バックアップ体制の見直しと運用ルール策定

データ消失は企業存続に関わる重大リスク。ひとり情シスがバックアップ体制をゼロから見直し、3-2-1ルールに基づいた堅牢な運用体制を構築した実践事例を紹介します。

状況・課題

従業員60名のWeb制作会社でひとり情シスを担当する山田さんは、ある日サーバーのハードディスクが故障し、一部のファイルが読み取れなくなる障害に遭遇しました。幸い業務への影響は軽微でしたが、調査を進める中でバックアップ体制に深刻な問題があることが分かりました。

山田さんはバックアップの基本原則である「3-2-1ルール」を指針として、バックアップ体制を全面的に見直すことにしました。

3-2-1ルールとは：重要なデータは「3つ」のコピーを、「2種類」の異なるメディアに保存し、「1つ」はオフサイト（遠隔地）に保管するというバックアップの基本原則です。中小企業でも実践可能な範囲で、このルールに近づけることが重要です。

まず、社内のデータを重要度に応じて分類しました。

データの重要度に応じてバックアップの頻度と世代数を決定しました。最重要データは日次バックアップで30世代保持、重要データは日次で14世代、一般データは週次で4世代としました。

ローカルバックアップの再構築：既存NASのバックアップ設定を全面的に見直し、対象フォルダと除外パターンを明確に定義。スケジュール実行と成否通知メールの設定を行いました。
クラウドバックアップの導入：オフサイトバックアップとしてクラウドストレージを導入。最重要データは日次で暗号化してクラウドにも自動同期する構成にしました。月額費用は約5,000円に抑えました。
PC端末のバックアップ対応：社員のPCのデスクトップとドキュメントフォルダをファイルサーバーにリダイレクトし、サーバーバックアップの対象に含めました。これにより、PC故障時のデータ消失リスクを大幅に低減しました。
復元テストの実施：バックアップからの復元が実際に機能するか検証テストを実施。一部のバックアップでファイルの権限情報が失われていることが判明し、設定を修正しました。
運用ルールの文書化：バックアップ対象・頻度・保持期間・監視方法・復元手順をすべて文書化し、自分が不在でも対応できる手順書を作成しました。

運用ルールに定めた日次チェック項目：(1) バックアップジョブの成功/失敗をメール通知で確認、(2) 失敗時は原因調査と手動実行、(3) 月次で復元テストを実施、(4) 四半期ごとにバックアップ対象の見直し

3-2-1ルールの実現：本番データ・NASバックアップ・クラウドバックアップの3コピー体制を確立。ローカルNASとクラウドの2種類のメディアに保存し、クラウドによるオフサイト保管も実現しました。
復元の信頼性確保：月次復元テストの定例化により、いざという時に確実に復元できる体制を構築しました。
障害対応時間の短縮：実際にPC故障が発生した際、ファイルサーバー上のデータからすぐに別のPCで業務を再開でき、ダウンタイムを最小限に抑えることができました。
経営層の安心感：バックアップ体制を可視化して報告したことで、経営層からのIT投資への理解が深まりました。

バックアップは「取っているつもり」が最も危険です。復元テストを行わないバックアップは、バックアップではありません。最低でも四半期に1回は実際にデータを復元し、正常に開けることを確認してください。ランサムウェア対策として、バックアップ先への書き込み権限を最小限にすることも重要です。

バックアップの成否通知を必ず設定する：バックアップが静かに失敗し続けるのが最も危険なパターンです。メールやチャットツールへの通知を必ず設定し、毎朝確認する習慣をつけましょう。
復元手順書を作成して共有する：自分が病気や事故で対応できない場合に備えて、復元手順書を作成し、信頼できる人に共有しておきましょう。手順書は実際に別の人がテスト復元できるレベルまで詳しく書くことが重要です。
クラウドバックアップは費用対効果が高い：中小企業の場合、クラウドバックアップの費用は月額数千円程度に抑えられます。データ消失による損害と比較すれば、極めて費用対効果の高い投資です。
ランサムウェアを想定した設計：バックアップ先がランサムウェアに暗号化されないよう、バックアップ専用アカウントで書き込み、一般ユーザーからはアクセスできない構成にすることをおすすめします。