3-2-1バックアップの各種リスクと限界、その対処方とBCP設計の考え方

投稿日: 更新日

本エントリは、バックアップおける基本の1ステップであり、データ保護計画の一部として3-2-1ルールのリスクや見落としがちな点について、SOHO環境や個人での経験を交えつつ記述しています。

この点を曖昧なままにすると、災害時や機器故障の際にバックアップが機能せず、事業継続が不可能になる不利益を招くので、実務上極めて重要度の高い項目である。

留意事項
本ページでは、個人、ホームユース、SOHO環境の設定が混在した形で記述している。これは「小規模環境におけるBCP(事業継続計画)」という当サイトのコンセプトにもとづき、あえて共通の設計思想としてまとめているためだ。また、全体網羅的な考えかたを優先して記しているため、細部については必ずしもすべての環境に当てはまらない場合も当然ある。たとえば「HDD」は適宜「SSD」と読みかえてほぼ問題ないし、利用するクラウドのプランや機器のソフトウェア仕様によって、詳細な挙動が異なる場合は多いだろう

3-2-1バックアップについて

3-2-1バックアップとは:各種インシデント発生時にデータを残す基本思想

3-2-1ルールとは、障害やトラブル発生時にデータを少なくとも1つは残すための最低限の考え方だ。これさえやれば安泰というわけではなく、個々の事業所がアレンジする土台となるためのスタートラインとなる。

  • 3: データのコピーを3つ持つ(元データ+バックアップ2つ)
  • 2: 2種類の異なるメディアに保存する
  • 1: 1つを遠隔地(オフサイト)に保管する

増してきた「3-2-1-1-0」バックアップの重要性

これはもともと金融機関などで不変データが要求されるためのルールだったが、昨今はランサムウェア対策の最終防衛線として重要性が増しており、321から32110へとバックアップのスタイルが移り変わってきた。加わった1と0は、それぞれが下記のように編集不可と検証エラー0を表している。

  • 1: 不変(イミュータブル)またはオフライン(エアギャップ)のコピーを1つ追加
  • 0: バックアップエラーをゼロに保つ(検証の徹底)

バックアップでどのようなインシデントに備える必要があるか

バックアップでは「何を」は情報データや事業の継続性だが、「何から」守ろうとしているのかについて漏れがないようにリストアップすることから開始しなければならない。

  • ディスクの破損: HDDは3〜5年で寿命を迎える。高耐久モデルでも使用頻度に比例して故障確率は上がる。SSDは物理破損リスクは低いものの書き換え寿命が存在する。
  • NASの故障: RAIDを組んでディスク破損耐性を上げても筐体故障には無力。SOHO環境では夏季の高温やホコリ、微弱な地震の積み重ねが原因で突然死することがある(実際に夏季の故障経験あり)。
  • 管理者アカウントの乗っ取り: ハッキングもしくは退職者による行為。窃取されたアカウントの影響範囲が及ばない場所にデータが存在する必要がある。
  • 作業ミス: 誤削除、誤上書きなど。世代管理でも防げる。
  • クラウドアカウントBAN: 運営会社の判断ひとつで凍結されてしまう。また海外事業者とのやり取りや裁判は現実的ではない。過去には子供の写真が児童ポルノと誤認された凍結事例も報告されているので、自分に落ち度がなくても誤検知される可能性は存在する。
  • ランサムウェア感染: ネットワーク経由でバックアップデータまで暗号化しようとする凶悪なリスク。
  • 落雷・瞬電: ケーブルを伝って物理破壊を招く落雷と、高頻度で起こっており電子機器にダメージを与える瞬電は、自然災害とは別枠で対策すべき脅威。
  • 自然災害・窃盗: その場所にあるものを一括で破壊、または持ち去るリスク。これには物理的な距離(オフサイト)でしか対抗できない。

オフサイト(地理的な隔離)の小規模環境向けパターン

  • 別事業所: 定期的なHDDの持ち運び、またはネット回線経由での別場所NASへの同期。
  • 役員自宅: 物理盗難リスクは残りますが、対災害と割り切れば現実的な遠距離保管。
  • クラウド: 本命ですが、問題は大容量時の価格と復旧時間。Microsoft 365やGoogle Workspaceのバンドル容量を活用し、無駄を削るのが定石となる。

3-2-1バックアップの条件を満たす構成例・満たさない構成例

満たさない例(SOHOでやりがちなミス)

  • 外部HDDのみ: デバイスの故障にしか対応できない。20年前の基準。
  • スマホからクラウドのみ: OS標準で進められますが、ウイルスやアカウントBANに耐性がない。
  • 元データがすべてクラウド: BANですべてが終わってしまう。クラウド事業者責による消失リスクや、大容量時の使い勝手の悪さも無視できないレベルで存在する。
  • NAS + 同一拠点の外付けHDD: 利便性は高いが、自然災害や盗難には無力。

満たす例(標準的な論理構成)

  • クラウド + 外付けHDD: 基本はクラウド、予備にローカル(エアギャップ)。個人用途なら十分ですが、ランサムウェア対策の「不変性」は欠けている。
  • NAS + クラウド同期: データ共有しつつ自動でクラウドへ。利便性は高いものの、同期ミスがそのまま波及するリスクがある。クラウド側が世代管理をしているなら安全度は比較的高め。

3-2-1-1-0ならイミュータブル(不変)バックアップも取り入れる

NASのイミュータブル機能を使うとランニングコストは抑えらるがオフサイトから遠ざかってしまう。

一方、クラウドのイミュータブルバックアップは耐障害性と地理的耐性に優れるが、たいていは高コスト。少しでも安価に行うには、

  • データ量小の場合: クラウドすべてをイミュータブル設定に。
  • データ量中〜大の場合: 最重要データのみをクラウドの不変ストレージへ。
    • さらにコスト削減するならGCS Archive等の「復旧費用は高いが保存料が安い」サービスで掛け捨て保険と見なした運用も検討する。

といった方法がある。

3-2-1バックアップ要件を満たしても実務上問題がある理由

3-2-1は「データの保全」のためのものであり、「復旧」の成功を保証するものではない。復旧時のリスクに触れているサービスや記事は少ないので、ここでリスクについて記述しておく。

理由1:バックアップからの復旧時の負荷とリスク

  • 整合性チェックの壁: バックアップ完了ログがあっても、中身が壊れていれば復旧は不可能。
  • 物理故障のトドメになりえる: リストア作業はHDDに最大級の負荷をかける。その作業中に連鎖的な物理故障を招くリスクが大いにある。
  • 無防備な時間がある: 復旧作業中に落雷やウイルス感染が起こらないとは限らない。また焦っているときほどミスが発生しやすい点も注意が必要だ。

理由2:復旧目標時間(ネットワークとCPU=リストア速度の壁)

  • データ送信速度: たった1TBでも、ネット回線や機器の処理速度によっては解凍・転送に数日かかるのはザラ。オンサイトからデータを取ってくる、ローカルHDDからデータを書き戻す時間も予想以上にかかることを念頭におく。
  • 圧縮機能からの解凍時間: NAS独自の圧縮機能は保存容量を節約できるが、リストア時の解凍負荷と時間は想像を超える。上記、夏季のNAS障害ではローカルバックアップから書き戻し、解凍するという作業を50~300MB程度に分けたフォルダ毎に行ってみたが、1ヶ月近くかかってしまった。

参考:復旧目標時間の考えかた

  • どこから復旧させるのか?:多重化したローカルNASなのか、外付けHDDなのか、クラウドバックアップなど、復旧元によって復旧時間が異なるので分けて考える。
  • それぞれ、各工程でかかる時間を足し算する。たとえばクラウドからのDL申込みの待ち時間、実DL時間、RAID再構築、データの書き戻し、整合性検証など。
    これによって 外付けHDD=1日 クラウド=10日 など目安がわかる。
    ちなみに、1GB回線では1TBのDLに数日かかった。仮に回線速度が10GBであっても回線以外のボトルネックに阻まれて良くて3~4倍早くなる程度かと思う。

復旧までを見据えた3-2-1バックアップ

  • 障害パターンと復旧手順: どのデータから戻すか、優先順位を決めておくこと。
  • 予算と維持費: * イニシャル:約20〜40万円(NAS2台+HDD6台+外付けHDD数台)
    • ランニング:電気代+クラウド維持費(数百円〜数千円)
    • 特定コスト:GCP Archive等からの取り出し料(保存は安く、取り出しは100倍程度高額)
  • Tips(運用ポイント):
    • 監視: 専用メールアドレスで成功・失敗ログを管理。AIによる日次要約報告の検討を行う。
    • 五感の活用: NASを見える・聞こえる場所に置く。スケジュール外の激しい「ガリガリ音」は、ランサムウェア暗号化のサインかもしれない。

3-2-1-1-0で復旧時負荷まで見据えたバックアップの一例

小規模事業所の例だが、各デバイスの共有ファイルサーバとしてNASを1台導入し、RAID5もしくはRAID6でディスクの破損に備えてみた。
2台目のNASにリアルタイム同期することで、NAS自体の故障に備える。
クラウドはイミュータブル(不変)バックアップとなるサービスを使い、データの最終防衛とする。拠点に災害があったときやランサムウェアでローカルデータがすべて消失したときに備える。
NAS1から手動で定期的に外付けHDDにバックアップを取るが、このとき複数台でローテーションすることでいくつかのインシデントに同時に備えることが可能だ(ランサム、復旧時インシデント、落雷・瞬電)

個人や家庭なら

  • 事業継続の制約がない分、柔軟に: 納期がないため、復旧時間は長く見積もることができる。
  • 失えない価値がある: 過去の記録や思い出を失うダメージは一生ものなのでバックアップの重要性は法人かそれ以上ともいえる。
  • ファーストステップは?: クラウドのみなら「ローカルへの定期的なダウンロードと隔離」を、ローカルのみなら「遠隔地(実家、貸金庫、クラウド)へのコピー」を追加することから始めるといい。

おわりに

最後に、ここで述べた構成はあくまで一つの型にすぎない。ストレージ技術やクラウドサービスの内容は日々変化しています。特定の機器の機能、あるいはサービス事業者のプランを活用するなど、基本的な考え方は抑えつつ、その時々の最適な技術を柔軟に取り入れてみるとより最適なシステムになると思う。

以上が、3-2-1ルールの再構築についての記録となる。この設計を基盤として、次に個別の機器選定や具体的なクラウド設定、もしくは個別のリスクの深掘りへと進んでいく。

参考用現在地

アバター画像
KG@AnchorFrameLab

本サイトは、個人・SOHO・ホームネットワーク等の「生活および事業基盤」の継続を目的とした環境設計や実施タスクの技術検証ログです。セキュリティ、バックアップ、運用の各軸に基づき、実務環境で学習・実践したプロセスのみを記録しています。