サイバー攻撃

オフラインバックアップはなぜ重要?オンライン保存だけでは危険な理由を解説

Written by WizLANSCOPE編集部

オフラインバックアップはなぜ重要?オンライン保存だけでは危険な理由を解説

目 次


近年、深刻な被害が相次いでいる「ランサムウェア攻撃」への対策として、オンラインバックアップを取得している企業も多いでしょう。

しかし実際には、ランサムウェア攻撃を受けた企業のうち、バックアップからの復元に成功した企業は約2割に留まるという調査結果もあります。

では、なぜバックアップを取得しているにもかかわらず、復元に失敗してしまうのでしょうか。

本記事では、バックアップからの復元に失敗する原因や、オフラインバックアップの必要性、安全性を高めるバックアップ運用のポイントについてわかりやすく解説します。

▼本記事でわかること

  • オフラインバックアップの概要
  • オフラインバックアップの代表的な方法
  • 安全性を高めるバックアップ運用のポイント

ランサムウェアに感染すると、システムやデータが暗号化され、完全復旧までに数か月を要するケースも珍しくありません。

迅速な復旧を実現するためにも、いざというときに機能するバックアップ対策について確認していきましょう。

情シスでも騙されるマルウェア感染手口7選

【そのまま使えるテスト付き!】
情シスも騙されるマルウェア手口とは?

情シスも思わず見落としてしまう?巧妙化する最新のマルウェア手口を厳選して解説します。

資料をダウンロードする

ランサムウェア被害企業の約8割がバックアップ復元に失敗


警察庁が令和8年に公表した「サイバー空間をめぐる脅威の情勢等について」によると、令和7年に国内で報告されたランサムウェアの被害件数は226件にのぼり、依然として高い水準で推移しています。

また、同調査によると、ランサムウェア被害を受けた組織のうち、1か月未満で復旧できた組織の割合は全体の5割強にとどまっており、被害の長期化が深刻な課題となっています。

復旧に時間がかかってしまう要因の一つとして、バックアップの暗号化が挙げられます。

警察庁のデータによれば、ランサムウェアの被害を受けた企業のうち約8割が、バックアップからの復元に失敗しており、その主な理由として「バックアップまで暗号化または消去されてしまったこと」が挙げられています。
バックアップからの復元結果の割合とバックアップから復元できなかった理由

出典:警察庁|令和7年における サイバー空間をめぐる脅威の情勢等について(令和8年3月)

実際、令和7年10月に発生した大手通販企業へのランサムウェア攻撃では、バックアップが暗号化され、システム復旧まで約4か月を要しました。

このように、ネットワークに常時接続された状態でバックアップを保管している場合、バックアップデータ自体も暗号化されるリスクがあります。

そのため、ネットワークから切り離した環境にバックアップを保管する「オフラインバックアップ」の重要性が高まっています。

オフラインバックアップとは


オフラインバックアップとは、インターネットや社内ネットワークなどの通信環境から切り離した状態で、バックアップデータを保存する手法です。

なお、「オフラインバックアップ」には、システムを停止させた状態で行うバックアップという意味で使われるケースもありますが、本記事ではランサムウェア対策として有効な「ネットワークから切り離して保存するバックアップ」について解説します。

近年のランサムウェア攻撃では、バックアップデータが優先的に狙われるケースも増えています。

バックアップまで暗号化されてしまうと、復旧手段を失い、身代金の支払いを余儀なくされるリスクが高まります。

特に、ネットワークに接続された状態でバックアップを保管している場合、バックアップデータまで暗号化される可能性があります。

こうしたリスクを防ぐ手段として、ネットワークから切り離した環境にバックアップを保存する「オフラインバックアップ」が改めて注目されています。

オンラインバックアップとの違い

オンラインバックアップとは、ネットワークに接続された環境にバックアップデータを保存する手法です。

オフラインバックアップとは、以下のような違いがあります。

オフラインバックアップ オンラインバックアップ
接続状態 ・ネットワークから切り離して保管 ・ネットワークに常時接続
ランサムウェア耐性 ・高い(ネットワーク経由で到達しない) ・低い(感染が波及するリスクあり)
向いているデータ ・長期保存・重要データ ・更新頻度が高いデータ
利便性 ・手動運用が必要なケースもある ・自動化しやすい

オンラインバックアップは、サーバーや業務システムを稼働したまま、リアルタイムに近い形でデータを保存できるため、更新頻度が高いデータの管理に適しています。

一方で、常にネットワークに接続されている性質上、ランサムウェア感染がバックアップデータへ波及するリスクがあります。

対してオフラインバックアップは即時性こそ劣るものの、ネットワークから物理的に切り離されているため、攻撃者がリモート経由でアクセスすることは困難です。

このように、それぞれに異なる特性があるため、用途やリスクに応じて使い分けることが重要です。

オフラインバックアップの方法


オフラインバックアップの代表的な方法としては、以下の3つが挙げられます。

  • テープバックアップ
  • ディスクバックアップ
  • オフサイトバックアップ

それぞれ特徴が異なるため、自社の規模や運用目的に応じて適した方法を選ぶことが重要です。

詳しく見ていきましょう。

テープバックアップ

テープバックアップとは、専用の磁気テープにデータを記録する方法です。大容量のデータを比較的低コストで保存できる点が大きな特長です。

読み書き速度はディスク型ストレージと比べて遅い傾向にあるため、頻繁なデータ更新や即時復旧が求められる環境には不向きとされています。

一方で、長期保管を前提としたバックアップ用途では、処理速度よりも安全性や保存コストが重視されるため、現在でも多くの企業で活用されています。

また、テープ媒体は物理的な耐久性が高く、適切な環境で保管すれば数十年単位の長期保存にも対応可能です。

そのため、定期的に大量データを保管したい企業や、コストを抑えながら堅牢なバックアップ体制を構築したい組織に適した方法といえるでしょう。

ディスクバックアップ

ディスクバックアップとは、外付けハードディスクやUSBメモリなどの記録媒体にデータを保存する方法です。

テープバックアップと比べてデータの読み書き速度が速く、必要なファイルを迅速に取り出せる点が特長です。

また、複数の媒体へバックアップデータをコピーしやすいため、冗長性を確保した運用を行いやすいというメリットもあります。

一方で、物理媒体を利用する性質上、紛失や盗難、破損といったリスクには注意が必要です。

そのため、保管ルールを明確化し、施錠管理やアクセス制限などを含めた適切な運用体制を整えることが重要です。

オフサイトバックアップ

オフサイトバックアップとは、データを管理している拠点とは別の場所にバックアップデータを保管する方法です。

攻撃者のアクセス範囲外にバックアップを置くことで、バックアップデータが暗号化されるリスクを低減できます。

また、自然災害や大規模障害が発生した場合でも、別拠点にバックアップを保管しておくことで、データを復旧できる可能性が高まります。

一方で、遠隔地での保管場所の確保や、安全にデータを転送するためのネットワーク・インフラ整備が必要になるなど、導入・運用には一定のコストや準備が必要です。

そのため、自社のリスク許容度や運用体制を踏まえたうえで、適切な方法を選択することが重要です。

バックアップ運用における落とし穴


バックアップは、単に取得しているだけでは十分とはいえません。

運用方法を誤ると、ランサムウェア感染時や障害発生時にバックアップから復元できず、事業継続に大きな影響を及ぼす可能性があります。

ここでは、オフラインバックアップを運用するうえで、特に注意すべきポイントについて解説します。

バックアップが機能していないケースもある

バックアップは、保存しているだけでは十分とはいえず、保存方法によっては、実質的に保護されていないケースもあります。

例えば、クラウドの同期機能やNASをバックアップ代わりに利用しているケースが挙げられます。

これらはネットワークへ常時接続されているため、ランサムウェアに感染した場合、本体データだけでなくバックアップデータまで暗号化されるリスクがあります。

その結果、バックアップを取得していても復元できず、十分な対策として機能しない可能性があります。

世代管理不足で正常なデータが残らない

バックアップは、単に保存しているだけでは不十分です。

重要なのは、「過去のどの時点のデータへ復元できるか」という点です。

例えば、最新データのみを上書き保存し続けている場合、ランサムウェア感染後のデータでバックアップが更新されてしまう可能性があります。

その結果、正常な状態のデータが残らず、バックアップから復元できないケースも考えられます。

こうした事態を防ぐためには、複数世代のバックアップを保持し、感染前の状態へ戻せるようにしておくことが重要です。

バックアップ自体が攻撃対象になる

近年では、バックアップデータそのものが攻撃対象となり、削除や改ざんが行われるケースも増えています。

特に注意すべきなのが、管理者アカウントの使い回しです。

複数のシステムで同じ管理者ID・パスワードを共有している場合、一箇所が突破されるだけで、バックアップ管理システムにまで不正アクセスされるリスクがあります。

攻撃者はバックアップを削除・暗号化することで、被害者の復旧手段を奪い、身代金交渉を有利に進めようとします。

また、多要素認証(MFA)が導入されていない環境では、パスワードが漏洩しただけでログインを許してしまう可能性があり、不正アクセスのリスクが高まります。

そのため、バックアップ環境に対しても、アクセス制御や認証強化を徹底することが重要です。

関連ページ

多要素認証(MFA)とは?2段階認証との違いやメリットを解説

バックアップを復元できない

バックアップデータが存在していても、実際に復元できなければ意味がありません。

復元テストを一度も実施していない場合、バックアップファイルの破損や、復元環境との互換性の問題などが、障害発生時に初めて発覚するケースがあります。

また、復元手順が文書化されていないと、担当者不在時や緊急時に対応が属人化し、復旧までに時間を要する原因となります。

そのため、定期的な復元テストの実施や、復旧手順の整備・共有を行っておくことが重要です。

安全性を高めるためのバックアップ方法


前述の通り、バックアップは取得しているだけでは、十分な効果を発揮しません。

では、万が一の際に有効に機能するバックアップとは、どのようなものなのでしょうか。

ここでは、実効性の高いバックアップを取得・運用するためのポイントを4つ紹介します。

  • 3-2-1-1-0ルールに則って取得・保管する
  • システム全体のバックアップを取得する
  • 長期間・多世代のバックアップを保存しておく
  • 定期的に復元テストを実施する

詳しく見ていきましょう。

3-2-1-1-0ルールに則って取得・保管する

「3-2-1ルール」とは、3つのデータコピーを保持し、2種類以上の異なる媒体へ保存したうえで、そのうち1つを別拠点で保管するという、バックアップ運用の基本原則です。

物理障害や災害対策として有効であり、多くの企業で標準的な指針として採用されてきました。

しかし、近年の高度化するランサムウェア攻撃に対しては、従来の3-2-1ルールだけでは十分に対応できないケースも増えています。

そこで注目されているのが、「3-2-1-1-0バックアップルール」です。

3-2-1-1-0ルールでは、「オフライン保管」や「改ざん不可能なバックアップ(イミュータブル)」、さらに「定期的な検証によってエラーをゼロに保つ」といった考え方が追加されています。

3 本番用データを含め、最低3つのデータコピーを保持する
2 外付けHDDやクラウドストレージなど、2種類以上の異なる媒体にバックアップを保存する
1 少なくとも1つのバックアップはオフライン環境で保管する
1 さらに1つは改ざんできない形式(イミュータブル)で保存する
0 定期的なバックアップの検証や復元テストを行い、バックアップエラーやデータ欠損がないことを確認する

イミュータブルとは、保存したデータを一定期間、あるいは永久に上書き・削除できなくする技術です。

これにより、ランサムウェア攻撃によるバックアップデータの暗号化や削除リスクを低減できます。

またバックアップは、実際に復元できなければ意味がありません。

そのため、定期的に復元テストを実施し、正常に復旧できることを確認することが重要です。

システム全体のバックアップを取得する

そのため、データのみをバックアップしている場合、復旧時にOSやアプリケーション環境を再構築する必要が生じ、復旧までに多くの時間を要する可能性があります。

こうした負担を軽減するためには、OSを含むシステム全体をバックアップしておくことが重要です。

OS、アプリケーション、設定、データを含むHDD/SSD全体を、1つのイメージファイルとして保存するバックアップ手法を「イメージバックアップ」と呼びます。

イメージバックアップを取得しておくことで、システム環境をまとめて復元できるため、業務の早期再開につながります。

長期間・多世代のバックアップを保存しておく

直近のバックアップしか保持していない場合、そのバックアップまで暗号化されてしまうと、正常な状態へ復元できなくなる可能性があります。

感染前の状態へ確実に復元するためには、長期間にわたって複数世代のバックアップを保存しておくことが重要です。

ただし、多世代バックアップを運用する際は、「いつ取得したバックアップなのか」を明確に管理する必要があります。

世代管理を適切に行うことで、「4日前」「1週間前」「1か月前」といった任意の時点へ復元しやすくなります。

その結果、ランサムウェア感染前の正常なデータへ戻せる可能性を高めることができるでしょう。

定期的に復元テストを実施する

バックアップデータが存在していても、実際に正常復元できるとは限りません。

ファイルの破損や、システム更新後の互換性の問題、クラウドとの同期エラーなどによって、気づかないうちにバックアップが利用できない状態になっているケースもあります。

こうしたリスクを早期に発見するために重要なのが、定期的な復元テストと整合性確認です。

実際にバックアップから復元できることを継続的に検証しておくことで、有事の際に「バックアップは存在していたが復元できなかった」という事態を防ぎやすくなります。

そのため、バックアップ取得だけでなく、復元まで含めた運用体制を整備しておくことが重要です。

復旧対策(バックアップ)とあわせて実施すべき検知・防御対策


ランサムウェア対策の実効性を上げるためには、適切なバックアップ運用に加え、PCやスマートフォン、サーバーなどのエンドポイントにおける検知・防御対策を組み合わせることが重要です。

バックアップはあくまで「復旧手段」であり、攻撃そのものを防ぐものではありません。

そのため、ランサムウェアの侵入を防止したり、侵入された場合の不審な挙動を早期に検知したりするための対策もあわせて必要になります。

具体的には、マルウェアなどの脅威の侵入を防ぐ「EPP」や、デバイス上の不審な挙動を検知・対応する「EDR」の導入が代表的な手段として挙げられます。

バックアップによって「被害を受けても復旧できる状態」を整えつつ、検知・防御によって「被害そのものを最小限に抑える」ことが、実効性の高いランサムウェア対策につながります。

関連ページ

エンドポイントセキュリティとは?重要性や対策ポイントを解説

エンドポイントセキュリティの強化に「Auroraシリーズ」

前述の通り、ランサムウェア対策では、バックアップによる「復旧対策」だけでなく、EPPやEDRによる「検知・防御対策」を組み合わせることが重要です。

本記事では、企業・組織のエンドポイントセキュリティ強化を支援する「Auroraシリーズ」について紹介します。

本サービスでは、以下3種類の製品・サービスを提供しています。

  • AIアンチウイルス「Aurora Protect」
  • EDR「Aurora Focus」
  • MDR「Aurora Managed Endpoint Defense」

アンチウイルスによる侵入防止だけでなく、EDRによる検知・対応、さらに専門家による監視までを組み合わせることで、自社の体制に応じた多層防御を実現できます。

詳しく見ていきましょう。

次世代型アンチウイルス「Aurora Protect」


「Aurora Protect」は、AI(人工知能)を活用した次世代型アンチウイルス製品(NGAV)です。

AIの機械学習によってマルウェアの特徴を自動分析し、その結果をもとに、未知・亜種を含む最新のマルウェアやランサムウェアを、実行前に検知・隔離できます。

また、シグネチャ更新が不要なため、運用負荷を軽減できる点も特長です。

さらに、CPU負荷は平均0.3%と低く、業務パフォーマンスへの影響を抑えながら運用できます。

関連ページ

高性能なAIアンチウイルス「Aurora Protect」とは

AIアンチウイルス統合型EDR「Aurora Focus」


「Aurora Focus」は、「Aurora Protect」とあわせて導入できる、AIアンチウイルス統合型のEDRサービスです。

「Aurora Protect」と組み合わせることで、エンドポイントにおける「多層防御」を実現し、より強固なセキュリティ体制を構築できます。

また、「Aurora Focus」では、端末上の不審な挙動や未知の脅威を検知し、侵入後の迅速な調査・対応を支援します。

関連ページ

AIアンチウイルスに統合された、負荷の少ないEDR「Aurora Focus」とは?

専門家が24時間365日監視するMDR「Aurora Managed Endpoint Defense」


EDRは堅牢なエンドポイントセキュリティを実現するうえで有効な対策ですが、24時間監視やアラート分析など、高度な運用が求められるため、「組織内だけでは運用が難しい」という課題もあります。

Auroraシリーズでは、このようなEDR運用に課題を抱える企業・組織向けに、セキュリティの専門家がEDRを運用支援するMDRサービス「Aurora Managed Endpoint Defense」も提供しています。

本サービスでは、セキュリティの専門家が24時間365日体制で監視・分析を行うことで、担当者の負担を抑えながら、迅速な脅威検知とエンドポイント保護を実現できます。

「Auroraシリーズ」は、3製品を組み合わせた運用はもちろん、アンチウイルス単体や、アンチウイルス+EDRといった構成にも柔軟に対応可能です。

エンドポイントセキュリティを強化したい企業・組織の方は、ぜひ「Auroraシリーズ」の導入をご検討ください。

関連ページ

世界トップレベルの専門家が24時間365日監視するMDRサービス「Aurora Managed Endpoint Defense」とは

3分で分かる!
Aurora Managed Endpoint Defense

世界トップレベルの専門家が24時間365日監視するMDRサービスについて、製品概要や一般的な製品との比較などをわかりやすく解説します。

資料をダウンロードする

ランサムウェアをはじめとしたマルウェア感染時の迅速な復旧に「インシデント対応パッケージ」


「マルウェアに感染したかもしれない」「サイトに不正ログインされた痕跡がある」など、「サイバー攻撃を受けた後」に、いち早く復旧するためのサポートを受けたい場合は、プロがお客様に代わって脅威に対処する「インシデント対応パッケージ」の利用がおすすめです。

「LANSCOPE サイバープロテクション」のインシデント対応パッケージは、フォレンジック調査の専門家がお客様の環境を調査し、感染状況や影響範囲を特定します。

また、マルウェアや脅威の封じ込めから復旧支援、さらに今後の対策に関するアドバイスまでを提供します。

インシデント対応パッケージについて詳しく知りたい方は、下記のページをご確認ください。

関連ページ

インシデント対応パッケージとは│LANSCOPE サイバープロテクション

まとめ

本記事では、「オフラインバックアップ」をテーマに、概要や必要性、代表的なバックアップ方法、運用時の注意点などについて解説しました。

本記事のまとめ

  • オフラインバックアップとは、ネットワークから切り離した環境にバックアップデータを保管する手法
  • オフラインバックアップは、ランサムウェア対策として、バックアップデータ自体を保護する観点から重要性が高まっている
  • バックアップは取得するだけでは不十分であり、「多世代管理」「復元テスト」「システム全体のバックアップ」などを含めた運用が重要
  • 「3-2-1-1-0ルール」に則った運用を行うことで、より実効性の高いバックアップ体制を構築できる
  • ランサムウェア対策では、バックアップによる復旧対策だけでなく、EPPやEDRなどによる検知・防御対策を組み合わせることが重要

近年では、ランサムウェア攻撃の高度化に伴い、バックアップデータそのものが攻撃対象になるケースも増えています。

そのため、「バックアップを取得している」だけではなく、「実際に復元できる状態を維持できているか」という視点で運用を見直すことが重要です。

また、被害発生時の迅速な復旧を実現するためには、オフラインバックアップによる復旧対策に加え、エンドポイントにおける検知・防御対策も欠かせません。

実効性の高いランサムウェア対策を実現したい方は、本記事で紹介したバックアップ運用やエンドポイントセキュリティ対策をぜひ参考にしてください。

なお、本記事で紹介した「Aurora Protect」と「Aurora Focus」は、30日間無料体験版をご利用いただけます。

AIを活用した最新鋭のセキュリティソリューションを、ぜひご体験ください。

関連ページ

AIアンチウイルス「Aurora Protect」無料体験版 お申し込み

情シスでも騙されるマルウェア感染手口7選

【そのまま使えるテスト付き!】
情シスも騙されるマルウェア手口とは?

情シスも思わず見落としてしまう?巧妙化する最新のマルウェア手口を厳選して解説します。

資料をダウンロードする

おすすめ記事