被害に遭ってからでは遅い。万が一攻撃を受けたときでも迅速に復旧できるように、テストを繰り返し、リストアの手順を策定しておくことをおすすめする。