この記事のポイント
- バックアップ破壊対策の本質は、保存することより、侵害後に削除・変更・暗号化されにくくすることです。
- 危険なのは、本番と同じ認証系・同じ管理者・同じ端末でバックアップを一括管理していることです。
- ASM診断 PRO はバックアップ製品ではありませんが、前段になる外部導線整理の補助線になります。
まず無料で確認する
無料でASM診断を開始
バックアップ破壊対策で触れている論点は、自社ドメインを実際に診断すると優先順位が掴みやすくなります。まずは外部公開資産を無料で可視化してください。
何が起きた時に、バックアップ破壊対策が必要になるのか
バックアップ破壊対策は、保存装置を増やすより、削除や改ざんを多層で防ぐ設計として見ると整理しやすくなります。
バックアップは『ある』だけでは足りません
バックアップ破壊対策が必要になるのは、ランサム被害や侵入後活動で、バックアップそのものが削除、暗号化、保護解除、上書きされる可能性があるからです。保存されていることと、守られていることは別です。
攻撃者にとってバックアップは、復旧の逃げ道です。だから暗号化の前段で先に狙われることがあります。
本番と同じ認証系で管理していると共倒れになりやすくなります
バックアップ破壊が起きやすいのは、本番と同じドメイン、同じ管理者、同じ端末から保管先を操作できる時です。侵入された資格情報で、本番とバックアップがまとめて触れる状態だと、復旧手段まで失われやすくなります。
そのため、保管分離、不変保管、別認証系、別管理者の考え方が重要になります。
これは復旧計画の前提条件でもあります。戻す順番を決めても、そもそも戻せるコピーが残っていなければ復旧は始められません。
さらに、バックアップが壊される時は「保存先を削除する」だけではありません。保護設定の解除、保持期間の短縮、レプリケーション停止、バックアップ管理者の追加、復元手順書の消去など、復旧を難しくするための準備が先に進んでいることがあります。だから対策も、保存メディアの話だけではなく、管理面と運用権限の話まで含める必要があります。
実務で最初にやること / 優先順位
| 優先順位 | 確認すべきこと | 見落とすと起こること |
|---|---|---|
| 1 | 保管先と管理権限の分離 | 本番侵害と同時にバックアップも触られやすくなります。 |
| 2 | 不変保管と世代管理 | 削除や上書きで復旧点を失いやすくなります。 |
| 3 | 削除・保護解除の監視 | 静かな破壊の前兆を見逃しやすくなります。 |
| 4 | 復元試験 | 存在しても実際には戻せない状態が残ります。 |
| 5 | 前段の侵入面削減 | 何度でも同じ経路から再侵入されやすくなります。 |
CISA もバックアップ破壊を主要な前兆として扱っています
CISA のAA23-061AやAA24-109Aは、バックアップや保護設定の変更が被害拡大の重要なシグナルになることを示しています。復旧不能に近づく前に、管理面の異常を拾うことが重要です。
その意味では、初動対応で保護解除や大量削除の兆候を早く拾えるかどうかが、そのまま復旧可能性へつながります。
現場では、バックアップ監視は「容量不足」や「ジョブ失敗」だけに寄りがちですが、攻撃前兆として見るなら、削除操作、保護設定変更、管理者権限変更、復元テストの急な実行、普段使わない時間帯の管理画面ログインも重要です。つまりバックアップ監視は運用監視であると同時に、侵害監視でもあります。
ジョブ成功率だけでは、破壊の準備段階を見抜けません
バックアップ運用の報告は、日々のジョブ成功率や容量使用率でまとめられることが多いですが、それだけでは危険です。攻撃者はジョブ自体を止める前に、保管ポリシーの変更、削除猶予の短縮、保護解除、複製停止、管理者追加を静かに進めることがあります。見た目上ジョブが成功していても、復旧可能性は確実に下がっている場合があります。
したがって、日次監視では「成功したか」だけでなく、「戻せる条件が保たれているか」を確認する必要があります。不変保管が有効か、削除権限が想定どおり分かれているか、保管先変更がないか、急な設定変更が承認済みかまで見て初めて、バックアップ監視が攻撃前兆の検知として機能します。
つまり、監視対象はジョブ結果ではなく、復旧可能性そのものです。
攻撃者がバックアップを壊す時に見るポイント
最初に狙われるのは、削除しやすい管理面と高権限です
攻撃者は、すべてのバックアップ装置を理解してから動くとは限りません。多くの場合は、まず公開されている管理画面、共有された管理者資格情報、委託先が使う接続経路、バックアップ管理サーバのログイン面など、一番触りやすい入口を探します。そこから保護解除や設定変更ができれば、実データを壊さなくても復旧可能性を大きく下げられるからです。
そのため、バックアップ対策は保管先だけ守っても足りません。管理面を誰が使うか、どの端末から入るか、委託先や運用代行がどの手順で接続するかまで決めておかなければ、最初の入口で崩れます。
保護解除や世代短縮は、暗号化より前に進むことがあります
ランサム事故では、暗号化が見える前に、保持期間の短縮、不変保管の解除、スナップショット削除、複製停止などが進んでいることがあります。これは攻撃者にとって、後で身代金交渉を有利にする準備だからです。つまり、バックアップ破壊対策は暗号化後の話ではなく暗号化前の話でもあります。
ここを見落とすと、「まだ暗号化されていないから大丈夫」と判断している間に復旧手段が失われます。だから、ジョブ成功率だけではなく、保護設定と世代運用の変化を時系列で追う必要があります。
運用手順書や復元鍵も保護対象です
見落としやすいのは、バックアップデータ本体だけでなく、復元手順書、暗号鍵、保管先一覧、緊急時連絡先、代替運用表も攻撃者にとって価値があることです。これらが壊れると、コピーが残っていても復元時間が大きく延びます。
したがって、バックアップ戦略は「どこに保存するか」だけでなく、「誰がどの情報を持ち、失われた時にどう再構築するか」を含めた運用設計にする必要があります。
クラウドサービスの復元点やエクスポート先も保護対象に入れます
バックアップ破壊というと、オンプレミスのバックアップ装置だけを想像しがちですが、実際には SaaS のエクスポート先、クラウドスナップショット、クラウドストレージの世代管理、外部保管バケットも同じ論点で見なければなりません。管理面が別画面に分かれているだけで、本番と同じ認証基盤や同じ端末から触れるなら、共倒れのリスクは残ります。
そのため、Microsoft 365、Google Workspace、開発基盤、SaaS 連携のデータエクスポートでも、「どこに保存されるか」「誰が削除できるか」「不変性や世代があるか」「委託先が関与するか」を棚卸しする必要があります。バックアップ破壊対策は、物理装置の守り方ではなく、復旧に使うコピー全体の管理設計だと捉える方が実務に合います。
現場で失敗しやすいポイント
『バックアップがある』と『戻せる』は同義ではありません
実務で多い失敗は、バックアップジョブが走っていることを安心材料にすることです。実際には、保管先が同じ認証系で触れたり、世代が短すぎたり、復元試験をしていなかったりすると、あるのに戻せない状態が起こります。
だからバックアップ対策は、保存装置の導入ではなく、削除されにくさ、改ざんされにくさ、戻しやすさの三つで考える必要があります。
もう一つ多い失敗は、「バックアップ担当だけが分かっていればよい」と考えることです。事故時には、経営、業務部門、初動担当、復旧担当が同じ前提を持たないと、どの時点のバックアップを使うか、どこまでデータ欠損を許容するかが決められません。つまり、バックアップ破壊対策は技術だけでなく意思決定の準備でもあります。
分離設計・監視・復元試験をどう組み合わせるか
不変保管だけではなく、管理経路も分けます
バックアップ保護でよく出るのが「不変保管を入れれば安心か」という問いですが、実務ではそれだけでは足りません。不変保管があっても、保護を外せる管理者が本番と共通、保管先へのログインが同じ IdP、運用端末が同じ、委託先接続が広いままだと、攻撃者は管理面から破壊を試みられます。
したがって、保管方式の強化と同時に、管理経路、認証系、管理端末、委託先接続、緊急時の権限委譲を分ける必要があります。ここまで分離して初めて、バックアップが本番と共倒れしにくくなります。
監視は『削除された後』ではなく『削除される前』を見るべきです
監視の設計も、単にジョブ失敗アラートを出すだけでは不十分です。保持期間の短縮、保護解除、権限追加、保管先設定変更、夜間の大量列挙など、破壊の準備段階を拾うルールを入れると、復旧不能化の前で止めやすくなります。
この考え方は初動対応と直結します。実際のランサム対応では、暗号化が見えてからより、保護設定変更の時点で異常と判断できた方が有利です。
復元試験は『戻るか』だけでなく『何時間で戻るか』を見ます
復元試験では、成功したか失敗したかだけでなく、どれくらいの時間で、どの人員で、どの前提が必要かを記録する必要があります。復元に必要な資格情報が別システムに依存していたり、委託先の立ち会いが必須だったりすると、実際の復旧時間は想定より長くなります。
だから復元試験の結果は、復旧計画の見直し材料にもなります。バックアップ対策は単独の技術対策ではなく、復旧計画の実効性を支える土台です。
さらに、復元試験では「普段使っていない人が戻せるか」も重要です。特定担当者だけが詳しい状態だと、その人が不在の時に復元が止まります。手順書、鍵、接続経路、承認権限、復元後の検証方法を複数人が再現できるようにしておくことが、現実的な破壊対策になります。
ここで見落としやすいのが、復元試験に使う認証情報や鍵の保管場所です。普段は便利でも、本番と同じ IdP や同じパスワード保管先に依存していると、侵害時には復元試験と同じ手順が再現できません。復元に必要な認証情報、手順書、連絡先、承認経路まで含めて「壊されにくい復元経路」を設計しておくことが、バックアップ破壊対策の実効性を左右します。
管理権限と委託先導線をどう守るか
一番弱いのは、例外的に残った管理経路です
バックアップ管理面で危険なのは、恒常的に使う正式な経路だけではありません。障害対応用に一時的に開けた VPN、委託先専用の古い portal、テスト用に残った管理 URL、共有された break-glass アカウントのような例外経路が長く残るほど、破壊リスクは上がります。
こうした例外経路は、通常運用では便利でも、事故時には入口候補を広げます。特に保守用VPNやRMM悪用のような話と結び付くと、バックアップだけを別世界として守る考え方は成り立ちません。
委託先に任せるなら、削除権限と復元権限を分けます
委託先がバックアップ運用に関与する場合でも、すべての権限を同じ担当へ渡すべきではありません。設定変更、削除、復元、保護解除、鍵管理を分け、どの操作に自社承認が必要かを明文化すると、事故時の共倒れを防ぎやすくなります。
また、委託先の接続元制限、利用端末、MFA、作業記録、作業時間帯を定義しておかないと、不正利用と正規作業の切り分けが難しくなります。バックアップ保護は保管技術だけでなく、委託先統制の問題でもあります。
外から見える管理面は、定期的に存在確認します
バックアップ管理サーバや関連ポータルが本来非公開であるなら、外から見える状態になっていないかを定期的に確認すべきです。DNS の残骸、停止済みサブドメイン、古い管理ホスト、クラウド移行前の URL が残ると、想定外の入口になります。
この確認は、バックアップ担当だけで閉じず、外部公開資産台帳や未管理公開資産リスクの運用とつなげて回す方が実務的です。入口候補を減らせれば、バックアップ保護の前提条件も安定します。
訓練と見直しで確認しておくべき論点
復元試験では『戻った』だけで終えず、どこで詰まるかを記録します
訓練や復元試験では、成功可否だけを記録して終えると改善点が残りません。実務では、誰の承認が必要だったか、鍵や資格情報を誰が持っていたか、委託先待ちがあったか、監視やパッチの再適用にどれだけ時間がかかったかを残しておく必要があります。ここを記録しておくと、次回の本番や訓練で「どこが最も復旧を遅らせるか」が見えます。
特に、復元後の確認手順が曖昧だと「戻したが安全に使えるか分からない」という状態になりやすくなります。バックアップ破壊対策は保管だけでなく、復元後の確認まで含めた運用として設計する必要があります。
委託先を含む訓練にしないと、本番で連絡待ちになります
バックアップ運用を委託している場合、自社だけで行う訓練では本当の所要時間が分かりません。誰がどの時点で委託先へ依頼するか、緊急連絡は有効か、保護解除や復元権限の申請にどの程度かかるかを一度でも試しておかないと、事故本番で「連絡待ち」による空白時間が生まれます。
そのため、委託先を含むバックアップ訓練では、通常時間帯だけでなく夜間・休日条件も確認した方が実務的です。緊急時に動ける体制と、書類上だけの体制は大きく違います。
バックアップ設計の見直しは、侵入口の見直しと同じサイクルで回します
バックアップ破壊対策を年1回の保管装置点検だけで終えると、入口側の変化に追いつきません。公開RDP が増えた、保守用VPN が増えた、委託先が変わった、外部公開された管理面が増えたという変化は、バックアップ保護の前提条件を変えます。侵入口が広がれば、保管先へ到達される確率も上がるからです。
したがって、外部接続点の見直し、委託先管理、IAM 変更、復旧計画、バックアップ訓練を別々に閉じず、一つの改善サイクルとして回す必要があります。攻撃者は入口と復旧手段の両方を見ています。守る側も、それに合わせて前段と後段を同時に見直すべきです。
特に、外部から見える管理面を減らす活動と、保管先の不変性を高める活動を別チームで持っている場合は、月次でもよいので同じ場で差分を確認した方が安全です。公開 URL の追加、委託先接続の変更、管理者交代、クラウド保管先の設定変更が共有されないと、どちらか一方だけ整っていても実際の耐性は上がりません。
検知・防御・運用で押さえるべき対策
バックアップの置き場所、管理権限、復元経路を棚卸しする
どこに保存され、誰が削除でき、どの資格情報で復元するかを整理し、単一障害点を見つけます。
前提把握削除・変更しにくい保管方式へ寄せる
不変保管、世代分離、別認証系、別管理者、オフライン保管を組み合わせ、侵害後に一気に消されにくい設計へ寄せます。
耐改ざん性の向上バックアップ管理面を本番と分離する
同じドメイン、同じ高権限、同じ端末から一括管理すると、侵害時にまとめて触られやすくなります。
共倒れの防止削除、暗号化、設定変更の兆候を早く拾う
大量削除、保護解除、保持期間変更、復元試行、管理者追加を監視し、静かな破壊の前兆を拾います。
早期検知復元試験で『戻せること』を定期確認する
バックアップが存在しても、実際に戻せなければ意味がありません。優先業務ごとの復元試験を定期的に行います。
実効性の確認バックアップ破壊対策は、保管方式、不変性、管理分離、監視、復元試験を一つの運用として重ねることで実効性が上がります。加えて、公開RDPや外部接続点の可視化のような前段対策とつなげると、そもそも管理面へ到達されにくくできます。
最終的に重要なのは、バックアップだけ別世界に置かず、初動、復旧、外部露出整理とつながった一連の運用として回すことです。保存、保護、検知、復元の各工程を別担当に分ける場合でも、誰がどこで判断し、どの兆候を次工程へ渡すかまで決めておくと、事故時の断絶を減らせます。
前段になる外部導線の棚卸しなら ASM診断 PRO
ASM診断 PRO 公式サイト
ASM診断 PRO はバックアップ製品ではありませんが、公開RDP、古い管理画面、委託先導線など、前段になる外部導線を棚卸しする補助線として使えます。
バックアップ破壊は前段の侵入があって初めて成立します。外部露出を減らしておくことは、復旧不能化を防ぐ間接的な対策になります。
実務では、バックアップ保護と外部露出整理は別担当になりがちです。しかし攻撃者から見ると、公開RDP、古い管理画面、残置された委託先 portal、停止済みサブドメインのどれもが、最終的に管理面へ近づく入口候補になります。入口が広いままだと、保管方式だけ強くしても安心できません。
そのため、ASM診断 PRO で外から見える接点を棚卸しし、どの管理 URL がまだ公開されているか、どのホストが古いまま残っているか、どの委託先接続が停止漏れかを見えるようにしておくと、バックアップ保護の前提条件を整えやすくなります。保管先を守る前に、管理面へ近づく経路を減らす発想です。
つまり ASM診断 PRO の役割は、バックアップそのものを守ることではなく、バックアップを壊しに来る前段の接点を減らすことです。事故時に「どの入口を疑うか」が明確なだけでも、初動と復旧の速度は変わります。
よくある質問
バックアップ破壊対策とは何ですか?
バックアップを保存するだけでなく、侵害後に削除・暗号化・改ざんされにくい設計を作る対策です。
不変保管だけで十分ですか?
十分ではありません。管理権限分離、監視、復元試験もあわせて必要です。
最初に確認すべきことは何ですか?
保管先、管理権限、削除できる人、世代管理、復元試験の5点を先に確認してください。
復旧計画と同じですか?
違います。復旧計画はどの業務から戻すか、バックアップ破壊対策はそもそも戻せる状態を守る話です。
ASM診断 PRO はバックアップを守る製品ですか?
いいえ。ASM診断 PRO は、前段になる外部導線の棚卸しを補助する位置づけです。
まとめ
バックアップ破壊対策は、保存装置の追加より、分離、不変保管、監視、復元試験を重ねて『消されにくく戻しやすい』状態を作る方が実効性を持ちやすくなります。
バックアップ破壊対策の本質は、保存することより、侵害後に削除・変更・暗号化されにくい設計を作ることです。
不変保管、管理分離、監視、復元試験を組み合わせることで、復旧不能に近づくリスクを下げやすくなります。
次のアクション
読み終えたら、無料でASM診断を開始
外部公開資産の現状を無料で確認し、管理漏れや優先して見るべきリスクを洗い出してください。記事で読んだ内容を、そのまま自社の判断へつなげやすくなります。
参考にした一次ソース
重要論点の根拠として参照した一次ソースだけを掲載しています。
バックアップ破壊とランサム前兆の整理に使用。
バックアップ保護と侵害兆候の整理に使用。
バックアップ保護の broad な整理に使用。