ある製造業の経理担当者が出社すると、基幹システムの画面に見慣れない文字列が表示されていた。すべてのファイルが暗号化され、「復旧したければ指定の口座に振り込め」という趣旨の英文が並んでいる。バックアップは取っているはずだと情シス担当に確認したところ、返ってきたのは「たしか1年くらい前に一度、外付けハードディスクにコピーしたはずです」という頼りない返事だった。実際にそのハードディスクを開いてみると、直近の売上データも、最新の取引先マスタも、何も残っていなかった。バックアップは「取っていた」のではなく「取ったつもりになっていた」だけだったのだ。
この会社が特別に不注意だったわけではない。バックアップは、多くの中小企業にとって「重要だと分かってはいるが、後回しにされ続けている仕事」の代表格だ。日々の業務に追われる中で、目に見えて成果の出ない備えは、どうしても優先順位が下がってしまう。しかしその備えを怠ったツケは、最悪のタイミングでまとめて請求される。
この記事は、専門知識がなくても今日から着手できる、業務システムのバックアップ体制の作り方について書いている。完璧を目指す必要はない。まずは最低限の備えを、確実な形で積み上げていくことが目的だ。
なぜ中小企業はバックアップ体制が手薄になりがちなのか
理由は単純で、バックアップは「やらなくても、当面は何も困らない」作業だからだ。日々の売上入力や請求書発行とは違い、バックアップを取らなくても今日の業務は普通に回る。問題が表面化するのは、実際にデータが失われた瞬間だけであり、そのときにはもう手遅れになっている。
加えて、専任の情報システム担当者がいない会社では、バックアップの設定や確認は「気づいた人が、気が向いたときにやる」という属人的な運用になりがちだ。担当者が異動や退職をすれば、バックアップが取られているかどうかの確認自体が止まってしまう。冒頭の会社のように「たしか昔やったはず」という曖昧な記憶だけが頼りの状態は、決して珍しいものではない。
さらに、クラウドサービスを使っているから安心だという誤解も根強い。多くのクラウド型の会計ソフトや業務システムは、サービス提供者側の障害に備えたバックアップは行っているが、それは「利用者が誤ってデータを削除した場合」や「悪意ある第三者にデータを書き換えられた場合」まで救ってくれるとは限らない。この違いを理解しないまま「クラウドだから大丈夫」と思い込んでいる担当者は多い。
バックアップの基本原則
専門家の間では「3-2-1ルール」という考え方がよく使われる。難しく聞こえるが、中身はいたってシンプルだ。
- 3つ:データは最低3つのコピーを持つ(元データ+バックアップ2つ)
- 2つ:そのうち2つは異なる種類の媒体に保存する(たとえば社内のサーバーと外部のクラウドサービスなど)
- 1つ:そのうち1つは物理的に離れた場所に保管する(同じ建物内に全部あると、火災や水害で全滅する)
この原則の本質は「一つの場所、一つの方法にすべてを託さない」という一点に尽きる。社内のサーバーにだけバックアップを取っていれば、そのサーバーごと壊れたり、ランサムウェアに社内ネットワーク全体が感染したりした場合、バックアップも道連れになる。離れた場所、異なる手段にも同じデータを持っておくことで、一つの災難がすべてを奪い去る事態を防ぐ。
最低限やるべき具体策
3-2-1ルールを理解したところで、実際に何から手をつければいいのか。優先順位の高い順に整理する。
1. 自動バックアップの仕組みを設定する
「手動でコピーする」という運用は、必ずいつか忘れられる。人の記憶や善意に頼らず、決まった時刻に自動で実行される仕組みを最初に整える。多くの業務システムやクラウドサービスには自動バックアップの設定項目があるので、まずは自社が使っているシステムにその機能があるかどうかを確認するところから始めてほしい。設定さえ済ませてしまえば、あとは仕組みが淡々と働き続けてくれる。
2. 保存先を分ける
自動バックアップが社内サーバーの中の別フォルダに保存されるだけでは、3-2-1ルールの「異なる媒体」「離れた場所」の条件を満たせない。クラウドストレージサービスや、契約している保守会社が提供するオフサイトバックアップサービスなど、物理的に離れた場所にもコピーが残る仕組みを併用する。月額数千円程度から利用できるサービスも多く、専任の担当者がいなくても始められる。
3. 復元テストを定期的に行う
バックアップの運用で最も見落とされがちなのが、この工程だ。バックアップは「取ること」自体が目的ではなく、「いざというときに元に戻せること」が目的だ。年に一度でいいので、実際にバックアップからデータを復元してみて、正しく開けるか、データが壊れていないかを確認する。この一手間を惜しんだために、いざという時になってバックアップファイルが破損していた、あるいはそもそも空だったと気づく会社は少なくない。
4. 誰が何をいつ確認するかを決めておく
バックアップが正常に動いているかを、月に一度でいいので誰かが確認する担当と日程を決めておく。担当者が一人しかいない会社であれば、カレンダーに繰り返しの予定として登録しておくだけでも効果がある。確認する習慣そのものを、個人の記憶ではなく仕組みとして組み込むことが重要だ。
クラウドサービスと自社サーバーでのバックアップの違いと注意点
クラウド型の業務システムを使っている場合、多くのサービス提供者は自社の設備の物理的な故障に備えたバックアップを標準で行っている。しかし、利用者が誤ってデータを削除した場合や、アカウントが乗っ取られてデータを書き換えられた場合まで、無条件に復元してくれるとは限らない。契約しているサービスの利用規約やヘルプページで、利用者側の過失によるデータ消失時にどこまで復元対応してもらえるのかを、一度確認しておくことをお勧めする。
自社サーバー(オンプレミス)でシステムを運用している場合は、バックアップの取得から保管、復元まで、すべて自社の責任で仕組みを整える必要がある。専任の担当者がいない会社ほど、この負担は重くのしかかる。外部の保守会社と契約し、バックアップの取得と定期確認を委託するという選択肢も検討に値する。自分たちだけで抱え込む必要はない。
よくある失敗パターン
最も多い失敗は、冒頭の事例のように「バックアップは取っていたはずなのに、いざ復元しようとしたら使えなかった」というパターンだ。原因は様々で、バックアップの設定自体が数年前から静かに失敗し続けていた、保存先のディスク容量が満杯になって新しいバックアップが書き込まれていなかった、あるいはバックアップファイル自体が壊れていた、などが典型的だ。共通しているのは、誰も定期的に確認していなかったという点にある。
もう一つ深刻なのが、バックアップ自体がランサムウェア被害に巻き込まれてしまうパターンだ。バックアップの保存先が、感染したパソコンやサーバーと常時接続された状態(たとえば常にマウントされている外付けハードディスクや共有フォルダ)になっていると、ウイルスがバックアップファイルまで一緒に暗号化してしまう。バックアップは、通常時はネットワークから切り離しておく、あるいは書き込み専用でアクセス権を制限しておくといった工夫が必要になる。
三つ目は、バックアップの存在自体を新しい担当者が知らないパターンだ。前任者が個人の判断で始めた運用が、引き継ぎ資料に残されないまま担当者交代を迎え、いつの間にか誰も気にかけない仕組みになってしまう。バックアップの設定内容と確認方法は、必ず文書として残し、担当者が変わっても引き継がれる状態にしておく必要がある。
まとめ
バックアップは、平時には誰からも感謝されない地味な仕事だ。うまくいっているときは何も起きないので、その価値が実感されることはほとんどない。しかし、いざデータが失われた瞬間、それまでの備えの差が会社の存続すら左右する。
3-2-1ルールに沿って自動化の仕組みを整え、保存先を分散させ、年に一度は復元テストを行う。誰が確認するかを決めて、文書として残す。どれも今日から始められることばかりだ。目立たない備えに黙々と向き合う担当者の努力こそが、いざという時に会社を守る最後の砦になる。壁を越えて働く人たちの仕事は、派手な挑戦の中だけにあるのではない。誰も見ていないところでの地道な備えの中にも、確かにその姿はある。