「データはGoogle Driveに入っているから大丈夫」——中小企業のIT相談で頻繁に聞く言葉ですが、これはバックアップではなく「同期」です。誤って削除したファイルやランサムウェアで暗号化されたファイルは、同期によってクラウド側にもそのまま反映されます。つまり、クラウドストレージを使っているだけでは、データ消失への備えにはなっていません。

IPA(情報処理推進機構)の「情報セキュリティ10大脅威 2025」では、組織向け脅威の1位が10年連続で「ランサムウェアによる被害」でした。警察庁の統計でも、被害企業の半数以上が中小企業です。攻撃を完全に防ぐことはできない以上、「やられても戻せる」状態を作ることが現実的な防衛線になります。

この記事では、中小企業が自社で設計・運用できるバックアップの考え方を、3-2-1ルール・バックアップ先の選び方・運用ルールの3段階で解説します。専任のIT担当者がいない会社でも回せる内容に絞っています。


なぜ「クラウドに保存してあるだけ」では足りないのか

バックアップと同期は別物

Google DriveやOneDrive、Dropboxなどのクラウドストレージは「同期」の仕組みです。手元のファイルを変更すれば、クラウド側も即座に同じ状態になります。便利な反面、次のようなケースでは元データと一緒に失われます。

  • 社員が誤ってフォルダごと削除した(ゴミ箱の保持期間を過ぎると復元不可)
  • ランサムウェアに感染し、暗号化されたファイルがそのまま同期された
  • 退職者がアカウント削除前にデータを消した
  • アカウント乗っ取りで第三者にデータを削除・持ち出しされた

バックアップとは「ある時点のデータの複製を、元データと切り離して保管すること」です。同期とは目的が違うため、クラウドストレージを使っていてもバックアップは別途必要です。クラウドストレージ自体の選び方はGoogle Drive・OneDrive・Dropboxの比較記事で解説しています。

中小企業で実際に起きるデータ消失の原因

データ消失というとサイバー攻撃を想像しがちですが、実際の相談現場で多いのは地味な原因です。発生頻度の高い順に並べると、(1)人為的ミス(誤削除・上書き)、(2)ハードウェア故障(特に5年以上使ったNASやHDD)、(3)ランサムウェア感染、(4)災害・盗難、という順になります。設計時は「派手な脅威」ではなく「頻度の高い脅威」から守るのが原則です。


バックアップ設計の基本——3-2-1ルール

3-2-1ルールとは

バックアップ設計の世界標準が「3-2-1ルール」です。米国のCISA(サイバーセキュリティ・インフラセキュリティ庁)も推奨している考え方で、内容はシンプルです。

  • 3:データのコピーを3つ持つ(原本+バックアップ2つ)
  • 2:2種類の異なる媒体に保存する(例:NASとクラウド)
  • 1:1つはオフサイト(社外・遠隔地)に置く

たとえば「業務PCの原本+社内NASへの日次バックアップ+クラウドバックアップサービスへの週次バックアップ」という構成なら、3-2-1を満たします。社内NASだけにバックアップしている会社は多いですが、それでは火災・盗難・ランサムウェアの横展開に対応できません。オフサイトの1つが効いてきます。

RPOとRTO——「どこまで戻れればいいか」を先に決める

ツール選定の前に決めるべき数字が2つあります。

  • RPO(目標復旧時点):何時間前のデータまで戻れれば業務が成立するか。RPOが24時間なら日次バックアップで足り、1時間なら リアルタイムに近い仕組みが必要です
  • RTO(目標復旧時間):障害発生から何時間で業務を再開する必要があるか。RTOが短いほど、復元の速い(=高価な)仕組みが要ります

中小企業の実務では「RPO24時間・RTO3営業日」あたりが費用対効果のバランス点になることが多いです。受注データや会計データなど止まると致命的なものだけRPOを短くし、それ以外は日次で十分、という濃淡をつけるとコストを抑えられます。


バックアップ先の選び方——コストと復旧速度で比較

主な選択肢の比較

中小企業が現実的に選べるバックアップ先は次の3つです。

項目

外付けHDD

NAS

クラウドバックアップ

初期費用

1〜2万円

5〜15万円

ほぼ0円

月額費用

なし

なし

1TBあたり1,000〜3,000円程度

復旧速度

速い

速い

回線速度に依存(遅い)

オフサイト要件

持ち出せば可(手動)

満たさない

満たす

ランサムウェア耐性

接続時は脆弱

常時接続だと脆弱

世代管理があれば強い

向いている用途

個人・小規模の補助

日常の1次バックアップ

オフサイトの2次バックアップ

結論としては「NAS+クラウドバックアップ」の二段構えが定番です。日常の復元(誤削除したファイルを戻すなど)は高速なNASから、災害やランサムウェアからの全面復旧はクラウドから、と役割を分けます。クラウドバックアップは、Synology NASなら標準機能のHyper Backup+C2 Storage、Windowsサーバー環境ならAOSBOX BusinessやArcserve UDP Cloud Directなどが中小企業でよく使われています。

ランサムウェア対策——世代管理とイミュータブル

ランサムウェア対策として重要なのは「世代管理」です。最新のバックアップ1つだけだと、暗号化されたデータでバックアップが上書きされて終わりです。最低でも30日分、できれば90日分の世代を保持し、感染前の時点に戻れるようにします。

加えて、近年のランサムウェアはバックアップ先を探して暗号化・削除を試みます。これに対抗するのが「イミュータブル(変更不可)バックアップ」で、一度書き込んだデータを保持期間中は誰も削除・変更できなくする仕組みです。Synology C2やWasabi、AWS S3のオブジェクトロックなどで設定できます。バックアップはセキュリティ対策全体の一部なので、中小企業が最低限やるべきセキュリティ対策と合わせて設計してください。


運用ルールの作り方——設計して終わりにしない

文書化しておくべき5項目

バックアップが失敗する原因の多くは技術ではなく運用です。次の5項目をA4一枚でいいので文書化し、担当者が不在でも誰かが対応できる状態にします。

  1. 対象データ:何をバックアップするか(ファイルサーバー、会計データ、メール、SaaS上のデータなど)。「全部」は費用がかさむため、業務影響度で優先順位をつける
  2. 頻度と保持世代:日次か週次か、何世代残すか
  3. 担当者と代行者:失敗通知を誰が受け取り、誰が対応するか
  4. 失敗時の対応手順:通知を確認したら何をするか
  5. 復元手順:「どの画面でどのボタンを押すか」レベルまで具体的に

見落としがちなのがSaaS上のデータです。Microsoft 365やGoogle Workspaceの削除済みデータの標準保持期間は限定的で、kintoneやfreeeなどの業務SaaSも「過去の任意時点に戻す」ことは基本的にできません。重要なSaaSデータは定期エクスポートか専用バックアップサービス(AvePoint、Dropsuiteなど)でカバーします。

復元テストを年2回実施する

「バックアップは取れていたのに復元できなかった」は実際によくある事故です。バックアップジョブの成功通知は「コピーが実行された」ことしか保証しません。破損したデータを延々とバックアップし続けていた、復元手順を誰も知らなかった、というケースを防ぐには、実際に復元してみるしかありません。

推奨は年2回、適当なファイルやフォルダを選んで実際に復元し、(1)復元できたか、(2)所要時間はRTO内か、(3)手順書どおりに進められたか、を確認することです。1回30分程度の作業で、いざという時の確実性が大きく変わります。


まとめ:バックアップは「3-2-1+世代管理+復元テスト」で設計する

クラウドストレージの同期はバックアップではありません。原本含めコピー3つ・媒体2種類・オフサイト1つの「3-2-1ルール」を土台に、NAS+クラウドの二段構えで構成するのが中小企業の定番です。ランサムウェアに備えて30〜90日の世代管理を行い、年2回の復元テストで「本当に戻せるか」を確認する。ここまでやって初めて、万が一の日に事業を継続できる備えになります。


よくある質問

Q. バックアップの費用はどのくらいかかりますか?

A. 社員20名・データ2TB程度の会社なら、NAS本体が10万円前後(5年使えば月2,000円弱)、クラウドバックアップが月3,000〜6,000円程度が目安です。月1万円以内で3-2-1構成を組める規模感です。

Q. Google WorkspaceやMicrosoft 365を使っていればバックアップは不要ですか?

A. 不要ではありません。これらは同期・共有の仕組みであり、誤削除やランサムウェアによる暗号化はクラウド側にも反映されます。ゴミ箱や版管理の保持期間にも上限があるため、重要データは別途バックアップが必要です。

Q. バックアップの頻度はどのくらいが適切ですか?

A. 一般的な業務データなら日次(夜間自動実行)が標準です。受注・会計など損失影響の大きいデータは数時間ごと、変更頻度の低いアーカイブは週次など、データの重要度に応じて濃淡をつけるとコストを抑えられます。

Q. 外付けHDDへの手動バックアップではだめですか?

A. 「手動」が最大の弱点です。担当者の多忙や退職で確実に止まります。最低でもバックアップソフトやNASのスケジュール機能で自動化し、失敗時に通知が飛ぶようにしてください。手動運用は補助的な位置づけに留めるのが安全です。


バックアップ設計は、自社のデータ量・業務の止められない度合い・予算によって最適解が変わります。「今の構成で本当に戻せるのか不安」「何から手をつければいいかわからない」という方は、30分の無料相談でご状況を聞かせてください。現在の環境を踏まえて、無理のない構成と運用ルールをご提案します。