Azure Backupのランサムウェア対策を“経営説明”に変える
- 山崎行政書士事務所
- 3 日前
- 読了時間: 19分

バックアップは取っているが、復旧可能性を説明できない企業へ
復旧手順・証跡・訓練記録を整備する
確認日:2026年7月9日対象読者:経営層、情シス担当者、クラウド運用担当者、セキュリティ担当者、監査対応担当者、BCP/DR担当者対象領域:Azure Backup、Recovery Services vault、Backup vault、ランサムウェア対策、RTO/RPO、復旧訓練、監査証跡、クラウドガバナンス
結論
Azure Backupのランサムウェア対策は、「バックアップを取っています」では経営説明になりません。
経営層・監査・事故対応で説明すべきなのは、次の3点です。
経営説明で必要なこと | 説明内容 |
消されにくいか | Soft delete、Immutable vault、MUA、RBACでバックアップ削除・改ざんリスクを下げているか |
汚染されていないか | ランサムウェア感染前の復元ポイントをどう選ぶか、Microsoft Defender連携を使えるか |
戻せるか | 実際に復元テストを行い、RTO/RPO、手順、担当者、証跡を残しているか |
Microsoft公式では、Azure Backupはランサムウェア攻撃に対して、バックアップ環境の保護、転送中・保存中データの保護、削除後の復旧、監視・アラートなどの機能を提供すると説明されています。ただし、復旧時間は環境・データ量・ストレージ性能・手順によって変わるため、個別企業のRTOは実測しない限り確認できません。(learn.microsoft.com)
理由
ランサムウェア事故では、攻撃者が本番データだけでなく、バックアップ、復旧手順書、管理者権限、監視基盤も狙うことがあります。
そのため、経営層に説明すべきポイントは、単なる取得状況ではありません。
よくある説明 | 不十分な理由 |
毎日バックアップしています | どこまで戻せるか、何時間で戻せるかが不明 |
Recovery Services vaultにあります | 削除・保持期間短縮・権限濫用への対策が不明 |
復元できます | 実際に復元テストをしていないと証明できない |
監視しています | 誰がアラートを見て、誰が復旧判断するか不明 |
ランサムウェア対策済みです | 感染前の復元ポイントを選ぶ手順が不明 |
Microsoft公式のランサムウェア対策向けバックアップ計画では、バックアップを作成時と復元前に検証すること、攻撃時には重要システムを優先して復元すること、インシデントタイムラインを確認して適切な時点へ戻すことが示されています。(learn.microsoft.com)
数字で見る:経営説明に必要な12項目
Azure Backupを経営説明に変えるには、最低限、次の12項目を資料化します。
No. | 項目 | 経営層へ説明する内容 |
1 | 保護対象 | どのVM、DB、Files、Disks、Blob、AKS等が対象か |
2 | 対象外 | 何がバックアップ対象外か |
3 | RPO | 最大何時間分のデータ損失を許容するか |
4 | RTO | 何時間以内に業務を再開する目標か |
5 | 保持期間 | 日次・週次・月次・年次を何日、何年保持するか |
6 | 削除防止 | Soft delete、Immutable vault、MUAの設定状況 |
7 | 権限管理 | 誰がバックアップ削除・復元・保持期間変更をできるか |
8 | 復元ポイント選定 | ランサムウェア感染前の復元ポイントをどう選ぶか |
9 | 復旧手順 | 誰が、どの順番で、どこへ復元するか |
10 | 復旧訓練 | いつ復元テストを実施し、何分かかったか |
11 | 証跡 | Backup Job、Restore Job、承認、監査ログ |
12 | 改善管理 | 復元訓練で見つかった課題と期限 |
Microsoft Cloud Security Benchmarkでは、バックアップ構成と復旧手順を定期的に検証し、RTO/RPOを満たすか確認すること、バックアップ作成・削除・復元・構成変更の監査ログを有効化することが示されています。(learn.microsoft.com)
1. 「バックアップ取得」と「復旧可能性」は別物
バックアップ取得は、復旧可能性の前提にすぎません。復旧可能性を説明するには、次の4つがそろっている必要があります。
図1:復旧可能性を説明する4要素
バックアップ取得
│
▼
バックアップ保護
Soft delete / Immutable / MUA / RBAC
│
▼
復元ポイント選定
感染前・改ざん前・業務上戻せる時点
│
▼
復旧手順と訓練
RTO/RPO実測・証跡保存Azure VM Backupでは、バックアップはRecovery Services vaultに保存され、復旧ポイントを管理できます。一方で、復元時間はストレージのIOPSやスループット、復元先の負荷などに影響されるとMicrosoft公式に説明されています。つまり、復元時間は机上では断定できず、復元テストで測る必要があります。(learn.microsoft.com)
2. Azure Backupで押さえるべきランサムウェア対策
表1:Azure Backupの主要セキュリティ機能
機能 | 目的 | 経営説明 |
Soft delete | 削除後も一定期間復旧可能にする | 誤削除・悪意ある削除からの回復余地を残す |
Enhanced soft delete | Soft deleteを常時有効化・保持期間拡張 | 削除防止を標準化する |
Immutable vault | 復旧ポイント喪失につながる操作をブロック | 管理者権限濫用への防御を強化する |
Locked immutability | 不変設定を不可逆化 | 攻撃者が不変設定を解除できない状態に近づける |
Multi-user authorization | 重要操作に別承認を要求 | 1人の管理者だけで破壊的操作を完了させない |
Azure RBAC | 最小権限管理 | バックアップ削除・復元・閲覧を職務分離する |
Azure Monitor alerts | 削除・失敗・保持短縮等を通知 | 異常操作を運用担当へ届ける |
Backup Reports | 取得状況・復元・監査・傾向分析 | 経営・監査向けの可視化に使う |
Defender連携 | VM復元ポイントの脅威検知 | 汚染された復元ポイントを避ける判断材料にする |
Azure Backupのセキュリティ概要では、Soft delete、Enhanced soft delete、Multi-user authorization、監視・アラート、Backup Reportsがバックアップデータ保護の機能として説明されています。(learn.microsoft.com)
3. Soft delete:削除されても戻せる余地を残す
Soft deleteは、バックアップデータが削除された場合でも、一定期間は復旧可能にする仕組みです。
Microsoft公式では、Soft deleteにより、削除されたバックアップデータを既定14日間保持し、その間に復旧できると説明されています。Secure by defaultの説明では、Soft deleteは削除されたデータやVaultを指定期間保持し、保持期間は既定14日、最大180日まで延長可能とされています。(learn.microsoft.com)
表2:Soft deleteの経営説明
観点 | 説明 |
守るもの | 削除されたバックアップデータ |
守れないもの | 感染前の復元ポイント選定、アプリ整合性、復旧手順 |
既定保持 | 14日 |
延長 | 最大180日まで設定可能 |
注意 | 14日超の保持には通常のバックアップ料金が発生する場合がある |
経営説明 | 「削除されても一定期間は復旧可能性を残す安全網」 |
4. Immutable vault:バックアップの削除・保持短縮を防ぐ
ランサムウェア対策では、バックアップそのものを消されないことが重要です。
Microsoft公式では、Immutable vaultは、復旧ポイントの喪失につながる操作をブロックすることでバックアップデータを保護する機能であり、ロックすると不可逆になり、悪意ある攻撃者が不変設定を無効化してバックアップを削除することを防ぐ助けになると説明されています。(learn.microsoft.com)
表3:Immutable vaultで制限される代表的な操作
操作 | 意味 |
Stop protection with delete data | 保護停止と同時にバックアップデータを削除する操作 |
保持期間の短縮 | 復旧ポイントが早く消えるようにする操作 |
低い保持期間のポリシーへ変更 | 既存バックアップの保全性を弱める操作 |
不変設定の解除 | Locked状態では不可逆 |
経営説明例
当社は、重要システムのバックアップについて、Immutable vaultを有効化し、
復旧ポイントの削除や保持期間短縮を制限します。
本番適用後、影響を確認したうえでLocked状態に移行することで、
管理者権限を悪用したバックアップ破壊リスクを低減します。5. Multi-user authorization:1人で壊せない運用にする
バックアップ削除や保持期間短縮のような破壊的操作は、1人の管理者だけで完了できないようにすべきです。
Microsoft公式では、Multi-user authorization、MUAはResource Guardを使い、Recovery Services vaultやBackup vaultの重要操作に追加承認を要求する仕組みです。Resource Guardは別ユーザーが所有し、Vault管理者がResource Guardに対するContributor等の権限を持たない構成が推奨されています。(learn.microsoft.com)
表4:MUAで保護すべき操作
操作 | 経営上の意味 |
Soft delete無効化 | 削除後の復旧安全網を外す操作 |
MUA解除 | 二重承認を無効化する操作 |
Stop backup and delete data | 復旧不能化につながる操作 |
保持期間短縮 | 感染前バックアップが早期に消えるリスク |
暗号化設定変更 | 復旧可否や機密性に影響 |
MARS security PIN取得 | ハイブリッドバックアップの重要操作 |
図2:MUAによる職務分離
Vault管理者
│
│ 重要操作を要求
▼
Recovery Services vault / Backup vault
│
│ Resource Guard承認が必要
▼
別管理者・別チーム
│
│ 承認
▼
重要操作が実行可能6. Defender連携:汚染された復元ポイントを避ける
ランサムウェア復旧では、「最新の復元ポイント」が正解とは限りません。最新バックアップがすでに暗号化後・感染後であれば、復元しても再び被害が残る可能性があります。
Microsoft公式では、Azure BackupはMicrosoft Defender for Cloudと統合し、Azure VMバックアップについて、ランサムウェア感染や悪意ある復元ポイントの可能性を検出する機能を提供すると説明されています。Defender for Serversのセキュリティ信号により、Azure Backupはバックアップスナップショット作成時に復元ポイントの健全性を評価し、クリーンな復元ポイントの特定を支援します。(learn.microsoft.com)
ただし、この機能はAzure VMバックアップ向けの脅威検知機能であり、すべてのAzure Backup対象ワークロードに同じ範囲で適用されるとは確認できません。利用可否、対象リージョン、Defenderプラン、プレビュー状態は、実際のテナントで確認する必要があります。
7. RTO/RPOを“経営の言葉”にする
バックアップ運用では、RTOとRPOを必ず経営層が理解できる言葉に変換します。
表5:RTO/RPOの経営説明
用語 | 技術的意味 | 経営向け表現 |
RTO | 復旧時間目標 | 何時間以内に業務を再開するか |
RPO | 復旧時点目標 | 何時間分のデータ損失を許容するか |
復元ポイント | バックアップの時点 | どの時点に戻すか |
保持期間 | バックアップを残す期間 | どれだけ過去に戻れるか |
復元訓練 | テスト復旧 | 本当に戻せることの実証 |
Microsoft Well-Architected Frameworkでは、バックアップはAzureサービスごとに適した方式を選ぶこと、保持期間を定義すること、単一のツールがすべてをカバーするわけではないこと、復元テストを定期的に行うことが推奨されています。(learn.microsoft.com)
8. RTOは「Restoreボタンを押してから」では足りない
経営層へ説明するRTOは、Azure BackupのRestore Job時間だけではありません。業務再開までの全体時間で測る必要があります。
図3:ランサムウェア復旧時のRTO内訳
1. 異常検知
↓
2. 影響範囲確認
↓
3. 感染時刻・侵入時刻の推定
↓
4. 復元ポイント選定
↓
5. 復元承認
↓
6. Azure Backup Restore実行
↓
7. VM/DB/File/アプリ起動
↓
8. マルウェア検査・健全性確認
↓
9. DNS/Firewall/接続切替
↓
10. 業務部門による確認
↓
11. 業務再開Azure VMバックアップの公式説明では、復元時間はストレージのIOPSやスループットに依存し、復元先ストレージが他の読み書きで負荷を受けていると影響を受けると説明されています。したがって、RTOは本番に近い条件で復元テストを行って実測する必要があります。(learn.microsoft.com)
9. 復元ポイント選定は“攻撃タイムライン”とセットで行う
ランサムウェア復旧では、いつ暗号化されたかだけでなく、いつ侵入されたか、いつ認証情報が盗まれたか、いつ横展開されたかを確認します。
表6:復元ポイント選定の観点
確認項目 | 内容 |
暗号化開始時刻 | ファイル暗号化・DB破壊が始まった時刻 |
初期侵入時刻 | 攻撃者が侵入した可能性のある時刻 |
権限昇格時刻 | 管理者権限やバックアップ権限が奪われた可能性 |
バックアップ削除試行 | Vault、Soft delete、MUAのログ |
Defender検知 | suspicious RP、malware/ransomware signal |
復元候補 | 感染前で、業務データとして許容できる時点 |
業務承認 | どの時点まで戻るかを業務部門が承認 |
Microsoft公式のランサムウェア向けバックアップ計画では、攻撃時に重要システムから優先復旧し、復元前にバックアップが良好であることを再確認し、インシデントタイムラインを確認して適切な復元時点を判断することが示されています。(learn.microsoft.com)
10. 経営向け1枚資料テンプレート
表7:Azure Backupランサムウェア対策 経営説明資料
項目 | 現状 | リスク | 対策 | 証跡 |
バックアップ対象 | VM、DB、Files | 対象外が不明 | 対象台帳を整備 | Backup Reports |
保持期間 | 日次30日等 | 感染前が消える | 長期保持を設計 | Backup policy |
削除防止 | Soft deleteのみ | 管理者削除リスク | Immutable vault、MUA | Vault設定 |
権限 | 管理者が広い | 内部不正・侵害リスク | RBAC、PIM、職務分離 | RBAC一覧 |
復元ポイント | 手動判断 | 感染後へ戻すリスク | 攻撃タイムライン+Defender信号 | Incident ticket |
復元手順 | 未整備 | 復旧遅延 | Runbook化 | 手順書 |
復元訓練 | 未実施 | 戻せる証明なし | 四半期/半期で訓練 | 訓練報告書 |
RTO/RPO | 未測定 | 経営判断不能 | 実測値を記録 | Restore Job |
改善管理 | 属人対応 | 同じ失敗を繰返す | 課題台帳 | 改善記録 |
11. 復旧Runbookの標準フロー
図4:ランサムウェア復旧Runbook
ランサムウェア検知
│
▼
初動対応
EDR / Sentinel / Defender / Firewall / Entraログ確認
│
▼
隔離判断
感染VM・アカウント・ネットワーク遮断
│
▼
バックアップ保全確認
Vault / Soft delete / Immutable / MUA / アラート確認
│
▼
復元ポイント候補抽出
感染前・業務許容時点
│
▼
復元承認
情シス責任者・業務責任者・経営層
│
▼
隔離環境へ復元
本番へ直接戻さない
│
▼
マルウェア検査・業務確認
│
▼
本番復旧・DNS/接続切替
│
▼
完了報告・証跡保存
│
▼
再発防止・規程改訂NIST SP 800-61 Rev.3では、インシデント対応はサイバーリスク管理の重要部分であり、組織運用全体に統合されるべきものと説明されています。また、Detect、Respond、Recoverは、サイバーセキュリティインシデントの発見、管理、封じ込め、復旧、報告、通知に関係します。(nvlpubs.nist.gov)
12. 復旧訓練で測定すべき項目
復旧訓練は「実施しました」では足りません。測定値と改善点を残す必要があります。
表8:復旧訓練記録テンプレート
項目 | 記録例 |
訓練番号 | RST-2026-001 |
対象システム | 受注管理VM |
対象Vault | rsv-prod-backup |
復元ポイント | 2026-07-09 02:00 |
復元方式 | 新規VMへ復元 |
復元先 | 隔離VNet |
開始時刻 | 10:00 |
復元完了時刻 | 11:15 |
アプリ確認完了 | 11:45 |
実測RTO | 1時間45分 |
実測RPO | 8時間 |
マルウェア検査 | 実施済み |
業務確認 | ログイン、検索、帳票確認OK |
問題点 | DNS切替手順が不明確 |
改善策 | DNS Runbook作成 |
改善期限 | 2026-08-31 |
承認者 | 情シス責任者、業務責任者 |
Azure BackupのランサムウェアFAQでは、バックアップ構成とバックアップデータの可用性が組織のRPO/RTO要件を満たすか確認するため、復旧テストの範囲と頻度を定義し、定期的に復旧テストを行うことが推奨されています。(learn.microsoft.com)
13. 監視・アラート・証跡を残す
バックアップ保護では、削除、失敗、保持期間短縮、復元失敗などをすぐに把握できる必要があります。
Microsoft公式では、Azure BackupはAzure Monitorと統合し、バックアップデータ削除、Soft delete無効化、バックアップ失敗、復元失敗などの重要シナリオについてアラートを提供します。Security Alertsは既定で生成され、オフにできないと説明されています。(learn.microsoft.com)
表9:監視すべきアラート
アラート | 意味 |
Delete Backup Data | バックアップデータ削除操作 |
Upcoming Purge | 永久削除が近い |
Purge Complete | 完全削除完了 |
Soft Delete Disabled | Soft delete無効化 |
Modify Policy with Shorter Retention | 保持期間短縮 |
MUA Disabled | 多ユーザー承認解除 |
Backup Failure | バックアップ失敗 |
Restore Failure | 復元失敗 |
証跡として残すべきもの
証跡 | 用途 |
Backup Job履歴 | バックアップが成功しているか |
Restore Job履歴 | 復元訓練・本番復旧の記録 |
Backup Reports | 監査・経営向け可視化 |
Azure Activity Log | Vaultや設定変更の記録 |
Azure Monitor Alert | 異常操作・失敗の記録 |
RBAC一覧 | 誰が復旧・削除できるか |
MUA承認記録 | 重要操作の二重承認 |
復旧訓練報告書 | RTO/RPO実測 |
改善台帳 | 課題と是正管理 |
Azure Backup Reportsは、バックアップジョブ、バックアップインスタンス、使用量、ポリシー、ポリシー遵守、バックアップ・復元監査、長期傾向把握のため、Azure Monitor LogsとAzure Workbooksを使うレポート機能です。(learn.microsoft.com)
14. バックアップ対象・対象外台帳を作る
ランサムウェア対応で最初に問われるのは、**「どの業務が、どのバックアップで、どこまで戻せるのか」**です。
表10:バックアップ対象台帳
項目 | 記入例 |
管理番号 | BKP-2026-001 |
業務名 | 受注管理 |
重要度 | Tier 1 |
Azureリソース | vm-order-prod-01 |
データ種別 | 業務DB、アプリログ |
Backup方式 | Azure VM Backup |
Vault | rsv-prod-east |
Policy | daily-30d-monthly-12m |
保持期間 | 日次30日、月次12か月 |
Soft delete | 有効 |
Immutable vault | 有効/Locked予定 |
MUA | 有効 |
最終成功バックアップ | 2026-07-09 02:00 |
最終復元訓練 | 2026-06-30 |
実測RTO | 2時間15分 |
実測RPO | 24時間 |
対象外 | Key Vault、DNS、Firewall設定 |
代替策 | IaC、Key Vault Backup、DNS台帳 |
所有者 | 情シス基盤チーム |
業務責任者 | 営業管理部長 |
15. 権限設計:復元できる人と削除できる人を分ける
バックアップの権限は、便利さよりも職務分離を優先します。
表11:推奨ロール分離
役割 | 主な権限 | 注意点 |
Backup Reader | 閲覧 | 監査・確認用 |
Backup Operator | バックアップ・復元操作 | 削除・保持短縮は制限 |
Backup Contributor | バックアップ管理 | 本番ではPIM・承認制 |
Security Admin | MUA/Resource Guard管理 | Vault管理者と分離 |
経営・業務責任者 | 技術権限なし | 復元時点・業務再開を承認 |
監査担当 | 読取専用 | 証跡確認 |
Microsoft Cloud Security Benchmarkでは、Azure BackupにRBACを実装し、Backup Contributor、Backup Reader、Backup Operator等で職務分離と最小権限を行うこと、MFAやPIM、監査ログ、アラートを使うことが推奨されています。(learn.microsoft.com)
16. RACI:誰が何を決めるのか
表12:ランサムウェア復旧 RACI表
作業 | 経営層 | 情シス責任者 | クラウド基盤 | SOC/CSIRT | 業務部門 | 監査/規程 |
バックアップ方針承認 | A | R | C | C | C | C |
保護対象決定 | A | R | C | C | R | C |
Vault設定 | I | A | R | C | I | C |
Immutable/MUA設定 | I | A | R | C | I | C |
アラート監視 | I | C | C | R | I | C |
ランサムウェア検知 | I | C | C | R | I | I |
復元ポイント選定 | C | A | R | R | C | C |
復元承認 | A | R | C | C | R | I |
復元作業 | I | A | R | C | C | I |
業務再開判断 | A | C | C | C | R | I |
証跡保存 | I | A | R | C | C | R |
改善管理 | A | R | C | C | C | R |
R:実行責任、A:説明責任、C:相談先、I:共有先
17. 経営会議で使える説明例
当社は、Azure Backupにより重要システムのバックアップを取得しています。
しかし、ランサムウェア対策として重要なのは、バックアップ取得だけではありません。
攻撃者がバックアップ削除や保持期間短縮を試みても復旧可能性を維持するため、
Soft delete、Immutable vault、Multi-user authorizationを組み合わせ、
バックアップデータの削除・改ざんリスクを低減します。
また、復旧時には感染後の復元ポイントを選ばないよう、
インシデントタイムライン、Defender for Cloudの検知情報、バックアップ履歴を確認し、
業務責任者の承認を得て復元時点を決定します。
さらに、四半期または半期ごとに復元訓練を行い、
実測RTO、実測RPO、復元手順、課題、改善期限を記録します。
これにより、単なる「バックアップを取っている状態」ではなく、
「消されにくく、戻せることを証跡で説明できる状態」を目指します。18. バックアップ・復旧規程に入れるべき条項
規程文サンプル
第○条(Azure Backupによるランサムウェア対策)
1. 当社は、重要システムについて、業務影響分析に基づき、
RTO、RPO、バックアップ頻度、保持期間、復元優先順位を定義し、
バックアップ管理台帳に記録する。
2. 重要システムのバックアップについては、Soft delete、Immutable vault、
Multi-user authorization、Azure RBAC、監査ログを組み合わせ、
バックアップデータの削除、保持期間短縮、権限濫用による復旧不能化を防止する。
3. Immutable vaultをLocked状態へ変更する場合は、
事前に影響範囲、保持期間、コスト、削除不能期間を確認し、
情シス責任者および経営層の承認を得る。
4. ランサムウェア被害時の復元ポイントは、
攻撃タイムライン、セキュリティログ、Defender for Cloudの検知情報、
業務データの整合性を確認したうえで選定する。
5. 復元作業は、原則として隔離環境で実施し、
マルウェア検査、アプリケーション確認、業務部門確認を経て本番復旧を判断する。
6. 重要システムについては、少なくとも年1回以上、
可能であれば四半期または半期ごとに復元訓練を実施し、
実測RTO、実測RPO、手順上の課題、改善期限を記録する。
7. バックアップ削除、復元、保持期間変更、MUA解除、Soft delete無効化、
Immutable vault設定変更は、変更管理手続および承認証跡を必要とする。19. 監査で問われる質問
表13:監査質問と準備資料
監査質問 | 準備資料 |
どのシステムがバックアップされていますか | バックアップ対象台帳 |
バックアップ対象外はありますか | 対象外一覧、代替策 |
ランサムウェアでバックアップを削除された場合の対策はありますか | Soft delete、Immutable vault、MUA設定証跡 |
復元ポイントはどのように選びますか | 復元ポイント選定手順 |
RTO/RPOは実測していますか | 復元訓練報告書 |
復元テストはいつ行いましたか | Restore Job履歴、訓練記録 |
誰が復元を承認しますか | RACI表、承認フロー |
バックアップ削除操作は検知できますか | Azure Monitorアラート |
保持期間短縮は防げますか | Immutable vault、MUA設定 |
復旧手順書はありますか | Runbook |
手順書は攻撃者に消されませんか | 証跡・手順書の保護場所 |
訓練で出た課題は改善されていますか | 改善管理台帳 |
NIST SP 800-34 Rev.1は、情報システムと業務を評価し、コンティンジェンシープランニング要件と優先順位を決めるためのガイダンスを提供する文書です。また、同文書は2010年11月11日に最終版として公開されています。(csrc.nist.gov)
20. 注意点:Azure Backupだけで全ての復旧は説明できない
Azure Backupは重要な基盤ですが、すべてを単独でカバーするものではありません。
表14:別途設計が必要なもの
領域 | 別途必要な設計 |
Entra ID | 認証基盤、管理者権限、PIM、Break Glass |
Key Vault | Secret、証明書、鍵のバックアップ・Soft delete・Purge protection |
DNS | 復旧先への切替、Private DNS、TTL |
Firewall/WAF | 復旧環境の通信許可 |
IaC | 復旧環境の再作成 |
App設定 | 接続文字列、環境変数 |
DB | Azure SQL、PostgreSQL、Cosmos DB等のPaaS別DR |
Sentinel/EDR | 攻撃タイムライン、感染範囲確認 |
運用手順 | 災害宣言、承認、経営報告 |
契約・委託 | SOC/MSSP/運用委託の責任分界 |
Microsoft Well-Architected Frameworkでも、バックアップソリューションはAzureサービスごとに選ぶ必要があり、単一のツールがすべてをカバーするわけではないと説明されています。(learn.microsoft.com)
21. 山崎行政書士事務所としての支援領域
Azure Backupのランサムウェア対策は、Azure設定だけでは完成しません。企業として必要なのは、経営説明、復旧手順、証跡、訓練記録、規程、責任分界を一体化することです。
領域 | 支援内容 |
Azure技術支援 | Azure Backup、Recovery Services vault、Backup vault、Soft delete、Immutable vault、MUA設計 |
ランサムウェア対策 | 復元ポイント選定、隔離復旧、Defender/Sentinel連携整理 |
BCP/DR整備 | RTO/RPO、復旧優先順位、復旧Runbook |
監査対応 | Backup Reports、Restore Job、Activity Log、訓練記録整理 |
規程整備 | バックアップ規程、復旧規程、例外管理規程、証跡保存規程 |
経営資料 | 経営会議向け1枚資料、投資対効果、未対応リスク整理 |
契約・委託管理 | SOC、MSSP、運用委託、責任分界、報告様式整理 |
行政書士業務の範囲を踏まえ、個別紛争対応や訴訟代理など弁護士領域に属する事項は切り分けたうえで、企業がクラウドを安全に利用するための規程整備、契約関連資料、監査説明資料、運用ルール整備を支援します。
まとめ
Azure Backupのランサムウェア対策で大事なのは、「取っている」ではなく「戻せることを説明できる」状態です。
重要なポイントは5つです。
重要ポイント | 内容 |
消されにくくする | Soft delete、Immutable vault、MUA |
汚染点を避ける | 攻撃タイムライン、Defender連携、復元ポイント選定 |
戻せることを測る | 復元訓練、実測RTO/RPO |
証跡を残す | Backup/Restore Job、承認、アラート、訓練記録 |
経営判断にする | 費用、停止損失、復旧優先順位、未対応リスクを説明 |
バックアップは、最後の砦です。しかし、最後の砦も、守られていなければ壊されます。復旧訓練していなければ、本当に使えるかは確認できません。
Azure Backupのランサムウェア対策、復旧手順、証跡、訓練記録、BCP/DR規程の整備は、山崎行政書士事務所へご相談ください。
出典・確認日
確認日:2026年7月9日
出典 | 確認した主な内容 | 表示日・公開日 |
Microsoft Learn:What is Azure Backup? | Azure Backupの概要、ランサムウェア保護、GRS/ZRS、バックアップ環境保護 | 2026年1月23日表示 (learn.microsoft.com) |
Microsoft Learn:Overview of security features - Azure Backup | Soft delete、Enhanced soft delete、MUA、監視・アラート、Backup Reports | 2026年1月30日表示 (learn.microsoft.com) |
Microsoft Learn:Secure by default with soft delete for Azure Backup | Soft deleteの既定14日、最大180日、Secure by default、Vault soft delete | 2025年12月18日表示 (learn.microsoft.com) |
Microsoft Learn:Immutable vault for Azure Backup | Immutable vault、Locked状態、WORM、制限される操作 | 2026年6月24日表示 (learn.microsoft.com) |
Microsoft Learn:Multiuser authorization using Resource Guard | MUA、Resource Guard、重要操作、職務分離 | 2026年4月28日表示 (learn.microsoft.com) |
Microsoft Learn:Protect backups from Ransomware with Azure Backup FAQ | 復元テスト、RPO/RTO確認、MUA、Soft delete、バックアップ監視 | 確認日:2026年7月9日 (learn.microsoft.com) |
Microsoft Learn:Threat Detection in Azure Backup with Microsoft Defender for Cloud | Azure VMバックアップの脅威検知、汚染復元ポイント検出、Defender連携 | 2026年3月12日表示 (learn.microsoft.com) |
Microsoft Learn:Azure VM Backup overview | Recovery Services vault、復元時間がIOPS/スループット等に依存すること | 2026年1月8日表示 (learn.microsoft.com) |
Microsoft Learn:Monitoring and reporting solutions for Azure Backup | Azure Monitor alerts、Security Alerts、Job Failure Alerts、通知経路 | 確認日:2026年7月9日 (learn.microsoft.com) |
Microsoft Learn:Configure Azure Backup reports | Backup Reports、監査、復元、ジョブ履歴、Log Analytics/Workbooks | 2025年11月26日表示 (learn.microsoft.com) |
Microsoft Learn:Azure Well-Architected Framework Disaster Recovery | サービスごとのバックアップ、保持期間、復元テスト、DR訓練 | 2025年11月19日表示 (learn.microsoft.com) |
Microsoft Cloud Security Benchmark v2:Backup and Recovery | RBAC、MFA、Private Link、監査ログ、アラート、復旧手順検証 | 2026年4月30日表示 (learn.microsoft.com) |
NIST SP 800-34 Rev.1 | コンティンジェンシープランニング、業務・システム評価、優先順位付け | 2010年11月11日公開 (csrc.nist.gov) |
NIST SP 800-61 Rev.3 | インシデント対応、Detect/Respond/Recover、組織横断の役割 | 2025年4月公開 (nvlpubs.nist.gov) |





コメント