警察庁が発表した「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」によると、2023年上半期に警察庁に報告された企業・団体等におけるランサムウェア被害の件数は103件でしたが、そのうち約6割は中小企業でした。このことから大企業だけでなく、中小企業でも情報セキュリティ対策が重要であることが分かります。
しかし、「中小企業における情報セキュリティ対策に関する実態調査」報告書(2021年度)によれば、過去3期において「IT投資」を行っていないと回答した企業は30%、「情報セキュリティ対策投資」を行っていないと回答した企業も33.1%に上りました。サイバー攻撃に加えて災害やシステム障害などのリスクも考えると、BCP(事業継続計画)の策定も不可欠です。
ここでは、中小企業の情報セキュリティ、BCPに欠かせないソリューションであるクラウドバックアップについて取り上げます。
クラウドバックアップの法人向けお勧めサービスはこちら
目次
情報セキュリティ5か条とは?
サイバー攻撃の手口を理解する
5か条+1で「事業継続対策」が重要
中小企業にとってのクラウドバックアップのメリット
クラウドバックアップの成功事例
使えるクラウドバックアップ:ウイルス対策とデータ保護を兼ね備えた統合型ソリューション
FAQ
中小企業の情報セキュリティ対策はどこから始めたらよいのか分からないという方も多いでしょう。その場合に参考になるのがIPA(独立行政法人 情報処理推進機構)が提唱している「情報セキュリティ5か条」です。以下で一つずつ解説します。
OSやソフトウェアは常に最新の状態にしよう!
OSやソフトウェアのアップデートをせずにそのままにしていると、セキュリティ上の問題点を悪用したサイバー攻撃の対象になるリスクが高まります。WindowsOSの場合はWIndowsUpdate、macOSの場合はソフトウェア・アップデートをするなど、ベンダの提供するサービスを定期的に実行しましょう。また、テレワークで利用するパソコン等のソフトウェアやルーター等のファームウェアを最新版にします。
ウイルス対策ソフトを導入しよう!
ウイルス対策ソフトを導入し、ウイルス定義ファイルは常に最新の状態にしておきます。一般的にウイルス定義ファイルは自動的に更新されるように設定されていますが、念のため設定を確認するようおすすめします。また、マルウェアの種類も多岐に渡りますので、総合型のセキュリティ対策ソフトの導入をご検討ください。
パスワードを強化しよう!
パスワードの基本は「長く」「複雑で」「使い回さない」ことです。具体的には、パスワードは10文字以上にします。また、大文字、小文字、数字、記号を含め、自分の名前や電話番号、誕生日、簡単な英単語などをパスワードに含めるのは控えましょう。さらに可能なら多要素認証や多段階認証を採用するとよいでしょう。
共有設定を見直そう!
ウェブサービス、ネットワーク接続の複合機などを利用するときは、無関係な人から情報をのぞき見られないようにファイル共有範囲を限定します。テレワークで使用するパソコンなどの端末も他者と共有しないようにし、共有せざるを得ない場合は別途ユーザアカウントを作成しましょう。
脅威や攻撃の手口を知ろう!
サイバー攻撃の手口やマルウェアの種類について、最新の情報を入手して対策をとります。具体的には、IPAなどセキュリティ専門機関のウェブサイトやメールマガジンを活用しましょう。
上記「情報セキュリティ5か条」の第5条が述べていたように、中小企業にとってサイバー攻撃の脅威や手口を理解することが重要です。その上で、従業員教育やセキュリティソフトウェアの導入を行わなければ、対策としては不十分と言わざるを得ません。
サイバー攻撃の情勢は年々変化しますが、ここでは近年増大している代表的な3つの手口について解説します。
DDoS攻撃
DDoS(Distributed Denial of Service)攻撃とは、複数の端末から大量のパケットを攻撃対象であるWebサーバなどに送り付け、サービスを停止に追い込む手法です。大量のパケットによりサーバが高負荷状態に陥り、正常なアクセスに対するレスポンスが低下したり、サーバに接続されている帯域が消費されたりすることで、正常なサービス提供ができない状態になるのです。
DoS攻撃は1台の端末からの攻撃であるのに対し、DDoSは複数の端末から一斉にサイバー攻撃をすることから、攻撃対象のサーバにより大きな負荷をかけます。そして、一般にDDoS攻撃は、無関係のPCを「踏み台」にして行われるため、サイバー攻撃の「仕掛け人」を見抜くのが難しいといわれています。
標的型メール攻撃
標的型攻撃メールとは、特定の企業や個人を対象に、機密情報や知的財産を盗取する目的で送信されるメールのことです。同僚や取引先からのメールを装って送られるため、受信者は本物のメールと見分けがつかず、多くの場合、セキュリティソフトによっても検出されません。受信者がそのメールに添付されているファイルをダウンロードして開いたり、メール本文にあるリンクにアクセスしたりすると、端末やネットワーク内の機密情報が漏えい、あるいは他の端末にもウイルスが拡散するなどして被害が拡大します。
ランサムウェア
ランサムウェアとは、マルウェアの一種であり、感染するとパソコン内のデータを暗号化して使用できない状態にし、そのデータに対する対価として金銭や暗号資産を要求する不正プログラムのことです。近年では、データを暗号化するだけでなく、「対価を支払わなければデータを公開する」などと要求する二重恐喝(ダブルエクストーション)の手口も増加しています。
ランサムウェアについて知りたい方はこちら
サイバー攻撃について知りたい方はこちら
前述したIPA提唱の「情報セキュリティ5か条」を徹底することで、中小企業はサイバー攻撃から自社の情報資産やシステムを守ることができます。しかし、当然ながら完璧な防御はありません。そのため、より現実的な対策として、万が一攻撃された場合の復旧策についても前もって考えておかなければなりません。それが「5か条+1」の「事業継続対策」です。
この考え方はサイバー攻撃だけに当てはまるわけではありません。災害大国である日本では、企業の拠点がどこであっても常に災害のリスクを想定しておかなければならず、政府も災害に備えて事業継続計画(BCP)を策定するようにすすめています。事業継続計画を前もって作っておくなら、万が一事業活動が中断された場合でも目標時間内に重要な機能を復旧させ、自社のマーケットシェアや企業評価の低下、顧客取引の競合他社への流出などを最小限にすることができます。
中小企業がBCPを策定するにあたっては、中小企業庁が公開している「中小企業BCP策定運用指針」が参考になります。その指針に従って作業することで自社にとって最適なBCPを作ることができますが、一度作ってしまえばそれでよいというわけではありません。BCPは経営戦略の一環であるため、立案し、運用体制を確立したら、日常的に策定・運用サイクルを回していくことがポイントです。
BCPの具体的内容は各企業の中核事業や従業員数などによって異なり、多岐に渡りますが、「中小企業BCP支援ガイドブック(中小企業庁)」によると、事前対策の例として以下のような枠組みが提唱されています。
|
人
■安否確認ルールの整備
■代替要員の確保
|
情報
■重要なデータの適切な保管
■情報収集・発信手段の確保
|
|
物
■設備の固定
■代替方法の確保
|
金
■緊急時に必要な資金の把握
■現金・預金の準備
|
出典:「中小企業BCP支援ガイドブック」p40(中小企業庁)
(https://www.chusho.meti.go.jp/bcp/2018/180420BCPshiryo1.pdf)
「情報」の部分で示されているように重要なデータを適切に保管するためにはバックアップが不可欠であり、どの中小企業にとってもBCPに含めておきたい施策の1つです。
中小企業のBCPにはクラウドが最適な理由を知りたい人はこちら
中小企業のBCP対策としてデータバックアップを検討する際、その方法には大きく分けてオンプレミスとクラウドの2つがあります。ここでは、中小企業にとってクラウドバックアップ(オンラインバックアップ)を選択するメリットについて解説します。
コスト削減に役立つ
中小企業がクラウドバックアップを利用する1つ目のメリットとして、コスト削減に役立つ点が挙げられます。
オンプレミスを選択して自社サーバを準備する場合、物理サーバはもちろんのこと、アプリやライセンスを取得するためにも費用が発生します。しかし、クラウドストレージであれば、ほとんどの場合、初期コストはかからず、利用したストレージの容量やアカウントの数の分だけ費用を支払います。
また、社内でサーバを設置してバックアップしようとすれば、専門スタッフがシステムを構築し、保守・点検を続けなければならず、人的コストもかかります。この点、クラウドバックアップであれば、外部のクラウドストレージサービスを提供してくれる事業者が一手に引き受けてくれるため、社内リソースの削減にも役立ちます。
セキュリティを強化できる
中小企業がクラウドバックアップを利用する2つ目のメリットは、データセキュリティを強化できる点です。
オンプレミスでは基本的に社内のサーバにデータをバックアップしますが、クラウドバックアップの場合、社内のネットワークと切り分けた場所(データセンター)に保管します。そのため、万が一社内ネットワークがランサムウェアに感染するなどしても、バックアップ自体は感染から守ることが可能です。
企業規模に合わせて柔軟に利用できる
中小企業がクラウドバックアップを利用する3つ目のメリットは、企業規模に合わせて柔軟に導入できる点です。
オンプレミスの場合、いったん社内にサーバを設置すれば、簡単に増やすことは困難です。しかし、クラウドバックアップであれば、柔軟にストレージを増やせますし、ユーザアカウントも従業員数に合わせて簡単に増減できます。そのため、スタートアップ企業がスモールスタートをして、事業の成長に合わせて増えていくデータをバックアップするのにも適しています。
ここでは、実際にクラウドバックアップを導入し、情報セキュリティ対策に成功を収めた中小企業の事例を紹介し、その成功要因について考察してみます。
全国に400社近くあるクラフトビールメーカーの中でもトップシェアを誇る株式会社ヤッホーブルーイングは、「ビールに味を!人生に幸せを!」をミッションに、新たなビール文化を創出すべく事業を展開しています。こだわりのクラフトビールで根強いファンを獲得し、「よなよなエール」や「水曜日のネコ」などの製品で知られている企業です。
同社は受注や出荷、顧客管理などにさまざまなシステムを運用していますが、ここ数年バックアップで失敗が頻発するようになりました。当時はバックアップの状態が不安定で、バックアップが取れているのかどうか確信が持てない状態が続いたそうです。また、バックアップの仕組みに精通しているのが担当者1人のみで、属人性を排除したいという願いもありました。同時にBCP対策も念頭において、2018年5月頃から簡易な形でシステムを復元できるバックアップシステムの比較検討を始めたといいます。
クラウドバックアップのソリューションを比較検討するにあたっては、復元できるかどうかを定期的にテストすることが可能なソリューションを選ぶことを優先したといいます。また、将来的なサーバ拡張やIoTシステムの導入可能性も見据えて、バックアップ容量を柔軟かつ容易に変更・拡大したいという願いもありました。
加えて、同社の基幹系システムはクライアント/サーバシステムで、クライアント端末にはインターネットと接続する機能が残っており、万が一端末がランサムウェアに感染するとシステム全体に波及する可能性がありました。そのため、ランサムウェア対策機能の有無も重視されました。
こうした条件をすべて満たし、なおかつユーザインタフェースが使いやすく、他のサービスと比較してもリーズナブルに導入できたのが「使えるクラウドバックアップ」でした。
ヤッホーブルーイングでは2019年1月から使えるクラウドバックアップを正式に利用開始しましたが、最初のフルバックアップは約2時間でスムーズに完了、その後の毎日の増分バックアップも数分もかからずに終わるといいます。また、使えるクラウドバックアップの機能を利用して、毎日のバックアップ完了をメーリングリストに通知するように設定したところ、メンバーのバックアップに対する意識が大きく向上したようです。
同社では、将来的に基幹系システムのクラウド化も構想しており、ディザスタリカバリを含めたより包括的なデータ保護をクラウドを活用することで進めたいと思っています。
ヤッホーブルーイングの成功要因は、バックアップソリューションを検討するにあたって、自社にとっての最適解が何かを深掘りしたことといえるかもしれません。その結果、オンプレミスではなく、クラウドを活用したバックアップツールの導入にたどり着いたのです。
導入事例はこちら>>
.png)
クラウドによるバックアップツールはたくさんありますが、特におすすめなのが、前出の事例でも取り上げた「使えるクラウドバックアップ」です。使えるクラウドバックアップは、クラウドソリューションのグローバルリーダー、アクロニス社のクラウドソリューション「Acronis Cyber Protect」をベースにしたサービスです。
使えるクラウドバックアップが選ばれるのには主に3つの理由があります。
効率的かつ安全
使えるクラウドバックアップが採用しているのは、すべてのアプリ、ファイル、ユーザアカウント、各種設定、OSを含むシステムイメージ全体を一気にバックアップするイメージバックアップです。そのため、迅速かつ効率的なバックアップが可能ですし、復元もスピーディーに行えます。
さらに、ファイルをアップロードする前に米軍も採用する「AES-256」で暗号化、長野県のデータセンターで大切に保管します。
高度なランサムウェア対策
「中小企業のセキュリティ対策とクラウド活用(内閣サイバーセキュリティセンター)」によると、2016年において9割近くの中小企業がウイルス対策ソフトでセキュリティ対策を実施していました。
この点、使えるクラウドバックアップはウイルス対策も兼ねられるため、自社の情報セキュリティはさらに堅牢になります。使えるクラウドバックアップは、AIテクノロジー「アクティブプロテクション」を搭載し、ランサムウェアやウィルス等のマルウェア対策が可能な包括的サイバープロテクションを実現します。
圧倒的コストパフォーマンス
中小企業にとってクラウドバックアップツールの導入を検討する際に重要なコスト面でも、使えるクラウドバックアップは優れています。初期費用は不要で、月額2,200円~の低コストでPCからサーバまであらゆるデータをバックアップします。
30日間の無料トライアルが可能です。是非お気軽にお問い合わせ下さい。
.jpg)
1. バックアップはなぜ必要ですか?
中小企業にとって情報資産の重要性は高まるばかりですが、それを狙ったサイバー攻撃が頻発しており、手口もより巧妙になっています。また、災害やシステム障害などのリスクも常にあります。
しかし、仮に上記の要因により事業が中断しても、データバックアップをしていれば事業継続が可能です。逆に、万が一の事態が発生したときに企業がバックアップを含め十分な対策をとっていなければ、信頼の失墜につながります。
2. クラウドバックアップの頻度はどのくらいが適切ですか?
バックアップの頻度が高ければ高いほど、安全性は担保できます。しかし、その分データの同期に手間がかかり、運用の負担がかかってしまいます。そのため、データ保管の重要性と運用負荷のバランスを考えながらクラウドバックアップを行いましょう。多くの場合、定期的に自動バックアップ(オートバックアップ)する設定も可能です。
3. 中小企業にクラウドバックアップがおすすめである理由は?
中小企業がバックアップツールを導入するにあたって、高いハードルになるのがコストです。また、リソースが限られているため、研修不要で簡単に使えるユーザインターフェースも重要でしょう。
クラウドバックアップはそのいずれもクリアしており、初期コスト不要で導入できます。しかも複雑な操作は不要なため、すぐに使える点が魅力。加えて、オンプレミスとは異なり、ネット環境さえあればどこでもバックアップ可能です。
「使えるクラウドバックアップ」の詳細はこちら>>
.jpg)
お電話でのお問い合わせはこちら:03-4590-8198
(営業時間:10:00-17:00)
企業のデータを守るために欠かせないのが、日頃の「バックアップ」。自然災害やPCのトラブルなど、思わぬ事態が発生しても事業を問題なく継続できるようにするために、とても重要です。
でも実は、「バックアップを取るだけ」では、BCP(事業継続計画)対策やDR(ディザスタリカバリ、災害復旧)対策として不十分なのをご存知ですか?この記事では、バックアップとセットで考えておきたい「バックアップテスト(リストアテスト)」について紹介します。
クラウドバックアップについて知りたい方はこちら
目次
バックアップが欠かせない理由
バックアップテストとは
バックアップテストはなぜ必要?
バックアップテストでチェックすべきポイント
バックアップテストの頻度はどれくらい?
バックアップには「クラウド」がおすすめの理由
「使えるクラウドバックアップ」なら低コストで使いやすい
FAQ
バックアップテストについて説明する前に、そもそも中小企業にとってバックアップが必要な理由を2つの観点から解説します。それはバックアップが「BCP対策」と「DR対策」に欠かせないからです。
BCP対策
BCP対策とは、緊急事態に被害を最小限に抑えるために「BCP(事業継続計画)」を策定したり、それに基づいて訓練したりすることです。
内閣府が発行した「事業継続ガイドライン」によると、「BCP(Business Continuity Planning)」とは「大地震等の自然災害、感染症のまん延、テロ等の事件、大事故、サプライチェーン(供給網)の途絶、突発的な経営環境の変化など不測の事態が発生しても、重要な事業を中断させない、または中断しても可能な限り短い期間で復旧させるための方針、体制、手順等を示した計画のこと」です。
いくら規模が小さくても、会社は決して経営者など一部の人だけのものではありません。従業員や取引先など、事業が中断すると影響を受ける人たちがたくさんいます。企業は緊急時に備えて保有している情報資産のバックアップを取得しておくことで、自社の価値を高めることができます。
BCP対策について詳しく知りたい方はこちら
DR対策
DR(Disaster Recovery)対策とは、災害が発生した場合に迅速にシステムをリカバリするための体制や計画のことです。BCP対策がさまざまな緊急事態に備えて事業全体の継続を目的にするのに対し、DR(ディザスタリカバリ)対策は災害時のシステム復旧を目的にしています。
そのため、DR(ディザスタリカバリ)対策においては単にデータのバックアップだけでなく、システムの複製まで念頭に置いておく必要があります。
ディザスタリカバリにつて詳しく知りたい方はこちら
バックアップテストは、「バックアップしたデータをちゃんとリストア(復旧)できるかどうか、平時にテストして確認・検証すること」を指します。緊急時に備えたシミュレーションとも言い換えられるでしょう。
定期的にきちんとバックアップしていても、もしバックアップしたそのファイルやフォルダをいざというときにリストアできなければ、何の意味もありません。
「データはいつもバックアップしているから大丈夫」と思ってしまいがちですが、意外と「バックアップしたのにリストアできない!」というトラブルは多いのです。
実際、警察庁の報告書「令和3年におけるサイバー空間をめぐる脅威の情勢等について」によると、サイバー攻撃を受けた101件の企業はバックアップを取得していたにも関わらず、そのうち71%にあたる72件の企業は「バックアップを復元できなかった」と回答しています。
新型コロナウイルスのパンデミックでも明らかになった通り、不測の事態はますます頻繁に企業や社会を襲うようになっています。地震大国の日本では、今後も自然災害がいつどこで発生するかわかりません。
そうした中、バックアップは、企業のリスクマネジメントとして今や必須になりつつあります。しかし現状では、「バックアップはしているけれど、特にテストなどは行っていない」という企業が多いのが現実です。
バックアップテストを実施していなければ、いざリストアが必要になったときに、「本当にデータをリストアできるかどうか」がわかりません。もしリストアできなければ、それまでバックアップにかかっていた時間的・金銭的コストがすべて無駄になってしまうばかりか、中小企業やスタートアップにとっては事業継続の危機に直結してしまうリスクもあります。
バックアップテストは、普段のバックアップを本当に意味あるものにするためにも、忘れてはならない非常に大切なタスクなのです。
バックアップテストでは、「バックアップしたデータが問題なく復元できるか」はもちろんのこと、「想定しているRPO(目標復旧時点)とRTO(目標復旧時間)はクリアできているか」という点もあわせてチェックしておきましょう。
「RPO(目標復旧時点)」とは、復旧すべきファイルの古さ、あるいは許容できるバックアップファイルの古さのこと。言い換えれば、最新のバックアップ時点からの経過時間を意味します。たとえば、24時間ごとに定期バックアップを取っているのであれば、この「24時間」がRPOになります。インシデントが発生した場合、最新のバックアップ時点以降に変更・新規作成したデータは失われてしまいますが、「24時間分のデータロスまでなら仕方ない(許容できる)」ということです。バックアップテストでは、事前に想定・設定しておいたRPOのデータがきちんとリストアできているか、確認する必要があります。
一方の「RTO(目標復旧時間)」は、インシデントが発生してから、被害を受けたデータをリストアして通常業務に復帰できるまでのダウンタイム(の目標値)のことです。たとえば、「インシデント発生後、3時間以内に全データを復旧して通常業務に戻れるようにしたい」と考えるなら、この「3時間」がRTOということになります。バックアップテストにおいては、設定したRTOをクリアできるかどうかも重要な焦点です。
バックアップテストは、「ときどき不定期に行う」のでは不十分で、あまり意味がありません。バックアップとバックアップテストの実効性を担保するには、定期的なテスト実施が不可欠です。できればきちんとスケジュールを立てて、毎月1 回程度の頻度でバックアップテストを実行するようにしましょう。
ただ、毎月すべてのデータのバックアップテストを行うのは、やはり業務の負担になってしまいます。そこで、たとえば「とくに重要なデータやリスクの高いデータの部分リストアテストを月ごとに実施し、全データの完全リストアテストは半期ごとや1年ごとに行う」といった方法で、無理なくバックアップテストを実行するようにするのがおすすめです。
バックアップといえば、少し前までは社内のサーバにバックアップする「オンプレミスバックアップ」が一般的でした。しかしここ数年、中小企業でも大企業でも、クラウドを利用した「クラウドバックアップ」に移行するケースが増えています。クラウドバックアップには以下のようなメリットがあり、今の時代に合った賢い選択として人気を集めています。
・社内のコンピュータがランサムウェアなどに感染してしまっても、クラウドのバックアップデータは被害を受けない
・オフィスが自然災害や停電などの被害を受けても、クラウドのバックアップデータは無事なまま
・クラウドなら、バックアップサーバの保守管理やアップデートが不要になる
・誤って削除してしまったデータも復元できるため安心
・初心者でも扱えるほど設定が簡単で、信頼性も高い
・ローカルバックアップに比べてサーバの費用や運用コストを抑えられる
・データのバックアップに加え、ランサムウェアやマルウェア対策、パッチ管理までしてくれるものもある
使えるねっとが提供している「使えるクラウドバックアップ」は、アプライアンス機器不要、初期費用不要で簡単に導入できる完全クラウド型バックアップソリューションです。「簡単・安全・低コスト」な高品質のクラウドバックアップサービスを提供しており、全国のクライアント様からご好評をいただいています。
・簡単:ワンクリックでバックアップ可能。たった5分の設定でOSを含めたすべてのデータを守ります。また、すべてのアプリ、ファイル、ユーザアカウント、各種設定、オペレーティングシステムを含むシステム全体を一気にバックアップする「イメージバックアップ」を採用しているため、万が一データが消失してもすぐに業務再開が可能です。
・安全:お客様の環境上でAES-256で暗号化されたうえ、AES-256でデータが転送されます。米軍も採用している最高レベルのセキュリティで大切なデータをしっかり保護します。また、自動化されたウイルススキャンで未知のランサムウェア攻撃を監査・識別。
・BCP対策:ディザスタリカバリオプションを追加すれば、災害発生時にバックアップイメージからクラウドの仮想マシンに瞬時に切り替えるため、もしものときも事業が止まることはありません。災害に強い長野県にあるデータセンターで大切な情報を守ります。
・低コスト:月単価2,200円(税込)からのデータ保護対策。必要な容量をお選びいただき、パソコン1台からローカルとクラウドの両方に保管し、確実なバックアップ対策を手軽に始められます。
30日間の無料トライアルも可能ですので、お金をかけずにクラウドバックアップの使い心地を試してみることもできます。気になる方は、ぜひお気軽に下記フォームやお電話でお問い合わせください。
「使えるクラウドバックアップ」のサービス詳細はこちら>>
.jpg)
(1)イメージバックアップとは?
イメージバックアップとは、すべてのファイルやアプリ、ソフトウェアだけでなく、ユーザアカウントや各種設定、さらにオペレーティングシステムを含むシステム全体をバックアップすることです。
(2)バックアップをしないとどうなる?
業務に関わるデータはe-文書法などにより、保護を確実にすべきことが法的に要請されています。そのため、個人データを復旧できない場合、法的責任を問われることがあります。また、社会的信頼を失い、営業活動が停止することにもなりかねません。
(3)クラウドバックアップのメリットは?
クラウドバックアップなら、ローカルバックアップに比べて費用を抑えられます。また、ファイルやフォルダごとにアクセス管理が容易です。また、足りなくなった場合、容量を柔軟に増やせるのも魅力です。
お電話でのお問い合わせはこちら:03-4590-8198
(営業時間:10:00-17:00)
.jpg)
