スナップショットと世代管理とは?
ランサムウェアから会社を守る仕組みを解説
ランサムウェアは感染後すぐに暗号化を始めるわけではなく、平均21〜45日間潜伏してから活動を開始します。スナップショットと世代管理を組み合わせることで、感染前の状態に確実に戻すことができます。
この記事でわかること
- スナップショットとバックアップの違い・特徴
- 世代管理とは何か・なぜランサムウェアに有効か
- 推奨世代数(日次7世代・週次4世代・月次12世代)の根拠
- Synology NASでの具体的なスナップショット設定方法
- 容量への影響(8TBで1%変更時の計算例)と費用の目安
スナップショットとは?データの「ある時点の写真」を撮る技術
スナップショットとは、ある特定の時点におけるデータの状態を記録したものです。カメラで写真を撮るように、その瞬間のファイルやフォルダの状態を記録します。
通常のバックアップがデータを丸ごとコピーするのに対し、スナップショットは変更された差分のみを記録します。そのため取得時間が数秒〜数分と短く、業務への影響がほとんどありません。
スナップショットの特徴
- 取得時間:数秒〜数分(フルバックアップの1/10以下)
- 保存方式:差分のみ保存(容量効率が高い)
- 復元速度:高速(同一ストレージ上のため)
- 保存場所:元データと同じストレージ上
NASやストレージ装置の機能として内蔵されているため、別途バックアップソフトを購入する必要がないケースも多く、中小企業でもコストを抑えて導入できるのが利点です。
世代管理とは?複数時点のスナップショットを保持する仕組み
世代管理とは、スナップショットを複数の時点で保持し続ける仕組みです。「昨日」「3日前」「1週間前」「1ヶ月前」といった複数の時点から選んで復元できます。
スナップショットを1つだけ保存していても、そのスナップショット自体がすでに感染後に取得されたものだった場合は意味がありません。世代管理では複数の「過去時点」を保持するため、感染前の健全な状態を選んで復元できます。
なぜ世代管理がランサムウェア対策に不可欠なのか
ランサムウェアの最も危険な特徴は「潜伏期間」です。感染してもすぐには暗号化せず、組織内のネットワークを静かに横断しながら、最適なタイミングを待ちます。
知っておくべき重要な統計
- ランサムウェアの平均潜伏期間:21〜45日
- 感染から暗号化までの最長記録:200日以上
- バックアップ自体が侵害されていたケース:66%(Veeam調査)
つまり、直近1週間のバックアップだけでは感染前の状態に戻せない可能性が高いのです。月次12世代(約3ヶ月〜1年分)を保持することで、潜伏期間をカバーできます。
推奨世代数の目安:日次7世代・週次4世代・月次12世代
無制限に世代を保持することはストレージの消費につながります。以下の「GFS方式(グランドファーザー・ファーザー・サン)」が業界標準として広く使われています。
| 取得頻度 | 推奨世代数 | 遡れる期間 | 主な用途 |
|---|---|---|---|
| 日次 | 7世代 | 最大7日前 | 誤削除・軽微な感染 |
| 週次 | 4世代 | 最大4週間前 | 潜伏型ランサムウェア |
| 月次 | 12世代 | 最大12ヶ月前 | 長期潜伏型・監査対応 |
| 合計 | 23世代 | 最大1年前 | あらゆる感染パターンに対応 |
日次・週次・月次の3段階で管理することで、ほぼどのケースにも対応できます。GFS方式はバックアップ設計の基本として、多くのIT標準ガイドラインでも推奨されています。
Synology NASでのスナップショット設定例
Synology NAS(DSM OS)では「Snapshot Replication」パッケージを使って、GUIから簡単に世代管理を設定できます。IT専任担当がいない中小企業でも管理しやすいのが特徴です。
設定手順(概要)
- パッケージセンターから「Snapshot Replication」をインストール
- 対象の共有フォルダを選択
- スケジュール設定:毎日深夜0時・毎週日曜・毎月1日
- 保持世代数:日次7・週次4・月次12をそれぞれ入力
- 「スナップショットの一覧を表示可能にする」を有効化(ユーザーが自己復元できる)
設定後はスナップショット一覧から任意の時点を選び、ファイル単位・フォルダ単位・共有フォルダ全体のいずれでも復元できます。
容量への影響:差分保存で想像より小さい
「世代をたくさん持つと容量がかかるのでは?」という疑問をよく受けます。スナップショットは変更された差分データのみを保存する仕組みのため、容量消費は意外と少なくなります。
計算例:8TBのNASで1日1%のデータが変更される場合
- 1日あたりの差分:8TB × 1% = 約80GB
- 日次7世代分:80GB × 7 = 約560GB
- 週次4世代の差分追加分:約320GB
- 全世代の目安:元データの30〜50%増し程度
8TBのNASであれば、5TB分をデータ、残り3TBをスナップショット領域として運用するのが一般的です。ただし、ランサムウェアに感染した場合はほぼすべてのファイルが「変更」扱いになるため、感染直後のスナップショット取得は停止することが重要です。
まとめ
スナップショットはデータのある時点の状態を差分で保存する技術で、世代管理と組み合わせることでランサムウェアの21〜45日の潜伏期間に対応できます。日次7世代・週次4世代・月次12世代のGFS方式が基本で、8TBのNASなら容量増加は30〜50%程度に抑えられます。
エントリー株式会社では、ランサムウェア対策バックアップサービスとして世代管理付きのバックアップ設計・構築を行っています。現状の確認から始められますので、無料相談はこちらからお気軽にどうぞ。
よくある質問(FAQ)
Q. スナップショットとバックアップの違いは?
スナップショットはある時点のデータ状態を差分で記録する技術で、元データと同じストレージ上に保存されます。バックアップはデータの完全なコピーを別の場所に保存します。スナップショットは高速・省容量ですが物理障害には脆弱なため、ランサムウェア対策には両方の組み合わせが理想です。
Q. 世代数が多いほど良い?
世代数が多いほど古い時点へ戻せる選択肢が増えますが、その分ストレージ容量を消費します。日次7世代・週次4世代・月次12世代(合計23世代)が一般的な推奨値で、約1年前まで遡ることができます。容量と運用コストのバランスを考慮して設定してください。
Q. 何世代持てばランサムウェアに対応できる?
ランサムウェアは平均21〜45日間潜伏してから暗号化を開始すると言われています。最低でも月次12世代(約3ヶ月分)を保持することが推奨されます。感染を検知できなかった場合でも、感染前の時点まで戻せる可能性が高まります。
Q. スナップショットはどこに保存される?
スナップショットは通常、元データと同じストレージ(NASや仮想マシンのディスク)上に差分データとして保存されます。そのためストレージ自体が故障したりランサムウェアに侵害された場合は失われるリスクがあります。重要なデータは別ストレージへのバックアップと組み合わせることが推奨されます。
Q. 費用はどのくらいかかる?
Synology NASの場合、本体(DS423+)が約5万円、HDD(8TB×2本)が約4万円で合計9万円程度から構築できます。世代管理機能(Snapshot Replication)はDSMに標準搭載のため追加費用は不要です。クラウドの場合はAWS S3のバージョニング機能を利用でき、月額数百円〜数千円程度のストレージ費用がかかります。