古いままの「バックアップ」は何が駄目なのか？ 回復力を高めるには？：「データセキュリティ」は誰の問題か【第4回】

クラウドサービスを利用するなどシステム構成が複雑になっている一方で、バックアップと復元の仕組みが従来のままになっていないだろうか。データ保護の対策を見直す場合のポイントとは。

[高井隆太，ベリタステクノロジーズ]

　企業のシステムは稼働場所がオンプレミスのシステムとクラウドサービスに分かれるだけでなく、仮想化技術としては仮想マシンに加えてコンテナが使われるようになり、構成が複雑になっている。こうなると、データを適切に保護することは容易ではない。データを復元する能力である「データレジリエンス」を高めるために、データ保護の対策をどう強化していくべきか、迷っている担当者は少なくないのではないか。

　だからこそ、網羅的にバックアップを実施する必要がある――と提言しよう。そのためにはどのような点を考慮してバックアップシステムを構築すればよいのか。バックアップにおいて考慮すべき4つのポイントと、復元を正しく実施するために欠かせない取り組みをまとめる。

「バックアップと復元」を見直す際の必須要件

1．同一の仕組み

　まず、オンプレミスインフラやクラウドサービス、仮想マシンやコンテナといったように、場所や技術ごとに個別にバックアップを実施するのではなく、以下の点を考慮してバックアップの仕組みを構築することが望ましい。

• 場所や技術が異なっていても、バックアップデータの取得とリカバリー（復元）には可能な限り同一の仕組みを採用する
• できるだけシンプルな仕組みを採用する

　要するに、多様化したシステムを同じ仕組みでバックアップすることができる“統合的なバックアップシステム”を選択する必要がある。これは従来、システムの種別ごとに異なるバックアップシステムを使用してきたのとは異なる考え方だ。まずこの点が、データ保護の見直しに当たって考慮すべき1点目のポイントとなる。

2．データ保管のセキュリティ

併せて読みたいお薦め記事

データセキュリティの基礎

• ランサムウェアで考える“バックアップがあるだけ”では無意味な理由
• ランサムウェア攻撃者が“暗号化”よりも優先し始めた手口とは？
• クラウドデータ保護「DPaaS」とは？　使い倒す方法は？

　次に、バックアップデータのセキュリティを強化すべきだと強調しておきたい。ランサムウェア攻撃で狙われるのは、本番データだけではない。昨今のランサムウェア攻撃はバックアップデータを暗号化することで、攻撃の成功率を高めようとする点に特徴がある。バックアップデータによるシステム復旧ができない状況を作り、標的の組織に身代金を支払わせることが攻撃者の狙いだ。

　何も信用しないことを前提にするセキュリティの考え方「ゼロトラスト」に基づいたバックアップシステムを作ることを進言したい。その際に重要になるのが、バックアップデータの保管場所だ。どこであれば攻撃者が改ざんできないイミュータブル（不変）な保存場所になるのかを検討することが欠かせない。

3．3-2-1ルール

　バックアップにおいて以前から実践されてきたのベストプラクティスとして「3-2-1ルール」がある。これはバックアップデータのコピーを3つ作成し、2つの異なる記録媒体で保存し、バックアップデータのうち1つは物理的に離れた拠点であるオフサイトで保管することを定めたルール。この考え方は、2024年の現在でも変わらずに有益だ。

　オフサイトでデータ保存する際の記録媒体としては、これまでは「テープ」が一般的だった。今後は「クラウドストレージ」をオフサイトの保存先として活用することを考えてもよいだろう。本番システムで日常的に利用するのとは異なるクラウドストレージを利用するのが有効だと言える。

4．重複排除

　バックアップを実施する際には「重複排除」の技術を利用することが望ましい。データを網羅的にバックアップすることに加えて、そのデータのコピーを複数保管するとなれば、データ量は増加する一方になってしまうため、重複排除をしてストレージの容量を効率的に使用することをお勧めしたい。企業におけるデータ保管量が急速に増加する傾向にある中では、この点は特に重要になる。

データ復元の練習をしておこう

　最後に、保存しているバックアップデータを利用したデータ復元が問題なくできるのか、リハーサルやテストを実施することを提言したい。「確実に復元ができるようにリハーサルやテストをしてほしい」とユーザー企業に伝えると、「そこまでする必要があるのか」という疑問の声が挙がることがある。だが忘れてはいけないのは、バックアップはバックアップデータを取得して終わりではなく、いざというときに復元できるようにしておくことが本来の目的という点だ。「本当にこのデータを使って復元できるのかどうか分からない」という不安を抱えている人もいるのではないか。

　今はデータを巡ってさまざまな事件や事故が起きている時代だ。その現状を考えると、バックアップデータは、復元するための“実用的な存在”になっている。データ復元のテストやリハーサルをより頻度を高めて実施しておくことで、いざという事態に陥った際に、対処方法を適切に選択できるようになる。

　テストをすることは、現状のバックアップシステムが適切なものなのかどうかを見直す機会にもなる。システム利用が多様化するのに伴い、当初想定していた仕組みと実際のシステムに違いが生じることがある。そうなると、復元してみたところで想定していた復元にはならない、という事態に陥ってしまう。

自動化でトラブルを回避

　データバックアップの復元のリハーサルというと、「珍しいもの」と感じる人もいるだろう。だがシステムの災害対策に、バックアップデータを使ったシステムの復元が組み込まれ、そのテストを実施するケースは実際にある。災害対策となると、準備に半年をかけ、テスト手順の作成にも半年かかるといったケースは珍しくはない。

　特にそうしたさまざまな人が関わるケースで注意が必要なのは、人に依存し過ぎた仕組みが弊害になることがある点だ。時間をかけて準備を整えた結果、当初想定していたシステムとは中身が変わってしまっていたことに気付かず、復元がうまくいかなかったというケースは実際にある。

　そういったトラブルをなくすためには、手動ではなく、自動化を取り入れる。人手が介するところを極力減らし、作業を自動化することで、変化に対処しやすくなる。筆者の経験から、参考となる例を1つ紹介しよう。災害対策としてオンプレミスのシステムをクラウドサービスに切り替える仕組みを実装した案件があった。その際、リカバリーに特化したワークフローを活用して組み上げることにより、複数のクリックだけで切り替えられるようになっていった。

　自動化を取り入れると、従来は“レベル3”までの人にしかできなかったことが“レベル2”の人でもできるようになる、という望ましい変化が起こる。その変化は、結果としてコスト削減にもつながる。そうした成果につなげるためには、復元のテストやリハーサルを実施することが欠かせない。技術的な面では、バックアップデータの取得や復元に同一の仕組みを採用することや、作業を自動化することが求められる。事件や事故が起こった際にシステムを復元できるようにしておきながら、コスト削減も同時に追求できる企業になるには、これらの点を徹底することが必要だ。

執筆者紹介

高井隆太（たかい・りゅうた）　ベリタステクノロジーズ　常務執行役員　テクノロジーソリューションズ本部ディレクター

企業のマルチクラウドのデータ保護・管理に関する課題解決を支援すべく、プリセールスSEおよびプロフェッショナル・サービスチームを統括。事業全体の戦略策定、プロモーション活動にも従事している。