データバックアップ　中小企業に相応しい取り方とは？

2024年11月9日 12:49

皆様こんにちは。今日もこのnoteを開いていただきましてありがとうございます。
情報セキュリティの強化・向上のため、災害時のディザスタリカバリのため、バックアップが有効であることは疑う余地はありません。
ただ、バックアップ作業は時として面倒な作業なのでそれが業務を圧迫してしまっては本末転倒と言えます。
というわけで、そもそも論ですが中小企業のデータバックアップの必要性について考えてみたいと思います。

バックアップが必要である理由

災害時のデータ損失を防ぐため

一般的なバックアップは、自社のパソコンやサーバ内にデータを保存することが多いです。しかし以前から申し上げておりますとおり、これでは災害時などにまとめてデータが失われてしまう恐れがあります。データを復旧する手段がなくなり、業務に大きな支障を来すでしょう。

人為ミスによるデータ損失を防ぐため

手動でバックアップしていると、人為ミスによってデータを損失する危険性があります。また、一般的に中小企業は人材リソースに余裕がないことが多く、従業員各個人にバックアップを通達しても、守られない場合も多いです。必要性が差し迫っていないので後回しにされ、いざ必要なときにはバックアップデータがないかも知れません。また、バックアップしているつもりでも、古く役立たないものである可能性もあります。

企業が行うバックアップの手法

外付けHDD・SSDを用いる

HDDは、もう皆様おなじみのメディアだと思います。その外付けバージョンというのがありまして、USB接続できるため、手軽に利用できるのが特徴です。
バックアップデータを保存したパソコンが壊れても、他のパソコンでデータを復元できることが多いです（Windows11のデータ暗号化についてはいったん措きましょう）。2ドライブ内蔵したものであれば、一方が壊れても他のドライブにデータが保持されるため、より保存性が高いです。ただし、HDDには熱や衝撃に弱いという弱点があります。その点SSDはメモリの塊ですので、衝撃には強いという特徴があります。しかし、HDDより高価なのが弱点です。

ネットワークHDD（NAS）を用いる

NASとは「Network Attached Storage」の略で、ネットワーク上にあるデータ保存専用のサーバーのことです。通常のHDDはUSB接続しますが、NASはLAN上にありPCと接続します。LAN内で複数のパソコンに接続するため、社内での情報共有にも役立ちます。また、複数台のHDDを使ってデータが失われないようにする技術も確立されているため、1台が壊れても運用を継続できます。ただし、災害時にはパソコンと同様に被災するので、災害対策としては不安が残ります。

クラウドサービス（オンラインストレージ）を用いる

クラウドサービスにより、インターネットを介して遠隔地にバックアップデータを保存する方法です。保存媒体の管理を外注できるうえ、従量課金制なので初期費用を低額に抑えることができます。導入ハードルが低い方法と言えるでしょう。インターネットさえあれば、場所を選ばず利用できます。復元する際には遠隔地からデータを取り出せば良いため、災害対策としても適していると言えます。

中小企業ならではの課題と対策

ここで、中小企業ならではの課題を整理し、対策を考えてみましょう。

予算の制約

中小企業は一般的にIT予算が限られているため、高価なバックアップサービスを使うことにはハードルが高い場合が多いです。

人材不足

専門知識を持つIT担当者がいないため、バックアップの重要性が理解されていなかったり、適切な設定がされていないことがあります。

以上のような課題があると言えます。対策を列挙します。

外部専門家への委託

バックアップを外部専門家に委託するという方法があります。バックアップ専門業者は現在増え続けています。それだけバックアップというものの重要性が増し、また、一般に周知されている証拠と言えるでしょう。

災害への備え

地震や水害など、自然災害のリスクが高い地域では、オフサイトバックアップ（自社ではない遠隔地にバックアップを置いておくこと）が対策として有効でしょう。

中小企業のデータバックアップにクラウドサービスは最適？

以上のことを考えますと、企業がデータバックアップを行う場合にはクラウドサービスが適切なように思えます。
しかし、クラウドサービスにも特有の弱点というものが存在します。それを見ていきましょう。

情報漏洩

クラウドサービスでは、簡単な操作でファイルの公開状況を設定できます。つまり、操作を誤るとインターネット上に社外秘情報が公開されてしまう恐れがあるということです。
特に、個人向けのクラウドサービスを社員が自分の判断で利用している場合には要注意です。経営者の目が届かないところで情報流出が発生している可能性があります。

利用料金

初期費用が安く、データの容量に対して柔軟にクラウドの容量を変更できます。また、容量は小さいですが無料プランを提供している業者も数多くあり、データの種類によっては手軽に置いておける場所と言えます。
しかし無料プランでは提供されている容量は極めて限られ、何らかのデータを使って作られた最終資料を置いておけるにとどまり、それを作るまでに利用したデータソースまでを保存しておくにはあまり向いていないと言えます。
では有料プランは、となりますと初期費用も月額料金もある程度のものになってきます。有料プランですと単にデータを置いておく以外の様々なサービスも提供されていることが多いですが、それらのサービスをすべて有効活用するのは大企業でもなかなか難しいことです。つまり、利用しないサービスに対して対価を払っていることになってしまいます。

ランサムウェア対策とデータバックアップ

近年、ランサムウェアによる攻撃が頻繁に発生しています。ランサムウェアは、外部から侵入し、データを勝手に暗号化、あるいはデータへのアクセスを禁止してしまい、再び利用できるようにする代わりに身代金（ランサム）を要求するマルウェアです。これに対抗するためには、多層的なバックアップが戦略が有効です。バックアップデータをオフラインで保存するなどです。また、クラウドサービスの中にはバージョン管理機能を提供しているものもあります。
クラウドサービスはインターネットに繋がっていることが利用の条件となりますので、外部からの侵入に関しては常にいくらかの危険性があると言えます。

こういったことを考えると、必ずしも中小企業にとってクラウドサービスを使ったバックアップが最適であるとは言えないケースも多いと言えます。
正直なところを申し上げまして、これさえやっておけば完璧！というバックアップ戦略は存在しません。企業というのも生き物ですので、零細企業から巨大企業までそれぞれに個性があります。
全ての人にフィットする洋服がないのと同じことで、ある程度の共通部分を見出して「量産品」からカスタマイズしていくことは可能ですが、最終的にはその企業に合ったバックアップ戦略を作りだしていくことになります。

中小企業の成功事例

とある中小企業では、ローカルバックアップとクラウドバックアップを組み合わせた「ハイブリッドバックアップ戦略」を立てました。この企業は、毎日重要なデータをローカルのサーバーにバックアップし、週末にクラウドへもバックアップを行うというルールを作成しました。これにより、迅速なデータ復旧が可能でありつつ、災害やランサムウェア攻撃に対する保護も強化されています。
しかし、この方法を取っても、例えば激甚災害の時にローカルサーバーが損傷したりネット環境が失われたりと言ったことが考えられますし、クラウドに繋がっている以上ランサムウェアが外部から侵入してクラウドとローカルのデータ両方を使用不可能にしてしまうことも考えられますので、360°全方位安全というわけには行きません。

初期戦略と定期的な見直し

まず初期のバックアップ戦略を立てることが必要になるわけですが、大きく分けてバックアップ先のメディアとしては以下の3種類が挙げられます。

外付けHDD・SSD
NAS
クラウドサービス

それぞれに長所・短所がありますので、容量・目的などに応じて組み合わせて利用するのが相応しい戦略です。
中小企業にとって、データは企業の生命線です。万が一データが失われてしまうと業務がストップしたり、顧客情報が漏洩したりするなど、深刻な事態に陥る可能性があります。ですので、有効なバックアップ戦略を立てることが重要です。

初期戦略を立てる際に重要なことを考えてみましょう。

バックアップ対象を明確にする

どのデータをバックアップするのか、優先順位をつけて明確にしましょう。
頻繁に更新されるデータ、重要な顧客情報、会計データなど、ビジネスに不可欠なデータを優先的にバックアップしましょう。
データのバックアップは法的な面でも重要です。多くの業界では、データ保存の期間や方法について法律や規制が定められています。
個人情報保護法などの法規制も遵守し、適切なバックアップ体制を構築する必要があります。

バックアップの頻度を決める

データの重要性や更新頻度に応じて、バックアップの頻度を決めましょう。
頻繁に更新されるデータは、こまめにバックアップを取る必要があります。

バックアップのテストを行う

定期的にバックアップの復元テストを行い、データが正しく復元できることを確認しましょう。
万が一の事態に備え、復元手順を事前に把握しておくことも重要です。

セキュリティ対策を徹底する

バックアップデータも、ウイルス感染や不正アクセスなどのリスクにさらされています。
パスワード管理やアクセス制限など、適切なセキュリティ対策を講じましょう。

バックアップの保存先を決める

どのようなバックアップ保存先（バックアップメディア）にも、長所と短所があります。
セキュリティ面やコスト面などを考慮し、自社に合った媒体・サービスを選ぶことが重要です。

アクセス権限の管理

バックアップデータへのアクセス権限を制御し、必要最低限の人だけがアクセスできるようにします。

コストの把握

バックアップにかかるコストを把握し、予算内で最適なバックアップ戦略を選定します。クラウドバックアップは特に月額料金が発生します。

バックアップポリシーの策定

バックアップのルールや手順を明文化し、全社員に共有します。これにより、一貫したバックアップ運用が可能となります。

法令遵守

業界や地域によって異なるデータ保護法規を遵守し、必要なデータ保存期間や方法を確認して対応します。

データの分類

データを分類し、重要なデータとそうでないデータを識別します。重要なデータにはより頻繁なバックアップや厳重な保護が必要です。

スナップショットバックアップ

特定の時点でのシステム全体のスナップショットを作成すると、迅速な復元が可能になります。これにより、システム障害時の迅速な復旧が可能です。

データの復旧手順の策定

データ復旧手順を明確にし、従業員に周知徹底します。災害時やサイバー攻撃に備えた具体的な行動計画が必要です。データ復旧手順も事業継続計画（BCP）に定めておくと良いでしょう。よろしければ以下の記事もご覧下さい。
事業継続計画の立て方　その1
事業継続計画の立て方　その2
事業継続計画の立て方　その2　の注釈
 事業継続計画の立て方　その3
事業継続計画の立て方　その4

災害復旧訓練

災害時の対応を訓練し、実際の緊急時に迅速かつ正確に対応できるようにします。従業員に対する定期的な訓練が重要です。

バックアップの自動化

バックアップ作業を自動化するツールやソフトウェアを活用し、手動でのバックアップミスを防ぎます。また、自動化により定期的なバックアップが確実に行われます。

データ保持期間の設定

法的要件やビジネスニーズに応じてデータの保持期間を設定し、不要なデータを削除することでストレージの効率を高めます。

ベンダー選定の注意

クラウドバックアップや外部データセンターを利用する場合、信頼性とセキュリティが確保されたベンダーを選定します。ベンダーの過去の実績や評判を確認することが重要です。

コストとROIの評価

ROIという言葉をいきなり出してしまいましたが、バックアップ戦略のコストと、データ喪失リスクに対する投資対効果（ROI）を評価します。最適なコストで最大の保護を実現する戦略を選びます。

データセンターの立地

外部データセンターを利用する場合、その立地が自然災害や政治的リスクの低い地域であることを確認します。複数の地理的に離れた拠点に分散してバックアップを取ることも有効です。

これらのポイントを考慮することで、中小企業はデータの安全性を確保し、万が一のトラブル時にも迅速に対応できる体制を整えることができます。

弊社のサービスは、外部SSDにバックアップを行ったものを遠隔地でお預かりするという内容となっております。いわば、外付けHDD・SSDへのバックアップとクラウドサービスの「いいとこ取り」を行っているとお考えいただきたいと思います。
バージョン管理（弊社では「世代管理」と呼んでおります）やデータ復旧テストのサービスも承っております。
もちろん、弊社のサービスにも欠点はございます。少々のお手間をいただくこと、情報消失の際には搬送の時間が必要となることなどです。
しかし、欠点があるのは他社様のサービスも同じかと思われます。上で述べましたように、バックアップは複数の方法を組み合わせてご利用になるのが最も確実です。ぜひご検討下さい。
より詳しい情報を知りたい場合は、以下の点についてお伝えいただければ、御社に相応しい戦略をご提案が可能です。