中小企業のバックアップ対策｜ランサムウェア時代に重要なデータを守る方法

ランサムウェア被害が拡大する現在、中小企業に必要なのは「完全防御」だけではなく、「感染しても復旧できる仕組み」を持つことです。

今回は、OneDriveやGoogle Workspaceを活用したクラウド保存と、SSDなどの外部媒体によるオフラインバックアップを組み合わせた、現実的なデータ保護の考え方について整理します。

皆さん、こんにちは。

前回のニュースレターでは、ランサムウェア被害が広がりの一途をたどっており、中小企業様における対策として、これまで三箇条と言っていたものを五箇条に拡張してご案内しました。

◇前回の記事「中小企業のランサムウェア対策｜被害実態と今すぐできる対策五箇条」（2026/5/12）

改めてその五箇条を再掲すると、次のとおりです。

① アップデートはこまめに

② フィッシングメールにだまされない（不審なリンクをクリックしない）

③ 適切なウイルス対策ツールを利用する

④ 復旧に備えて適切なバックアップを

⑤ 感染したと疑われる場合は直ちにネットワークを遮断（LANケーブルを抜く、またはWi-Fiオフ）

今回はこのうち④のバックアップ対策について、特に中小企業様にとっての方策を具体的に説明したいと思います。

前回記事でも書いたとおり、いまやランサムウェア被害を完全に防ぎ切ることは難しくなっており、万一攻撃を受けた場合でも、初期化によって復旧を図る対策が重要になります。

そのためにも、復元に必要なデータをバックアップしておくための実戦的なポイントを整理しておきましょう。

中小企業のバックアップ対策の基本はクラウド保存

パソコンなどがランサムウェア攻撃を受けると、ネットワークでつながっている機器やデータストレージにも被害が広がることとなります。

なので、被害を受けたと気付いたら、ただちに五箇条の⑤でネットワークを遮断、つまりそのパソコンのLANケーブルを抜く、またはWi-Fiをオフにする必要があります。

このとき、Microsoft365 BusinessのOneDriveやGoogle Workspaceといった法人向けクラウドストレージであれば、ランサムウェアからデータを保護する機能や、ファイルを自動バックアップして世代管理する仕組みが備わっており、万一感染が広がった場合でも過去のデータに遡って復元できる可能性が高くなりますので、まず全てのデータはこうしたクラウドストレージに保存することを強くお勧めします。

個人用のOneDriveやGoogle Driveにもそういった機能は備わっていますが、基本的かつ限定的であり、法人用ライセンスのほうが強力です。

パソコン内のローカルディスクだけにデータ保存しているのは、もっとも危険ですので、やめましょう。

その上で、クラウドなら過去に遡って復元できるといっても、直近のファイルは感染して復元できない場合もありますので、とりわけ重要なデータは、別の外部記憶媒体にバックアップを取って、オフラインで管理しておくのが確実です。

国際的なセキュリティルールでも、データ保管には2つ以上の異なる媒体（つまり、この場合はクラウドとオフライン媒体）を使用し、その一つは物理的に隔離された場所に保管することが推奨されています。

SSDなどの外部媒体を使った重要データのオフライン保存

とりわけ重要なデータだけは、ネットワークにつながらない単独の外部記憶媒体（ハードディスクとかSSD、テープドライブなど）を用意し、物理的に隔離された場所、つまり保管庫などで管理（オフライン管理）しておくようにすべきですが、そうなると一定容量の記憶媒体を用意する必要があり、容量が多くなれば費用が嵩みますし、またバックアップを取る、つまりコピーする時間もかかることになります。

ランサムウェア対策は重要とは言え、それに多額の費用や時間をかけられない中小企業様にとっては、バックアップを取る対象を絞りこみ、必要なものだけを確実に守ることが必要です。

バックアップを取る頻度も重要です。

できれば毎日取るのが理想ですが、状況によっては週1回といった考え方もあるでしょう。

また1回分のバックアップだけを残すのでなく、何回か世代を遡れるようにしておくことも重要です。

このようにバックアップの取り方は、各企業様の状況によって異なりますので、④では「適切なバックアップを」と書きました。

まず各企業様において「業務改革」（BPR）を行い、会社が持っている情報資産を整理し、確実に守るべき重要データは何なのかを明確化することが必要です。

BPRの重要性については、下記のニュースレター記事をぜひ参考にしていただきたいと思います。

◇過去の記事「中小企業DXの前に必要なBPRとは？真の変革のために行うべき業務改革」（2025/6/24）

確実に守るべき情報の一つとして、MicrosoftアカウントやGoogleアカウントのリカバリー情報や、各種クラウドサービスのパスワードなどは、しっかり保全すべき対象です。

いくらクラウドサービスにデータ保存しているといっても、そのクラウドサービス自体にログインできなくなってしまえば意味がありません。

最近ではログインに多要素認証も必須となっていますので、そういった点も含めて、感染したパソコンではない、別の手段で確実にアクセスできるよう、準備しておきましょう。

私が実践しているOneDrive＋SSDバックアップ運用例

参考までに、私の場合のデータバックアップのやり方をご紹介しておきます。

私は個人事業主ですので、私の業務用パソコンと、家庭用兼事業の経理処理等に使用しているパソコンの2台が、同一のWi-Fiにつながっています。

2台のパソコンには、いずれも前回記事で「NGAV対応製品」として紹介したノートン360をインストールしています（未知の脅威の検出など、一定レベルのランサムウェア対策機能をサポート）。

私はMicrosoft365 Business Standardのライセンスを持っているので、データは全て1テラバイトのOneDriveに格納しています。

そしてさらに、外部記憶媒体として1テラバイトのSSDドライブを用意し、パソコンにUSB接続して定期的にバックアップを取り、普段はUSBを外して、保管庫で保管しています。

媒体自体が壊れては元も子もありませんので、安物買いにならないよう、ある程度品質に定評のあるものを選んでいます。

私は、いまアクティブに対応している案件のデータこそが、最も重要なデータであると考え、OneDrive内に「アクティブ業務」というフォルダを作ってまとめ、このフォルダごとSSDにコピーしています。

ついでに家庭用パソコンやスマートフォンのローカルストレージ内の個人ファイルで大事なものも一緒にバックアップしています。

バックアップは基本的に週1回で、2週間分を履歴として残すようにしています。

作業する曜日や時刻を決めてアラームを鳴らし、その時間には必ずバックアップを行うというルーティンにしています。

バックアップ作業を自動化することも今後の課題ですが、現状この程度ならば、手作業でも特に煩雑とは感じていません。

いかがでしたでしょうか。

パソコン台数10台程度以下の小規模事業者様でしたら、私と同様のやり方でバックアップしておくだけでも、かなり安全性は確保できると思います。

逆に、ここまでやり方を決めてルーティン化することさえ大変とお考えなら、ぜひ「社外DX担当部長」の活用をご検討いただければと思います。

では、今回はこの辺で。

宜しくお願い致します。

ニュースレターの最新号をメールでお知らせしますので、こちらのデジタルビズ・トップページより、ぜひ配信登録をお願い致します。

ご質問やコメントもお待ちしています。