top of page
検索

「バックアップは取ってます」で監査もランサムも通らない

Azure Backupの“消せない復旧ポイント”+Microsoft 365 Backupで「復旧できる」を仕組み化する(情シス向け)

※本記事は一般的な情報提供を目的としており、個別案件の法的助言・代理交渉等を行うものではありません。個別事情に応じた判断が必要な場合は、弁護士等の専門家と連携して検討してください。


1. 事業会社の情シスが直面する“バックアップの詰み”はだいたい3パターン

バックアップ製品や設定が「存在する」だけでは、現場は守れません。詰みポイントは概ねこの3つです。

① ランサム前提で「バックアップが消される」

侵害者が特権を取ると、まずやるのは バックアップの無効化・保持期間の短縮・削除です。Azure Backup側もこの前提で、ソフト削除・不変性・承認(MUA)などの機能を組み合わせて“破壊操作”を止める設計が整理されています。

② 復旧できるのに「復旧判断ができない」

RTO/RPO、復旧手順、優先順位、復旧の承認者が曖昧だと、技術的に復元できても意思決定が止まります。BCP・DR・バックアップは「入れているか」ではなく、有事に復旧判断ができ、証跡を示せるかで評価される——この視点は実務上かなり重要です。

③ “M365はクラウドだから大丈夫”でデータ保護の穴が空く

M365にも回復性はありますが、情シスとしては「うちの要件の復旧(範囲・時間・証跡)」に落とす必要があります。そこで Microsoft 365 Backup のような公式のバックアップ機能が前提に入りつつあります。


2. Azure Backupで“消せないバックアップ”を作る:5つの実装ポイント

ポイントA:強化されたソフト削除で「消されても戻せる」を確保

強化されたソフト削除は、

  • 保持期間を14~180日で設定できる

  • Always On(常にオン)を選ぶと、後から無効化できない(回復不能な選択)と整理されています。

情シス実務の勘所は、「14日で足りるか?」です。侵害の発見が遅れる(高度な侵害・休暇・連休)前提だと、保持延長が効きます(延長分は課金にも影響)。

ポイントB:「セキュア・バイ・デフォルト」で“そもそも無効化できない”リージョンがある前提で設計する

Azure Backupでは、ソフト削除が既定で強制適用され、ポータルから状態変更できないシナリオが整理されています(特にRecovery Servicesコンテナーの既定適用はパブリックリージョンでプレビュー等)。つまり、設計・更改・廃止計画の段階から「消せない/すぐに完全削除できない」を前提にしておかないと、後でプロジェクトが詰みます。

ポイントC:不変コンテナー(Immutable vault)で“破壊操作”をブロックし、必要ならロックする

不変コンテナーは、復旧ポイント損失につながる操作をブロックし、設定をロックして元に戻せなくすることができます。さらに、ロックされた不変性ではWORM(Write Once Read Many)を使う選択肢も示され、ロックは元に戻せないため慎重に判断すべき、と明記されています。

実務で刺さるのは「保持期間の短縮を止める」ことです。不変性が有効な状態では、バックアップポリシーを変更して保持期間を短縮する操作が許可されないなど、破壊方向の変更を止める設計が説明されています。

現場の推奨手順 まず 有効(Enabled)で運用に影響がないことを確認 復旧テストと手順書が固まったら 有効+ロック(Enabled locked)へ※ロックは戻せないので「戻せる設計」の逃げ道(別ボールト/別世代)を先に用意する

ポイントD:マルチユーザー承認(MUA)で「権限を取られても最後の一線を残す」

Azure BackupのMUAは Resource Guard という別リソースを使い、重要操作が「適用可能な承認」でのみ実行されるようにする保護レイヤーです。

Microsoft Learnでは、保護を最大化するために

  • 別テナントにResource Guardを作る

  • そのテナント側で Microsoft Entra PIM を使って重要操作アクセスを申請・承認(JIT化)という構成例まで示しています。

情シスの言葉にすると、「バックアップ運用者が侵害された」≠「バックアップが消せる」にするのがMUAです。

ポイントE:プライベートエンドポイント(v2)で“バックアップ操作の経路”を閉じる

Azure Backupはプライベートエンドポイントを用いて、Recovery Servicesコンテナーからのバックアップ/復元操作を安全に実行でき、VNetのプライベートIPを用いてサービスを実質的にVNetに取り込みます。

「権限」だけでなく「到達経路」も塞ぐと、

  • 不審IPからの操作

  • 外部ネットワークからの管理アクセスのリスクを落とせます(運用設計の難易度は上がるので、復旧手順とセットで)。


3. “見えないバックアップ”はバックアップじゃない:監視・レポートで証跡を作る

Azure Backupは、Log Analyticsと統合し、Workbooksでレポート表示できることがベストプラクティスとして整理されています。 また、レポート構成では Log Analyticsワークスペースの既定保持が30日である点が明記され、長期で見たい場合は保持期間の変更が必要です。

情シス的に“刺さる”運用はこれです。

  • 週次:失敗ジョブ/未保護リソース/保護状態の差分

  • 月次:RPO逸脱(想定より古い復旧ポイントしかない)

  • 四半期:復旧演習(実復元)+「誰が・いつ・どの手順で」証跡保管(監査や取引先説明で“言った・言わない”を消す)


4. M365も「公式バックアップ」を前提に考える時代:Microsoft 365 Backupの要点

Microsoft 365 Backupは、OneDrive/SharePoint/Exchangeのバックアップと高速復元を提供

Microsoft Learnでは、Microsoft 365 Backupが

  • 保護されたサービスのデータ境界内にバックアップを作成し高速バックアップ/復元を提供

  • OneDrive/SharePoint/Exchangeは Append-Only(追加専用)のバックアップストレージで、悪意ある上書きから保護

  • データは Microsoft 365のデータ信頼境界を離れない(課金目的でのみ限定メタデータがAzureへ)

  • バックアップは バックアップツール管理者がオフボードで明示的に削除しない限り変更できないと説明しています。

ランサムや内部不正の文脈で、「バックアップ自体が改ざんされにくい」設計が示されている点が情シス的に重要です。

設定はM365管理センターから。ロールと通知設計が地味に重要

Microsoft 365 Backupの設定は、Microsoft Learnの手順で

  • 管理センターの [設定] → [Microsoft 365 バックアップ] から

  • OneDrive/SharePoint/Exchangeの バックアップポリシーを作成と案内されています。

また、設定に必要な権限として SharePoint管理者またはグローバル管理者が必要で、Microsoftは可能な限り最小ロール利用を推奨(グローバル管理者は緊急時に限定)と明記しています。

さらに、Microsoft 365 Backupには専用ロール 「Microsoft 365 バックアップ管理者」が導入され、テナント管理者のみがバックアップ作成/管理でき、エンドユーザーは有効化できない、と整理されています。

加えて、“有害な可能性のあるイベント”を複数管理者に通知する仕組み(無効化、課金停止、ポリシーからの削除、オフボード=バックアップ削除等)も推奨されています。ここは「気付けなかった」を潰す実務ポイントです。


5. ここまでやって初めて「復旧できる」を“説明できる”に変えられる

バックアップ設計は、技術だけで完結しません。特に事業会社の情シスが詰まるのは「委託先」「監査」「取引先説明」です。

山崎行政書士事務所でも、BCP・DR・バックアップは RTO/RPO、復旧手順の実効性、権限統制、テストと証跡まで含めて整理しないと評価されない、という観点でページと記事をまとめています。

情シスが作るべき成果物(“設定”とセットで効く):

  • バックアップ対象台帳(何を・どの方式で・どの世代で)

  • RTO/RPOの合意メモ(業務側と合意した数字を残す)

  • 復旧手順書(Runbook):復旧順、判断者、ロールバック、連絡網

  • 権限分離(RACI):運用者/承認者/監査提出者を分ける

  • 復旧演習の記録:日時、対象、結果、課題、改善(監査で最強の証跡)

  • 委託先SOW/運用条項:復旧時の責任分界・SLA・証跡提出(※個別案件の法的評価は弁護士連携)


6. 情シス向けチェックリスト(Yesが揃わないと“次に燃える”)

  • □ Azure Backupで 強化ソフト削除(14~180日)の方針が決まっている

  • □ 不変コンテナーは 有効→復旧検証→ロックの順で運用できる

  • □ MUA(Resource Guard)で、重要操作に 追加承認を入れている

  • □ バックアップ/復元経路はプライベートエンドポイント等で閉じている

  • □ レポートはLog Analyticsへ出し、保持(30日デフォ)と証跡保管方針がある

  • □ M365はMicrosoft 365 Backup等で「復旧要件」を満たす設計になっている

  • □ Microsoft 365 Backupは最小権限ロール・通知・専用管理者ロールまで設計している

まとめ

ランサムウェア時代のバックアップは、**「取っている」ではなく「消せない/見える/試せる/説明できる」**が勝負です。Azure Backupの 強化ソフト削除+不変性+MUA+閉域化+監視、M365側は Microsoft 365 Backup+最小権限+通知までセットで組むと、情シスが“止めずに守る”設計に寄せられます。

 
 
 

コメント

Instagram​​

x

note

You Tube

info@shizuoka-yamazaki-jimusho.com

Microsoft、Azure、Microsoft 365、Entra は米国 Microsoft Corporation の商標または登録商標です。
本ページは一般的な情報提供を目的とし、個別案件は状況に応じて整理手順が異なります。

※本ページに登場するイラストはイメージです。
Microsoft および Azure 公式キャラクターではありません。

Microsoft, Azure, and Microsoft 365 are trademarks of Microsoft Corporation.
We are an independent service provider.

​所在地:静岡市

©2024 山崎行政書士事務所。Wix.com で作成されました。

bottom of page