中堅・中小企業でも「3-2-1-1-0ルール」のデータ保護が手軽に実現する
ランサムウェア対策の“最終防衛線” QNAP NAS+ルーターでバックアップをより強固に!
2025年06月25日 09時00分更新
中堅中小企業でも必須のランサムウェア対策、その“最終防衛線”とは?
世界中の企業で、ランサムウェア攻撃による大きな被害が続いている。現在では中堅中小規模の企業も攻撃ターゲットになっており、日本でもあらゆる業種/規模の企業が、ランサムウェア対策に取り組む必要に迫られている。
特に、企業内の重要な“データ資産”を一カ所に集約、管理しているNAS/ファイルサーバーは、最優先でランサムウェア対策を進めるべき対象だ。具体的な対策手段としては、「重要なデータのバックアップ」を実行することである。たとえランサムウェア被害に遭っても、バックアップがあれば重要データを復元することができ、被害の影響(長期間の事業停止など)を最小限に抑えられる。“ランサムウェア対策の最終防衛線”と言えるだろう。
ただし、単にバックアップを取っている「だけ」の対策では、もはや不十分である。現在の攻撃者は、侵入後の手始めにバックアップデータを破壊し、バックアップからの復元を阻止しようとする。そのため「バックアップを取りつつ、そのバックアップデータは完全に保護する」対策が、現在の最適解となる。
グローバルNASメーカーであるQNAP(キューナップ)では、同社が開発するNAS製品とルーター製品の特徴を生かして、“最終防衛線”となる環境を「手軽かつ簡単に」「低コストで」実現している。これならば、中堅中小企業でも導入しやすいはずだ。具体的にどのような技術で、どのくらいのコストで実現できるのかを見てみよう。
中堅中小企業でも導入しやすい高機能NAS「QNAP TS-464」と、10GbE対応SD-WANルーター「QNAP QHora-322」
ランサムウェア対策のバックアップには「難しい要件」がある
現在のバックアップでは「3-2-1-1-0ルール」を満たすことが推奨されている。具体的には、以下の5つの要件を満たすバックアップ環境という意味だ。
・3つ以上のバックアップコピーを保管する(本番データを含む)
・2種類以上の異なるメディアに保管する(HDDとクラウドなど)
・1つのコピーはオフサイトで保管する(本番環境とは別の拠点)
・1つはオフラインやイミュータブル(不変)の環境で保管する
・バックアップ/リストアのエラーはゼロ(0)にする(定期的なチェック、テストを行う)
このうち、ランサムウェア対策として特に重要であり、なおかつ実現が難しいのが、「オフラインやイミュータブル環境での保管」だ。「オフライン」はバックアップの本番環境とネットワークが切り離されていること(これを「エアギャップ環境」と呼ぶ)、また「イミュータブル」は一度ストレージに書き込まれたデータの書き換えや削除ができないことを指す。これらを実現すれば、ネットワークに侵入した攻撃者がバックアップデータを破壊することを防げる。
ただし、「オフラインへのデータ保管は手間がかかる」「イミュータブルはコストがかかる」という課題がある。バックアップを取るたびに毎回、手作業でネットワークを接続/切断するような運用は、手間がかかりすぎて現実的ではない。また、イミュータブル機能を備える専用ストレージは、高価な製品や特殊な製品であることがほとんどだ。
QNAPのNAS+ルーターが実現する“ランサムウェア対策の最終防衛線”
ただしここで、QNAP製のNASとルーターを組み合わせて活用すれば、“バックアップコピーのオフライン保管”要件も含む「3-2-1-1-0ルール」が、手軽かつ比較的安価に実現できる。QNAP NAS+ルーターが提供する機能を紹介しながら、確認していこう。
■ Hybrid Backup Sync 3(HBS 3):無償で使えるバックアップツール
QNAP HBS 3のコンソール画面
無償で使えるバックアップ/同期ツール「Hybrid Backup Sync 3(HBS 3)」は、QNAP NAS上にあるファイルを、ローカルストレージ、リモートストレージ、さらにクラウドストレージへバックアップできる。バックアップの保管先として、リモート(遠隔地)のNASやクラウドストレージを利用することで、「3つ以上のコピー」「2種類以上のメディア」「1つのオフサイト」という要件を簡単に満たせる。
ちなみに、HBS 3のバックアップ先には、QNAP NASやクラウドストレージだけでなく、Windowsファイルサーバー(CIFS/SMBサーバー)、Rsyncサーバー、FTPサーバーなども選択できる。データの重複排除や暗号化の機能も備えるため、回線帯域やストレージ容量の削減、セキュアなバックアップデータの保管も実現する。
また、バックアップ先が複数の場所に及ぶ場合でも、手軽に設定/運用できる点も特徴だ。たとえば、ローカルのQNAP NASでバックアップジョブを開始すると、自動的にリモート(バックアップ先)のQNAP NASがクラウドへのバックアップジョブを開始する、といった連携設定もできる。運用管理の手間が省けるだろう。
○参考:「Hybrid Backup Sync」詳細ページ(QNAPサイト)
■Airgap+:QNAPルーター連携による自動制御で「オフライン保管」を実現
HBS 3は、QNAP製のSD-WANルーター「QNAP Hora(QHora)」シリーズと組み合わせることで、バックアップ先のNASをランサムウェア攻撃から保護する「Airgap+」機能を備えている。これにより、バックアップデータの「オフライン保管」という要件が実現する。
具体的には、HBS 3によるバックアップジョブの実行時だけ、QHoraルーターがバックアップ先へのネットワーク接続を許可する(リンクをアップする)仕組みだ。つまり、バックアップの実行中以外は一切ネットワークアクセスができないので、侵入した攻撃者がバックアップデータを破壊しようと考えても不可能だ。
「Airgap+」の動作の仕組み。バックアップ実行時にしか通信を許可しないため、バックアップ用NAS上のデータを強力に保護できる
■QuTS hero:OSアップグレードで「書き換え不能バックアップ」も
QNAP NASのエンタープライズ/ハイエンド向けOS「QuTS hero」では、共有フォルダに書き込まれたデータを、指定した期間は書き換え/削除不可能にする「WORM」機能が使える。つまり、バックアップデータの保存先にWORMフォルダを指定すれば「イミュータブル保管」の要件も実現できる。
なお、従来はQNAP NASのハイエンドモデルでしか使えなかったQuTS heroだが、現在ではミドルレンジモデル(TS-X64シリーズ、X53Eシリーズ)でも利用が可能になっている(詳しくは以下の記事を参照)。OSは無償でアップグレード可能であり、本体価格も抑えられるので、バックアップ先NASとして活用したい。
本記事はアフィリエイトプログラムによる収益を得ている場合があります
