中堅・中小企業でも「3-2-1-1-0ルール」のデータ保護が手軽に実現する
ランサムウェア対策の“最終防衛線” QNAP NAS+ルーターでバックアップをより強固に!
2025年06月25日 09時00分更新
中堅中小企業でも必須のランサムウェア対策、その“最終防衛線”とは?
世界中の企業で、ランサムウェア攻撃による大きな被害が続いている。現在では中堅中小規模の企業も攻撃ターゲットになっており、日本でもあらゆる業種/規模の企業が、ランサムウェア対策に取り組む必要に迫られている。
特に、企業内の重要な“データ資産”を一カ所に集約、管理しているNAS/ファイルサーバーは、最優先でランサムウェア対策を進めるべき対象だ。具体的な対策手段としては、「重要なデータのバックアップ」を実行することである。たとえランサムウェア被害に遭っても、バックアップがあれば重要データを復元することができ、被害の影響(長期間の事業停止など)を最小限に抑えられる。“ランサムウェア対策の最終防衛線”と言えるだろう。
ただし、単にバックアップを取っている「だけ」の対策では、もはや不十分である。現在の攻撃者は、侵入後の手始めにバックアップデータを破壊し、バックアップからの復元を阻止しようとする。そのため「バックアップを取りつつ、そのバックアップデータは完全に保護する」対策が、現在の最適解となる。
グローバルNASメーカーであるQNAP(キューナップ)では、同社が開発するNAS製品とルーター製品の特徴を生かして、“最終防衛線”となる環境を「手軽かつ簡単に」「低コストで」実現している。これならば、中堅中小企業でも導入しやすいはずだ。具体的にどのような技術で、どのくらいのコストで実現できるのかを見てみよう。
中堅中小企業でも導入しやすい高機能NAS「QNAP TS-464」と、10GbE対応SD-WANルーター「QNAP QHora-322」
ランサムウェア対策のバックアップには「難しい要件」がある
現在のバックアップでは「3-2-1-1-0ルール」を満たすことが推奨されている。具体的には、以下の5つの要件を満たすバックアップ環境という意味だ。
・3つ以上のバックアップコピーを保管する(本番データを含む)
・2種類以上の異なるメディアに保管する(HDDとクラウドなど)
・1つのコピーはオフサイトで保管する(本番環境とは別の拠点)
・1つはオフラインやイミュータブル(不変)の環境で保管する
・バックアップ/リストアのエラーはゼロ(0)にする(定期的なチェック、テストを行う)
このうち、ランサムウェア対策として特に重要であり、なおかつ実現が難しいのが、「オフラインやイミュータブル環境での保管」だ。「オフライン」はバックアップの本番環境とネットワークが切り離されていること(これを「エアギャップ環境」と呼ぶ)、また「イミュータブル」は一度ストレージに書き込まれたデータの書き換えや削除ができないことを指す。これらを実現すれば、ネットワークに侵入した攻撃者がバックアップデータを破壊することを防げる。
ただし、「オフラインへのデータ保管は手間がかかる」「イミュータブルはコストがかかる」という課題がある。バックアップを取るたびに毎回、手作業でネットワークを接続/切断するような運用は、手間がかかりすぎて現実的ではない。また、イミュータブル機能を備える専用ストレージは、高価な製品や特殊な製品であることがほとんどだ。
QNAPのNAS+ルーターが実現する“ランサムウェア対策の最終防衛線”
ただしここで、QNAP製のNASとルーターを組み合わせて活用すれば、“バックアップコピーのオフライン保管”要件も含む「3-2-1-1-0ルール」が、手軽かつ比較的安価に実現できる。QNAP NAS+ルーターが提供する機能を紹介しながら、確認していこう。
■ Hybrid Backup Sync 3(HBS 3):無償で使えるバックアップツール
QNAP HBS 3のコンソール画面
無償で使えるバックアップ/同期ツール「Hybrid Backup Sync 3(HBS 3)」は、QNAP NAS上にあるファイルを、ローカルストレージ、リモートストレージ、さらにクラウドストレージへバックアップできる。バックアップの保管先として、リモート(遠隔地)のNASやクラウドストレージを利用することで、「3つ以上のコピー」「2種類以上のメディア」「1つのオフサイト」という要件を簡単に満たせる。
ちなみに、HBS 3のバックアップ先には、QNAP NASやクラウドストレージだけでなく、Windowsファイルサーバー(CIFS/SMBサーバー)、Rsyncサーバー、FTPサーバーなども選択できる。データの重複排除や暗号化の機能も備えるため、回線帯域やストレージ容量の削減、セキュアなバックアップデータの保管も実現する。
また、バックアップ先が複数の場所に及ぶ場合でも、手軽に設定/運用できる点も特徴だ。たとえば、ローカルのQNAP NASでバックアップジョブを開始すると、自動的にリモート(バックアップ先)のQNAP NASがクラウドへのバックアップジョブを開始する、といった連携設定もできる。運用管理の手間が省けるだろう。
○参考:「Hybrid Backup Sync」詳細ページ(QNAPサイト)
■Airgap+:QNAPルーター連携による自動制御で「オフライン保管」を実現
HBS 3は、QNAP製のSD-WANルーター「QNAP Hora(QHora)」シリーズと組み合わせることで、バックアップ先のNASをランサムウェア攻撃から保護する「Airgap+」機能を備えている。これにより、バックアップデータの「オフライン保管」という要件が実現する。
具体的には、HBS 3によるバックアップジョブの実行時だけ、QHoraルーターがバックアップ先へのネットワーク接続を許可する(リンクをアップする)仕組みだ。つまり、バックアップの実行中以外は一切ネットワークアクセスができないので、侵入した攻撃者がバックアップデータを破壊しようと考えても不可能だ。
「Airgap+」の動作の仕組み。バックアップ実行時にしか通信を許可しないため、バックアップ用NAS上のデータを強力に保護できる
■QuTS hero:OSアップグレードで「書き換え不能バックアップ」も
QNAP NASのエンタープライズ/ハイエンド向けOS「QuTS hero」では、共有フォルダに書き込まれたデータを、指定した期間は書き換え/削除不可能にする「WORM」機能が使える。つまり、バックアップデータの保存先にWORMフォルダを指定すれば「イミュータブル保管」の要件も実現できる。
なお、従来はQNAP NASのハイエンドモデルでしか使えなかったQuTS heroだが、現在ではミドルレンジモデル(TS-X64シリーズ、X53Eシリーズ)でも利用が可能になっている(詳しくは以下の記事を参照)。OSは無償でアップグレード可能であり、本体価格も抑えられるので、バックアップ先NASとして活用したい。
