中小企業が今すぐやるべき「データバックアップ」5つの方法｜サイバー攻撃・災害から会社を守る

「うちは社内のNASにデータをバックアップしているから大丈夫」
そう考えている経営者の方は多いのではないでしょうか。
しかし、これは2026年の現在において、もっとも危険な思い込みの一つです。

近年急増しているランサムウェア攻撃では、社内ネットワークにつながった端末・サーバー・NASがまとめて暗号化されるケースが後を絶ちません。

「バックアップを取っていたのに、それも一緒にやられた」という被害事例が、警察庁・IPA（情報処理推進機構）でも多数報告されています。

地震・大雨・サイバー攻撃——会社のデータが失われるリスクは、確実に高まっています。

本記事では、中小企業が今すぐ取り組むべきデータバックアップの正しい考え方と、具体的な5つの方法を解説します。

中小企業こそランサムウェアの標的になっている

IPA（情報処理推進機構）が発表した「情報セキュリティ10大脅威 2026（組織編）」では、ランサムウェアによる被害が11年連続で1位にランクインしました。
警察庁の統計では、2025年のランサムウェア被害届のうち約6割が中小企業を占めています。

「自社は規模が小さいから狙われない」は、もはや通用しません。

むしろ攻撃者は、セキュリティの弱い中小企業を踏み台にして、取引先の大企業に侵入する手口を多用しています。

そのため、自社が直接の標的でなくても、巻き込まれるリスクが高まっています。

災害でデータを失うリスクも依然として高い

サイバー攻撃だけではありません。
地震・水害・火災・停電——自然災害によってサーバーや書類が消失するリスクも、年々高まっています。

南海トラフ地震の発生確率は、政府の地震調査委員会により30年以内に80%程度へと引き上げられました。

「いざというとき、お客様の情報・売上データ・経理データを守れるか」
——これは経営者として正面から向き合うべき問題です。

データバックアップの世界標準として広く採用されているのが、3-2-1ルールです。

これは次のような考え方です。

• 「3」：データのコピーを3つ持つ（オリジナル＋バックアップ2つ）
• 「2」：2種類の異なるメディアに保存する
• 「1」：1つは別の場所（オフサイト）に保管する

たとえば次のような構成です。

• 本番サーバーのデータ（オリジナル）
• 外付けHDD（メディア①）
• クラウドストレージ（メディア②、オフサイト保管）

この組み合わせなら、「外付けHDDが壊れても、クラウドに残っている」「オフィスが火災になっても、クラウドに残っている」という形で、どこか1箇所がダメになっても他で復旧できる仕組みが作れます。

「3-2-1-1-0」へと進化している

近年は、ランサムウェア対策をさらに強化した3-2-1-1-0ルールも推奨されています。

• 従来の3-2-1は上記
• 「1」：1つはオフラインで保管する（ネットワークから切り離す）
• 「0」：バックアップにエラー0であること（復旧できることを検証済み）

米国政府機関のCISA（サイバーセキュリティ・インフラ庁）も、この考え方を明示的に推奨しています。
「バックアップを取っているつもりだったが、いざ復旧しようとしたら使えなかった」という事態を防ぐための進化です。

ここからは、中小企業が実際に取り組むべき具体的な5つの方法を、優先度順に解説します。

方法①　クラウドストレージへのバックアップ【最優先】

最初に取り組むべきは、クラウドストレージへのバックアップです。

代表的なサービスとしては、以下のようなものがあります。

• Microsoft 365（OneDrive、SharePoint）
• Google Workspace（Google Drive）
• Dropbox Business
• AWS、Azure などのクラウドストレージ

クラウドストレージには次のメリットがあります。

• 地理的に分散したデータセンターでデータを保管するため、自然災害に強い
• バージョン履歴機能により、ランサムウェア感染前の状態に戻しやすい
• 初期投資が少なく、月額数千円〜から始められる
• オフィスの場所に縛られず、テレワーク・出張時にも活用できる

特に、Microsoft 365を導入している企業であれば、追加コストなしでOneDrive・SharePointを活用できます。

「まず社内のデータをクラウドに集約する」のが、中小企業にとって最も現実的な第一歩です。

方法②　外付けHDD・NASへのバックアップ

クラウドだけでなく、手元の物理メディアにもバックアップを取ることが重要です。
これは3-2-1ルールの「2種類の異なるメディア」を満たすためです。

具体的な選択肢は次のとおりです。

• 外付けHDD：コストが低く、容量単価も安い。導入のハードルが最も低い。
• NAS（ネットワーク接続ストレージ）：複数台でデータを冗長化（RAID）でき、容量も拡張しやすい。

ただし、注意点があります。

NASを社内ネットワークに常時接続したままにすると、ランサムウェアに感染した際に一緒に暗号化されるリスクがあります。

これを防ぐため、次のような工夫が有効です。

• バックアップ後はネットワークから切り離す（オフライン化）
• 外付けHDDは複数台用意し、ローテーションで使う

方法③　オフライン・遠隔地への物理保管

3-2-1-1-0ルールの「オフライン保管」を実現する方法です。

具体的には次のような運用です。

• 月次・週次のバックアップを取った外付けHDDを、金庫・別拠点・自宅など離れた場所に保管する
• LTO（テープメディア）を使って長期保管する（少々古いかも）

地味な方法ですが、ランサムウェア・大規模災害に対する「最後の砦」として極めて有効です。
「クラウドもダメ、社内NASもダメ、でも金庫の中の外付けHDDから復旧できた」というケースは、実際の被害事例で報告されています。

方法④　バックアップの世代管理（複数時点を保持）

「最新のバックアップだけを残す」運用は、実は危険です。
ランサムウェアは長期間システム内に潜伏することがあり、気づかないうちにバックアップ自体が汚染されている可能性があります。

そこで重要なのが、世代管理です。

• 日次バックアップ（直近1週間分）
• 週次バックアップ（直近1〜3ヶ月分）
• 月次バックアップ（直近1年分）

このように複数時点のバックアップを残しておくことで、「1ヶ月前の感染前の状態に戻す」といった柔軟な復旧が可能になります。
まずは、できる範囲、無理しない範囲で管理し始めてください。

これは、ファイルの誤削除や上書きミスへの対応にも有効です。

方法⑤　復旧テストの定期実施【見落としがちな最重要項目】

ここが最も重要なポイントです。

「バックアップを取っているつもりだったが、いざ復旧しようとしたら使えなかった」というのは、実際の被害現場で頻繁に起きていることです。

3-2-1-1-0ルールの「0エラー」を満たすため、次のような取り組みが必要です。

• 半年に1回、実際にバックアップから復旧できるかテストする
• 復旧手順書を作成し、担当者以外でも復旧できる状態を作る
• バックアップが正常に取得できているかのアラート通知を設定する

バックアップは「取ること」ではなく、「いざというときに使えること」が目的です。
定期的な復旧テストこそ、中小企業が最も見落としがちな課題です。

危険パターン①　「外付けHDDをパソコンにつなぎっぱなし」

外付けHDDを常時接続していると、ランサムウェアに感染した際にバックアップごと暗号化されます。
→ 対策：バックアップ後はUSBを抜く、別保管する

危険パターン②　「社内NASだけが頼り」

社内NASは便利ですが、火災・水害・停電・ランサムウェアの全てに弱いという致命的な弱点があります。
→ 対策：必ずクラウドストレージとの併用を行う

危険パターン③　「バックアップ取得後、復旧テストをしていない」

これが最も多いパターンです。
→ 対策：半年に1回は必ず復旧テストを実施する

データバックアップ環境の整備には、次の補助金が活用できる場合があります。

• 小規模事業者持続化補助金：販路開拓に伴うITインフラ整備として申請できるケースあり
• ものづくり補助金：DX強化型・データ連携基盤として活用できる場合あり
• BCP対策補助金：事業継続力強化計画で認定された計画を対象に申請が可能

「どの補助金が使えるか」については、認定支援機関に相談することをお勧めします。

データバックアップは、中小企業のBCP対策の要です。

ランサムウェア・地震・水害
——いつ会社のデータが失われても不思議ではない時代に、「社内NASだけ」のバックアップでは到底足りません。

正しい備え方は、世界標準である3-2-1ルール（または3-2-1-1-0ルール）に沿ってバックアップを設計することです。

中小企業がまず取り組むべきは、次の5つです。

• クラウドストレージへのバックアップ
• 外付けHDD・NASへのバックアップ
• オフライン・遠隔地への物理保管
• バックアップの世代管理
• 復旧テストの定期実施

「自社のバックアップ体制は本当に大丈夫か」が気になる方は、ぜひ一度、認定支援機関にご相談ください。

地震・サイバー攻撃が来てから慌てないために、今日から備えの一歩を踏み出しましょう。