NASを使ったランサムウェア対策バックアップの構築方法
【中小企業向け】
NASはファイルサーバーの代わりに多くの企業で使われていますが、ランサムウェアの攻撃対象にもなりやすい機器です。正しく設定することで、NASはランサムウェアに対する最も有効な防衛拠点になります。初期費用9万円〜で構築できる具体的な手順を解説します。
この記事でわかること
- なぜ普通のNASバックアップはランサムウェアに狙われるか
- 安全なNASバックアップの3原則(VLAN分離・WORM・世代管理)
- Synology DS423+の特徴(4ベイ・Celeron J4125・実効24TB RAID5)
- NAS専用HDD(IronWolf)の選び方とRAID1・RAID5の比較
- VLAN分離の仕組みと初期費用9万円〜の内訳
なぜNASバックアップがランサムウェアに狙われるか
多くの企業でNASはファイルサーバーと同じネットワークに接続されており、PC・サーバーと同じセグメントに置かれています。ランサムウェアに感染したPCがネットワーク内を探索すると、NASも同じネットワーク上の共有フォルダとして見えてしまい、バックアップデータごと暗号化されます。
見落とされがちな事実
ランサムウェア被害を受けた企業の66%がバックアップも侵害されていたというデータがあります(Veeam調査)。「NASにバックアップしているから安心」という思い込みが、被害を拡大させる最大の原因です。
常時接続されたNASは、ネットワーク上の別のPCからアクセスできる状態にあります。これがランサムウェアに狙われる根本的な原因です。
安全なNASバックアップの3原則
ランサムウェアに対して有効なNASバックアップを構築するための3つの原則があります。この3つをすべて組み合わせることで、非常に強固なバックアップ環境が完成します。
原則1:VLAN分離
バックアップ専用のネットワークセグメントにNASを置き、通常のPC・サーバーからは直接アクセスできないようにします。感染したPCがNASに到達できなくなります。
原則2:WORM(イミュータブル)設定
バックアップデータに書き換え不可のロックをかけ、ランサムウェアが暗号化できないようにします。管理者権限を奪われても、ロック中のデータは保護されます。
原則3:世代管理
日次7世代・週次4世代・月次12世代の複数世代のバックアップを保持し、感染前の状態に確実に戻れるようにします。潜伏期間21〜45日のランサムウェアにも対応できます。
Synology DS423+の特徴と仕様
中小企業のバックアップ専用NASとして、弊社が多くの現場で採用しているのがSynology DS423+です。
| 仕様項目 | DS423+の内容 |
|---|---|
| ベイ数 | 4ベイ(HDD4本搭載可能) |
| プロセッサ | Intel Celeron J4125(4コア2.0GHz) |
| メモリ | 4GB DDR4(最大32GBまで拡張可能) |
| 実効容量 | RAID5構成で約18TB(6TB×4本)〜約24TB(8TB×4本) |
| OS | Synology DSM(WORM・スナップショット・Hyper Backupが標準搭載) |
| 本体価格目安 | 約5万円 |
DSM(Synologyの独自OS)は管理画面がわかりやすく、IT専任担当がいない中小企業でも運用しやすいのが特徴です。WORM・スナップショット・バックアップ機能がすべて標準搭載されており、追加ソフトウェアの購入が不要です。
NAS専用HDDの選び方:IronWolfを推奨する理由
NASに使用するHDDは、NAS専用ドライブを必ず使用してください。一般的なデスクトップ用HDDをNASに使うと、24時間稼働に対応していないため早期故障の原因になります。
おすすめはSeagate「IronWolf」シリーズです。
- NAS向けに最適化された振動補正(RVセンサー搭載)でマルチドライブ環境でも安定稼働
- 24時間365日稼働対応(MTBF 100万時間以上)
- 3年保証(IronWolf Proは5年保証)
- IronWolf Health Managementで健全性を事前監視
WD「Red Plus」シリーズも同様にNAS専用ドライブとして定評があります。どちらも8TBモデルが1本約2万円が目安です。
RAID1とRAID5の比較:どちらを選ぶか
| 項目 | RAID1(ミラーリング) | RAID5(パリティ) |
|---|---|---|
| 最低ドライブ数 | 2本 | 3本以上(推奨4本) |
| 実効容量 | 1本分(50%の効率) | (n-1)本分(約75%の効率) |
| 故障耐性 | 1本故障まで耐えられる | 1本故障まで耐えられる |
| コスト(8TB×本数) | 約4万円(2本) | 約8万円(4本) |
| 実効容量(8TB×本数) | 約8TB | 約24TB |
| おすすめ用途 | 小規模(〜10TB)・低予算スタート | 中規模(10TB〜)・容量効率重視 |
重要:RAIDはランサムウェア対策にはなりません。RAIDはHDD故障への備えであり、ランサムウェアに感染した場合はRAID1でもRAID5でも同時に暗号化されます。WORMと世代管理が必須です。
VLAN分離の仕組み:なぜ分けるとランサムウェアを防げるか
VLAN(仮想LAN)を使ってバックアップNASを業務ネットワークから分離することで、ランサムウェアに感染したPCがNASに直接アクセスできなくなります。
VLAN分離の構成イメージ
【業務VLAN(VLAN10)】
PC・ファイルサーバー・プリンター
↓ バックアップジョブのみ許可(特定IPとポート)
↓ 直接アクセスはファイアウォールでブロック
【バックアップVLAN(VLAN20)】
バックアップNAS(Synology DS423+)のみ
このVLAN分離により、ランサムウェアが業務ネットワーク内を暴れ回っても、バックアップNASには到達できません。VLAN対応のスイッチングハブ(約2〜5万円)が必要ですが、最も効果的な防御策の一つです。
初期費用の目安:9万円〜の内訳
| 機器・作業 | 最小構成(RAID1) | 推奨構成(RAID5) |
|---|---|---|
| Synology DS423+本体 | 約5万円 | 約5万円 |
| IronWolf HDD | 8TB×2本:約4万円 | 8TB×4本:約8万円 |
| VLANスイッチ | 約2〜5万円 | 約2〜5万円 |
| 設定・構築費用 | 5〜15万円 | 5〜15万円 |
| 合計目安 | 約16〜29万円 | 約20〜33万円 |
HDD2本のRAID1最小構成で本体込み約9万円(機器のみ)から始められます。設定費用を除いた機器代だけであれば、RAID5フル構成でも約13万円程度です。クラウドバックアップと組み合わせることで、より堅牢な3-2-1バックアップ構成も実現できます。
まとめ
NASを安全なバックアップ環境にするためには、VLAN分離・WORM設定・世代管理の3原則が必須です。Synology DS423+はこの3原則をすべて実装できる中小企業向けの最適解で、HDD2本の最小構成から約9万円(機器代)で始められます。「NASにバックアップしているから安心」ではなく、3原則を満たした構成が本当の安心です。
エントリー株式会社では、ランサムウェア対策バックアップサービスとして機器の選定から設定・運用まで一括でご支援しています。まず現状の確認から始めたい方も、無料相談はこちらからお気軽にどうぞ。
よくある質問(FAQ)
Q. NASとクラウドバックアップはどちらがいい?
それぞれに利点があり、両方を組み合わせるのが理想です。NASはイニシャルコストがかかりますが大容量データを低コストで保管でき、復元速度が速いです。クラウドはどこからでもアクセス可能で物理障害に強いですが、大量データの復元に時間がかかります。3-2-1ルールに基づき、NAS+クラウドの組み合わせを推奨します。
Q. RAID1があればバックアップ不要?
いいえ、RAIDはバックアップの代わりにはなりません。RAIDはHDDの物理故障に備えるための冗長化技術です。ランサムウェアに感染した場合、RAID1でもRAID5でも両方のドライブのデータが同時に暗号化されます。誤削除した場合も両方から削除されます。RAIDとは別にバックアップが必ず必要です。
Q. NASのWORM設定は難しい?
Synology NASであれば、管理画面(DSM)からGUIで設定できます。共有フォルダの作成時に「WORMを有効化」を選択し、ロック期間を設定するだけです。ただし、一度WORMを有効化したフォルダは設定変更に制限があるため、最初の設計が重要です。IT専任担当がいない場合は専門業者への相談を推奨します。
Q. 停電時のデータは守られる?
突然の停電はNASのデータ破損リスクになります。UPS(無停電電源装置)を接続することで、停電時にNASを安全にシャットダウンできます。Synology NASはUPS連携機能を標準搭載しており、APC等のUPSと接続することで自動シャットダウンが可能です。UPSの費用は1万円台から購入できます。
Q. 何社分のデータを保管できる?
Synology DS423+にIronWolf 8TB×4本のRAID5構成で実効約24TBの容量を確保できます。中小企業1社のバックアップデータが1〜5TB程度であることが多いため、1台のNASで複数社分のデータを保管することも可能です。ただしセキュリティ上、企業ごとにアクセス制限を設けることが重要です。