バックアップとは？データを守る3つの基本ルールを解説

バックアップとは？ざっくりと3行で

データの複製を別の場所に保管し、障害・誤削除・ランサムウェアなどのトラブルに備える仕組みおよびその行為のこと
3つのコピーを2種類の媒体に保存し1つはオフサイトに置く「3-2-1ルール」が業界標準とされており、これを守るだけでデータ喪失リスクを大幅に下げられる
バックアップだけでは不十分で、実際に復元できることを定期テストで確認する「リストアテスト」まで含めて初めてバックアップが完成する

【深掘り】これだけ知ってればOK！
よくある誤解
1. バックアップとリストアはセットでなければ意味がない
2. クラウドにデータがあれば自動的にバックアップされているわけではない
会話での使われ方
【まとめ】3つのポイント
よくある質問
この用語と一緒に知っておきたい用語
【出典】参考URL

【深掘り】これだけ知ってればOK！

世界中で多発するランサムウェア被害の多くで、バックアップが存在したにもかかわらず復旧できなかったケースがある。原因のひとつはバックアップデータも同じネットワーク上に置いていたため、本番と一緒に暗号化されてしまったことだ。オフラインまたはオフサイトのバックアップの重要性が再認識されている。

バックアップの最も重要な原則が3-2-1ルールだ。3つのコピーを持つ（オリジナル＋2つのコピー）。2種類の異なる媒体に保存する（HDDとクラウド、など）。1つはオフサイト（物理的に離れた場所）に保管する。この3原則を守ることで、火災・浸水・ランサムウェアなど単一の災害ですべてのデータが失われるリスクを排除できる。

バックアップには世代管理という概念がある。「昨日のバックアップ」だけでなく「1週間前・1ヶ月前・1年前」など複数の時点のデータを保持することだ。誰かがファイルを誤って削除してから1週間後に気づいた場合、昨日のバックアップは削除後のデータしかなく役に立たない。複数世代を保持することで任意の時点に戻れる設計が重要だ。

バックアップにはRTO（Recovery Time Objective＝目標復旧時間）とRPO（Recovery Point Objective＝目標復旧時点）という2つの指標がある。RTOは「何時間以内に復旧するか」、RPOは「どの時点のデータまで許容できるか」だ。「1時間前のデータで30分以内に復旧」ならRPO＝1時間・RTO＝30分となる。この数値をシステム要件として定義することが設計の出発点だ。

クラウド時代のバックアップはAWSのAWS Backupや、Azure Backupなどのマネージドサービスを使うのが一般的だ。スケジュールの自動化・保持期間の設定・暗号化が標準で提供されており、手動管理より格段に信頼性が高い。ただしクラウドバックアップも同じアカウントが侵害されれば消える可能性があるため、別アカウントへのクロスアカウントバックアップが推奨されている。

よくある誤解

バックアップとリストアはセットでなければ意味がない

バックアップを取っているだけで安心してはいけない。実際に復元テスト（リストアテスト）を定期的に実施しないと、いざというときにバックアップデータが壊れていた・復元手順が不明確だったという事態が起きる。バックアップの価値は復元できて初めて証明される。

クラウドにデータがあれば自動的にバックアップされているわけではない

クラウドストレージは高い耐久性（S3なら11ナイン）を持つが、それは物理的な冗長性であり誤削除や上書きからは保護されない。意図的にバックアップ設定をしなければ、削除したデータは復元できない。

会話での使われ方

3-2-1ルールって知ってますか？バックアップの基本原則で、これを守るだけでランサムウェアで全滅するリスクがかなり下がります。

社内のセキュリティ勉強会で担当者がバックアップの基礎を説明している場面。

バックアップは取ってましたが、リストアテストしてなかったので、実際に戻せるか確認できてないんです。

障害対応後の振り返りで、担当エンジニアが手順上の課題を報告している場面。

RPOが24時間でいいのか、6時間でいいのかによってバックアップコストが全然違うので、業務要件を先に確認させてください。

システム設計の要件定義フェーズでインフラエンジニアが確認事項を整理している場面。

【まとめ】3つのポイント

「3-2-1ルールが業界標準のバックアップ原則」：3コピー・2媒体・1オフサイトというルールを守ることで、単一の災害や攻撃で全データが失われるリスクを排除できる
リストアテストなしにバックアップは完成しない：バックアップを取るだけでは不十分。定期的な復元テストで実際に戻せることを確認して初めてバックアップの意味が生まれる
RTO・RPOを定義してから設計を始める：何時間以内に復旧するか・どの時点に戻すかの要件を数値で決めることが、適切なバックアップ設計の出発点だ

よくある質問

Q バックアップの頻度はどのくらいが適切ですか？: A
システムの重要度と更新頻度によります。金融・医療など変更が多く損失が致命的なデータは数時間ごと、それ以外は日次バックアップが一般的です。RPO（目標復旧時点）を定義して、それを満たす頻度を設定するのが設計の基本です。

Q バックアップはどこに保存すればいいですか？: A
3-2-1ルールに従い、本番環境と物理的に離れた場所に1つ以上置くことが推奨です。クラウドサービスはAWS S3・Azure Backup・Google Cloud Storageが代表的です。ランサムウェア対策としてはオフラインや別アカウントへのクロスアカウントバックアップが有効です。

Q クラウドストレージとバックアップは同じですか？: A
異なります。クラウドストレージ（S3など）は高い物理冗長性を持ちますが、誤削除や上書きからは保護されません。バックアップは意図的に別の場所・タイミングでコピーを作ることで変更前のデータに戻せる仕組みです。どちらも必要で目的が異なります。

Q バックアップとディザスタリカバリの違いは何ですか？: A
バックアップはデータの複製を保管してデータ喪失から復旧する仕組みです。ディザスタリカバリはデータだけでなくシステム全体（サーバー・ネットワーク・アプリ）を災害時に復旧させる計画と仕組みです。バックアップはディザスタリカバリの一部として組み込まれます。

この用語と一緒に知っておきたい用語

用語	この記事との関連
データ	本記事のテーマと実務上セットで使われることが多い用語です。コンピュータが処理する数値や文字、画像といった事実や資料そのもの、それがデータだ
テスト	テストとの関係を知ると全体像がつかみやすくなります。テストというのは、作ったソフトウェアが意図した通りに正しく動くかどうかを確かめる検証作業のことなんだ。
ランサムウェア	ランサムウェアとの関係を知ると全体像がつかみやすくなります。感染したPCのファイルを暗号化して使用不能にし、復号と引き換えに金銭（多くはビットコイン）を要求するマルウェアだ
アカウント	アカウントとの関係を知ると全体像がつかみやすくなります。あるサービスを自分専用に使うために登録する、いわば会員証のような利用権、それがアカウントだ
サイト	サイトは関連分野でよく登場する重要キーワードです。関連する複数のWebページを、一つのまとまりとして束ねたもの、それがサイトだ

【出典】参考URL

https://e-words.jp/w/SLA.html ：RTOとRPOの説明
https://www.idcf.jp/words/sla/ ：バックアップとSLAの関係