イミュータブルバックアップとは?
WORM技術でランサムウェアを無力化する最強対策
バックアップを取っていても、ランサムウェアに感染するとバックアップデータまで暗号化されてしまうケースが66%にのぼります。これを根本的に防ぐのが「イミュータブルバックアップ」です。WORM技術の仕組みと導入方法を詳しく解説します。
この記事でわかること
- イミュータブル(書き換え不可)の意味と仕組み
- WORM(Write Once Read Many)技術の詳細
- 重要ポイント:ロック中でも復元(読み取り)は自由にできる
- ロック期間が過ぎた後の運用フロー
- AWS S3 Object Lock・Azure Blob・Synology NASの導入方法と月額費用
イミュータブルとは「書き換え不可」——ランサムウェアが手を出せない状態
「イミュータブル(Immutable)」は英語で「変更できない・不変の」という意味です。イミュータブルバックアップとは、一度書き込んだデータを指定した期間中は一切変更・削除できないようにしたバックアップのことです。
通常のバックアップは、上書き・削除・暗号化が可能です。そのため、管理者権限を奪ったランサムウェアがバックアップフォルダにアクセスし、バックアップデータごと暗号化するという攻撃が現実に起きています。
深刻な実態
Veeamの調査では、ランサムウェア被害を受けた企業の66%がバックアップも侵害されていました。「バックアップがあるから安心」では対策として不十分です。
イミュータブルバックアップは、この攻撃を物理的に不可能にします。
WORM(Write Once Read Many)技術とは何か
イミュータブルバックアップを実現する技術が「WORM(Write Once Read Many)」です。直訳すると「一度だけ書き込み、何度でも読み込み可能」という意味です。
WORMが有効なストレージに書き込まれたデータは、設定したロック期間中は以下の操作がすべてブロックされます。
- 上書き・変更
- 削除
- 暗号化(ランサムウェアによる暗号化も含む)
- 管理者権限(root・Administrator)による操作も無効化
特に重要なのは「管理者権限でも変更できない」という点です。ランサムウェアが管理者権限を奪取しても、WORMロック中のデータには手が出せません。
重要ポイント:ロック中でも「復元(読み取り)は自由」
「書き換え不可にしたら、復元もできないのでは?」という誤解をよく聞きます。WORMのロックは「書き込み・変更・削除」を禁止するだけで、読み取りや復元は自由に行えます。
WORMロック中にできること・できないこと
できること
- ファイルの読み取り
- バックアップからの復元
- 新しいデータの書き込み(別ファイル)
できないこと
- 既存ファイルの上書き
- ファイルの削除
- ファイルの暗号化
ランサムウェアに感染した場合でも、WORMロック中のバックアップデータを読み取り、感染前の状態にシステムを復元することができます。これがイミュータブルバックアップの最大の利点です。
ロック期間が過ぎたらどうなる?運用フロー
設定したロック期間(例:30日・90日)が過ぎると、そのスナップショットのロックは解除されます。解除後は通常の上書き可能な状態になり、新しいバックアップデータで更新されていきます。
一般的な運用フロー
- 毎日バックアップを取得(自動)
- 取得と同時に90日間のWORMロックを自動適用
- ロック期間中:上書き・削除・暗号化から保護
- 90日後:ロック解除 → 古いバックアップは自動削除または上書き
- 新しいバックアップが継続して保護される
ロック期間は用途に応じて設定します。ランサムウェア対策なら30〜90日、法的・コンプライアンス要件がある場合は1〜7年のロックを設定するケースもあります。
通常バックアップとイミュータブルバックアップの比較
| 比較項目 | 通常バックアップ | イミュータブルバックアップ |
|---|---|---|
| ランサムウェアによる暗号化 | 可能(被害に遭う) | 不可能(保護される) |
| 管理者による削除 | 可能 | ロック期間中は不可 |
| 復元(読み取り) | 可能 | 可能(制限なし) |
| 内部不正対策 | 弱い | 有効 |
| コスト | 低い | やや高い(NASは初期投資) |
| 設定の複雑さ | シンプル | やや複雑(専門知識推奨) |
主なサービス・プラットフォームと導入方法
Synology NAS の WORM 機能(オンプレミス)
Synology DSM(NASのOS)には、共有フォルダ単位でWORMを有効化できる機能が標準搭載されています。ロック期間や自動ロックの設定が管理画面から簡単に行えます。データを社内に保管したい中小企業に最適です。
AWS S3 Object Lock(クラウド)
Amazon S3のオブジェクトロック機能を使うと、S3バケット内のファイルにWORMを適用できます。「Governance mode(管理者は解除可能)」と「Compliance mode(誰も解除できない)」の2種類から選べます。バックアップソフトとS3を組み合わせるクラウドバックアップ構成に向いています。
Azure Blob 不変ストレージ(クラウド)
Microsoft Azureでは、Blob Storageの「不変ストレージポリシー」でWORMを実現できます。時間ベースの保持ポリシーと訴訟ホールドの2種類があります。Microsoft 365バックアップをAzureに保存する構成と相性が良いです。
月額費用の目安
イミュータブルバックアップの費用は、選択するプラットフォームによって異なります。
| サービス | 初期費用 | 月額費用(1TBあたり) |
|---|---|---|
| Synology NAS(オンプレミス) | 5〜15万円(本体+HDD) | なし(電気代のみ) |
| AWS S3 Object Lock | なし | 約3,000円(東京リージョン) |
| Azure Blob 不変ストレージ | なし | 約2,500〜3,500円(LRS) |
中小企業でまずはじめるなら、初期費用9万円程度から構築できるSynology NASがコスト効率の良い選択肢です。クラウドと組み合わせた3-2-1バックアップ構成も可能です。
まとめ
イミュータブルバックアップはWORM技術を活用した「書き換え不可」のバックアップです。ランサムウェアが管理者権限を奪っても、ロック期間中のデータは暗号化・削除が物理的に不可能です。復元(読み取り)は自由に行えるため、被害を受けても確実にデータを取り戻せます。バックアップ侵害66%という現実への最も有効な答えです。
エントリー株式会社では、ランサムウェア対策バックアップサービスとしてWORM設定を含むイミュータブルバックアップの導入を支援しています。詳しくは無料相談はこちらからお気軽にご連絡ください。
よくある質問(FAQ)
Q. ロック中のデータは復元できる?
はい、ロック中でも復元(読み取り)は自由に行えます。WORMのロックは「書き込み・変更・削除」を禁止するだけで、読み取りや復元には一切制限がありません。ランサムウェアに感染した場合でも、ロック中のバックアップからいつでも復元できます。
Q. ロック期間はどのくらいが適切?
ランサムウェア対策を目的とする場合は30〜90日が一般的です。ランサムウェアの平均潜伏期間が21〜45日のため、最低でも60日以上を推奨します。法的・コンプライアンス要件がある場合は1〜7年のロックを設定するケースもあります。
Q. イミュータブルバックアップはランサムウェアに100%有効?
イミュータブルバックアップ(WORM)は、バックアップデータ自体の暗号化・削除を物理的に防ぎます。ただし、元データ(業務システム・PCのデータ)はランサムウェアに暗号化される可能性があります。あくまで「確実に復元できる手段」であり、EDR/XDRなどの侵入防止対策と組み合わせることが重要です。
Q. 既存のバックアップシステムに追加できる?
はい、多くの場合既存のバックアップシステムに追加する形で導入できます。Synology NASであれば既存のNASに共有フォルダを追加してWORMを有効化、AWS S3であれば新しいバケットを作成してObject Lockを有効化するだけです。既存の環境を大きく変えずに導入できます。
Q. 費用はどのくらい?
Synology NAS(オンプレミス)の場合、初期費用5〜15万円程度(本体+HDD)で月額追加費用なし。AWS S3 Object Lockは1TBあたり月額約3,000円(東京リージョン)。Azure Blob不変ストレージは1TBあたり月額約2,500〜3,500円(LRS)が目安です。
Q. 中小企業でも導入できる?
はい、Synology NASを使ったオンプレミス型であれば、初期費用9万円程度から導入でき、IT専任担当がいない中小企業でも管理画面から設定できます。クラウド型(AWS S3など)はストレージ容量に応じた従量課金のため、小規模なデータ量であれば月額数百円〜数千円程度で利用できます。