3-2-1バックアップ戦略とは？例とベストプラクティス

3-2-1バックアップ戦略とは何か

3-2-1バックアップ戦略（3-2-1バックアップルールとも呼ばれる）は、データ保護のフレームワークであり、3つのルールに基づいて構築されています。すなわち、データのコピーを3つ保持し、2種類の異なるメディアに保存し、1つのコピーをオフサイトに保管するというものです。Peter Kroghは『The DAM Book: Digital Asset Management for Photographers』（O'Reilly Media, 2009）でこの概念を体系化し、既存のベストプラクティスを記憶しやすく実践的なフレームワークにまとめました。CISAのバックアップガイドではこれが標準的なバックアップ基準として引用されており、NIST CSFもコントロールPR.DS-11「データのバックアップが作成、保護、維持、テストされている」によりその原則を強調しています。

このフレームワークはITではなく写真業界で生まれたものであり、その技術に依存しない普遍性を示しています。しかし、普遍性にも限界があります。従来の3-2-1はハードウェア障害や拠点災害を想定して設計されており、バックアップインフラへの攻撃を想定していませんでした。現在ではランサムウェアの攻撃者がまずバックアップを狙い、復旧手段を破壊してから身代金を要求します。この変化により、実装前に理解しておくべき現代的なバリエーションが生まれています。

3-2-1バックアップ戦略とサイバーセキュリティの関係

バックアップ戦略はかつてIT運用の領域でしたが、ランサムウェアによってセキュリティチームの課題となりました。

NIST SP 800-209は、ランサムウェアがNASやバックアップアプライアンスなど他のストレージコンポーネントにも拡大し、認証情報の窃取、権限昇格、データの破損・喪失・改ざん、将来のバックアップの侵害を可能にしていると明示的に警告しています。攻撃者がバックアップインフラを侵害した場合、3-2-1戦略が復旧可能なインシデントと長期停止の分かれ目となります。

Beast ランサムウェアレポートでは、バックアップ破壊技術がランサムウェアエコシステム内で共有される意図的な手法として報告されています。バックアップはもはや安全網ではなく、主要な攻撃対象であり、バックアップ戦略自体がセキュリティコントロールとなっています。フレームワークの各要素を理解することが防御の第一歩です。

3-2-1バックアップ戦略の主要構成要素

3-2-1フレームワークの各要素は、特定の障害モードに対応しています。 CISAのバックアップオプションガイドおよび NCCoEバックアップ基準では、以下の3つが正式に定義されています。

• データの3つのコピー（1つのプライマリ＋2つのバックアップ） すべてのシナリオで単一障害点を排除します。1つのバックアップが破損または削除されても、2つ目の独立したコピーが残ります。これが基本的な冗長性です。
• 2種類の異なるメディア 異なるストレージ技術（ディスクアレイとクラウドオブジェクトストレージ、SSDとテープなど）にコピーを保存します。RAIDアレイの障害はテープライブラリには影響しません。クラウドプロバイダーの障害もオンプレミスストレージには影響しません。メディアの多様性は技術固有の大規模障害から守ります。
• 1つのオフサイトコピー 少なくとも1つのコピーは、プライマリサイトとは地理的に分離された場所に保管します。火災、洪水、物理的な盗難、またはネットワークを横断して拡散するランサムウェアは、単一拠点のすべてを破壊する可能性があります。地理的分離がその影響範囲を断ち切ります。

これら3つの要素が基本となりますが、現代の攻撃パターンによって、元のフレームワークでは対応できないギャップが明らかになっています。

現代的なバリエーション：3-2-1だけでは不十分な理由

従来の3-2-1バックアップルールは、障害が偶発的であることを前提としています。現代のランサムウェア攻撃者はバックアップリポジトリを積極的に標的とし、シャドウコピーを削除し、バックアップ管理者の認証情報を侵害します。これに対応する3つのバリエーションがあります。

• 3-2-1-1-0（エンタープライズ標準） 1つのイミュータブルまたはエアギャップコピーと、検証済みリカバリテストによるゼロエラーを追加します。このバリエーションは、現代のバックアップガイダンスでより強力なエンタープライズ手法として広く紹介されています。「0」はバックアップの監視と定期的なリストアテストを要求し、インシデント発生時に破損したバックアップを初めて発見する事態を防ぎます。
• 3-2-1-1（中間的アプローチ） 1つのオフラインまたはイミュータブルコピーを追加しますが、3-2-1-1-0のような必須の検証テストはありません。完全な運用の複雑さを伴わずに、より強力なランサムウェア耐性を必要とするチーム向けの実用的なステップアップです。
• 4-3-2（地理的レジリエンス重視） 3拠点に4つのコピーを保持し、2つのコピーを別々のネットワーク上のオフサイトに保存します。このバリエーションは地理的分散と複数の復旧経路による事業継続性を重視し、3-2-1-1-0のイミュータビリティ重視とは異なります。

どのバリエーションを選択するかは、リスクプロファイルと運用成熟度によって異なります。次のセクションでは、実際の実装方法を解説します。

3-2-1バックアップ戦略のアーキテクチャ

実装はストレージアーキテクチャ、保護コントロール、検証プロセスの3層にまたがります。

• レイヤー1：ストレージアーキテクチャ 本番環境にプライマリデータを配置し、迅速な復旧のためにローカルまたはネットワーク接続ストレージに1次バックアップ、地理的に分離した場所に2次バックアップを配置します。各層は異なる復旧シナリオに対応します。ローカルバックアップは個別ファイルの迅速な復元、オフサイトバックアップは拠点レベルの災害からの復旧を担います。
• レイヤー2：保護コントロール 各コピーには独立したアクセス制御が必要です。 CISAのランサムウェアガイドによれば、現代のランサムウェア攻撃者は「バックアップスナップショットの削除、バックアップリポジトリの暗号化、バックアップソフトウェアの無効化、侵害された認証情報を用いたクラウドバックアップシステムへのアクセス」を試みます。すべてのバックアップ拠点で認証情報を共有していると、1つのアカウントが侵害されただけで全コピーに攻撃者がアクセスできてしまいます。

3-2-1-1-0の実装では、イミュータブルコピーに保持期間中の変更・削除を防ぐリテンションロックを使用します。エアギャップコピーは、物理的または論理的なネットワーク分離と、データ転送時にギャップを橋渡しする厳格なプロセスコントロールが必要です。

• レイヤー3：検証 CISAの防御ガイダンスでは、少なくとも7日分の業務をカバーするデータの復元ができることを検証するよう推奨しています。月次のファイルリストア検証、四半期ごとのアプリケーションレベルの復旧テスト、年次の全環境フェイルオーバー演習が実用的なテストサイクルとなります。3-2-1-1-0の「0」は、テストされていないバックアップが危機時に信頼できる復旧手段とならないことを意味します。

SentinelOneのSingularity Platformは、ここに補完的な防御レイヤーを追加します。保護対象エンドポイント上の操作を行動AIが継続的に追跡し、 ランサムウェアロールバック復旧によって感染前の状態に戻すことが可能です。エージェントは、ランサムウェアが暗号化開始前に削除を試みることが多いWindows Volume Shadow Copy Service（VSS）インフラも保護します。

実装レイヤーが整ったら、次は戦略を実践に移す段階です。

3-2-1バックアップ戦略の実装方法

コンセプトから本番運用への移行には、構造化された展開が必要です。以下のステップは、スコープ設定から検証までの実践的な実装手順を示します。

ステップ1：重要データの特定と分類

まず、組織の運用に不可欠なデータを棚卸しします。これには本番データベース、アプリケーション設定、 認証情報、暗号鍵、復旧ドキュメントが含まれます。データを業務の重要度で分類し、それぞれに適切なバックアップ頻度と保持期間を割り当てます。すべてが毎時スナップショットを必要とするわけではありません。バックアップ頻度を実際の RTOおよびRPO要件に合わせることで、過剰なリソース消費やギャップを防ぎます。

ステップ2：2種類の異なるストレージメディアの選定

独立した障害モードを持つ2つのストレージ技術を選択します。一般的な組み合わせは以下の通りです。

• ローカルディスクまたはNAS＋クラウドオブジェクトストレージ：迅速なローカル復旧とクラウドによる地理的分離
• SSD＋テープ（WORM）: 高速なプライマリバックアップと物理的にオフラインのセカンダリコピー
• オンプレミスアレイ＋2つ目のクラウドプロバイダー：単一ベンダーの侵害に対するマルチクラウド冗長性

目的は、ハードウェア、ソフトウェア、認証情報ベースの障害が一方のメディアに影響しても、もう一方には及ばないようにすることです。

ステップ3：オフサイトコピーの確立

オフサイトコピーは、プライマリサイトから地理的かつ論理的に分離されている必要があります。クラウドバックアップを別リージョンや別プロバイダーに設定することで、この要件を満たせますが、リアルタイム同期ではなく、真のスケジュールバックアップである必要があります。3-2-1-1-0を目指す組織では、ここで イミュータブルストレージのリテンションロックと独立したアクセス認証情報を設定します。

ステップ4：自動化と監視

手動のバックアッププロセスは運用負荷下で失敗します。バックアップスケジューリング、保持ポリシーの強制、ジョブ失敗時のアラートを自動化します。バックアップボリューム上の異常（予期しない暗号化活動、大量のファイル変更、バックアップ以外のアカウントからのアクセスなど）を監視します。 CISAのランサムウェアガイドは、攻撃者がバックアップソフトウェアや認証情報を標的とすることを特に警告しており、バックアップインフラの監視は本番システムと同等に重要です。

ステップ5：リストアテストと結果の記録

一度もリストアされていないバックアップは、コントロールではなく仮定に過ぎません。月次のファイルレベルリストア、四半期ごとのアプリケーション復旧テスト、年次の全環境フェイルオーバーを実施します。各テストから実際の復旧時間を記録し、RTO目標が推定値ではなく現実を反映するようにします。

実装が機能すれば、偶発的・敵対的なデータ損失シナリオの両方に対して、組織に具体的な利点をもたらします。

3-2-1バックアップ戦略の主な利点

適切に実装された3-2-1バックアップ戦略は、復旧、コンプライアンス、運用レジリエンスの各面で測定可能な利点をもたらします。

• 身代金支払い不要のランサムウェア復旧： 適切なバックアップアーキテクチャを持つ組織は、攻撃者に依存せず暗号化データを復旧できる可能性が高まります。検証済みバックアップは、攻撃者の協力に頼らない復旧経路を提供します。
• インフラ侵害に対する多層防御： オンプレミスとクラウドストレージを組み合わせたハイブリッドバックアップアーキテクチャは、一方の環境が完全に侵害されても復旧能力を維持します。オンプレミスバックアップは一般的なインシデントに迅速対応し、クラウドバックアップは災害時の地理的分離を提供します。
• コンプライアンスおよび監査対応： 3-2-1構造は NIST CSFに直接対応し、基本的なデータ保護要件をサポートします。この対応により、監査準備やコンプライアンス報告が容易になります。
• クラウドベンダーロックインの低減： マルチクラウドバックアップアーキテクチャは、単一プロバイダーのセキュリティインシデントへの曝露を減らします。 CISAのバックアップガイドは、1つのベンダー配下のすべてのアカウントが影響を受けるシナリオに備え、マルチクラウドソリューションの利用を推奨しています。
• 分散運用におけるRTO/RPO管理： ローカルコピーの維持により日常的なインシデントへの迅速な復旧が可能となり、オフサイトコピーは大規模災害時の復旧能力を確保します。この階層的アプローチにより、 RTOおよびRPOを実際の業務重要度に合わせて調整でき、すべてのワークロードに単一の復旧基準を適用する必要がなくなります。

これらの利点は、イミュータビリティや検証済み復旧を追加する3-2-1-1-0などの現代的バリエーションと組み合わせることでさらに強化されます。

3-2-1バックアップ戦略の課題と限界

3-2-1フレームワークは強力な基礎的保護を提供しますが、現代環境では限界も明らかになります。

• ランサムウェアはバックアップを積極的に破壊する 最大の制約は敵対的な標的化です。攻撃者は復旧手段を排除するためにバックアップの破損や削除を日常的に試みます。従来の3-2-1はこのパターンに対する特別な防御を提供しません。バックアップが本番システムに接続されたままだと、 インシデントレスポンス開始前に攻撃者に侵害される可能性があります。
• バックアップインフラ自体が攻撃対象となる バックアップツールにも独自の脆弱性があります。 CISA脆弱性速報では、バックアップソフトウェアの認証バイパス脆弱性（CVE-2025-68435）が報告されています。バックアップソフトウェアにも、他のエンタープライズシステムと同様の 脆弱性管理を適用する必要があります。
• クラウド同期はバックアップではない クラウド同期サービスはオフサイトコピー要件を満たしません。常時同期されている場合、ランサムウェアがプライマリデータを暗号化すると両方のデータセットが暗号化されます。この誤解は実際の保護がないまま誤った安心感を生みます。
• イミュータビリティとコンプライアンスの衝突 データ保持や消去要件がイミュータビリティ設定と衝突する場合があります。規制環境でクラウドベースの イミュータブルストレージを導入する前に、保持ロックとデータ保護義務の整合性を法的に確認する必要があります。

これらの限界は管理可能ですが、無視すると攻撃者に悪用されるギャップとなります。戦略自体の制約に加え、実装ミスも追加リスクを生みます。

3-2-1バックアップ戦略でよくあるミス

善意で導入されたバックアップでも、チームがいくつかの典型的なミスを繰り返すと失敗します。これらのミスを避けることで、ランサムウェア攻撃者が依存するギャップを埋めることができます。

• すべてのバックアップ拠点で認証情報を共有する： 1つの認証情報が侵害されると全コピーにアクセスされ、地理的分散の意味がなくなります。バックアップシステムの認証情報は本番環境とは別に管理すべきです。
• ネットワーク接続ストレージを「オフサイト」と見なす： 同じネットワーク上のバックアップサーバーはオフサイトではありません。ランサムウェアが横方向に拡散するとネットワーク隣接ストレージにも到達します。真のネットワークおよび地理的分離が必要であり、それは同じデータセンター内の別サーバーではなく、別施設である必要があります。
• リストアテストを一度も行わない： SANSニュースレターの専門家による批評では、従来の3-2-1コピー戦略はミッションクリティカルなアプリケーションの数時間～数日での復旧を実現しないと指摘されています。完全なリストアを一度もテストしていない場合、バックアップ戦略ではなく希望的観測に過ぎません。
• 増分バックアップのみのチェーン運用： いずれか1つの増分バックアップが破損または削除されると、全体の復元チェーンが壊れます。定期的なフルバックアップがチェーン全体の破綻を防ぎます。
• バックアップアカウントの過剰権限付与：  CISAのバックアップガイドによれば、ドメイン管理者権限を持つバックアップアカウントは高価値ターゲットとなります。ルートアクセスアカウントは日常的なバックアップ運用に使用してはいけません。 ゼロトラスト原則を適用し、最小限の権限のみを付与します。
• バックアップソフトウェアのパッチを無視する： バックアップインフラにも他のソフトウェア同様にCVEが存在します。バックアップ管理コンソールも エンドポイントセキュリティと同等の緊急性でパッチ適用すべきです。
• 復旧に必要な依存情報をバックアップ範囲から除外する： NISTバックアップガイドラインでは、バックアップ計画にパスワード、デジタル証明書、暗号鍵など、迅速な業務再開に必要な情報を含めることが求められています。データのみをバックアップし、復号鍵をバックアップしない場合、バックアップがないのと同じ結果になります。

これらのミスは3-2-1アーキテクチャの実効的な保護を低減させます。以下のベストプラクティスはこれらの課題に直接対応します。

3-2-1バックアップ戦略のベストプラクティス

これら6つの実践により、偶発的障害とバックアップインフラへの意図的攻撃の両方に対して3-2-1実装を強化できます。

1. リテンションロック付きイミュータブルストレージの導入 強化されたバックアップリポジトリには、使い捨て認証情報、無効化されたルートアクセス、不要なプロトコルの削除を適用します。管理サーバーが侵害されても変更が困難なリポジトリを目指します。
2. エアギャップコピーの確立 NISTバックアップガイダンスは、RPOおよびRTO要件を満たす更新間隔でバックアップファイルをオフラインで保護するよう指示しています。物理的エアギャップと論理的分離（厳格なアクセス制御付き）の両方が有効な実装です。
3. すべてを暗号化し、リストア権限を制限 すべてのバックアップデータを保存時・転送時に暗号化します。特に、リストア権限はバックアップ権限より厳格に制限します。攻撃者が書き込み権限を得ても、リストア制御が厳しければデータ抽出を防げます。
4. バックアップインフラの行動監視を実装 SentinelOneのSingularity Platformは、バックアップボリューム上の行動異常をリアルタイムで検知し、バックアップファイルに到達する前にランサムウェアを実行段階で阻止します。
5. オフラインの復旧ドキュメントを維持 NIST IR 8374は、インシデントによりネットワーク内のデジタルコピーにアクセスできなくなる可能性があるため、レスポンス計画をオフラインで保持することを求めています。印刷または暗号化USBに保存した復旧手順書は有効なレジリエンス対策です。
6. メディアとプロバイダーの多様化 ディスク、クラウドオブジェクトストレージ、WORMテープを複数プロバイダーで組み合わせて使用します。WORMテープはデフォルトで物理的にオフラインであるため、依然として有効です。マルチプロバイダー戦略は、単一ベンダーの認証情報侵害への曝露を減らします。

これらの実践を適用することでアーキテクチャが強化されますが、攻撃者の手口を理解することでその重要性が明確になります。実際のインシデントは、攻撃者がバックアップシステムを主要ターゲットとして扱っていることを示しています。

ランサムウェアがバックアップインフラを標的とする方法

バックアップ破壊はランサムウェア攻撃の副産物ではなく、意図的かつ文書化されたフェーズです。以下のインシデントは、攻撃者が実際にバックアップインフラにどのようにアプローチするかを示しています。

• Beastランサムウェア：バックアップ破壊を標準戦術として文書化  Beastランサムウェアレポートでは、ギャングの運用プレイブックにバックアップ標的化の手法が標準手順として記載され、ランサムウェアエコシステム内で公然と共有されていることが明らかになりました。
• 復旧拒否を正式な攻撃フェーズとする  M-Trends 2026レポートでは、攻撃者が爆発前にバックアップシステムのマッピングと侵害により多くの時間を費やしていると報告されています。バックアップリポジトリがネットワークアクセス可能で独立監視されていない場合、その長い猶予期間がバックアップ侵害のリスクを高めます。
• 公共部門の業務停止と復旧圧力  GovTechレジリエンス調査では、ランサムウェアによる公共部門の業務停止や緊急対応への影響が報告されており、サイバーセキュリティへのリーダーシップの強化がより成功した復旧と相関していることが示されています。

これらのインシデントは、バックアップ戦略だけでは不十分であることを再認識させます。レジリエンスとアクティブなエンドポイント防御を組み合わせることで、バックアップがあっても実際に活用できる状態を維持できます。

重要なポイント

3-2-1バックアップ戦略は依然としてデータ保護の基盤であり、ランサムウェアによってIT運用からセキュリティコントロールへとその役割が高まりました。現代の攻撃者はバックアップを主要な標的とするため、イミュータビリティや検証済み復旧テストを備えた3-2-1-1-0のようなバリエーションがエンタープライズレジリエンスにおいてますます重要になっています。

バックアップアーキテクチャに行動AIと自律的なロールバック機能を組み合わせることで、ランサムウェアがバックアップに到達する前に阻止し、被害発生時にも復旧を可能にします。