その回復力を支える中核がバックアップである。実際、経済産業省が推進するサプライチェーンサイバーセキュリティ評価制度（SCS）の前身である「セキュリティアクション自己宣言」においても、この重要性は明確に示されている。従来は、OSやソフトウェアの更新、ウイルス対策ソフトの導入、パスワードの強化、共有設定の見直し、脅威の理解という5つの基本対策が掲げられていたが、2026年4月からは新たに「バックアップを取ること」が追加され、「情報セキュリティ六か条」として再編された。これは、バックアップが単なる補助的な措置ではなく、事業継続の根幹を支える要素として再認識されたことを意味している。

 

しかしながら、ここで一つの危険な誤解が存在する。それは「バックアップさえあれば復旧できる」という考えである。実際には、ランサムウェア被害を受けた企業の多くが、バックアップを保持していたにもかかわらず、迅速な復旧ができなかったと報告している。現実に大規模被害を受けた企業の経営トップが、「バックアップがあれば元に戻せるという認識は誤りだった」と述べたことは、この問題の本質を端的に示している。

 

では、なぜバックアップがあっても復旧できないのか。その第一の理由は、バックアップの「置かれている場所」にある。多くの企業では、バックアップはネットワークに接続された状態、すなわちオンラインで運用されている。この場合、システムが侵害されれば、そのバックアップも同時に攻撃対象となる。近年のランサムウェアは、本番データだけでなくバックアップ領域を自動的に探索し、暗号化や削除を行う機能を備えている。その結果、バックアップそのものが破壊され、「戻す手段が存在しない」という事態に陥る。

 

この問題に対処するため、現在ではネットワークから切り離されたオフラインバックアップの重要性が強く認識されている。さらに、書き換えや削除ができないイミュータブルバックアップの導入も進んでいる。これは単にデータを保存するのではなく、「攻撃されても壊されない状態で保持する」という考え方であり、従来のバックアップとは本質的に異なる。

 

しかし、仮に安全なバックアップが存在していたとしても、それだけで安心できるわけではない。第二の問題は、バックアップの「内容」である。多くの現場では、日々更新される業務データは保存されているものの、システムの設定情報やアプリケーションの構成、さらには認証情報などが十分にバックアップされていないケースが見受けられる。これらが欠けていれば、データが戻ってもシステムは正常に動作しない。つまり、「データはあるのに業務が再開できない」という状況が発生するのである。

 

さらに第三の問題として、「復旧できるかどうかの検証不足」が挙げられる。バックアップは「戻せること」が前提であるにもかかわらず、その確認を事前に行っていない組織は少なくない。システム環境は日々変化しており、OSやアプリケーションの更新、構成の変更などが積み重なる。その結果、過去に取得したバックアップが現在の環境では正常に復元できないという事態も起こり得る。実際に復旧を試みて初めて、手順の不備やデータ不足が明らかになるケースは決して珍しくない。

 

企業においてバックアップはBCP（事業継続計画）の重要な構成要素とされている。しかし、BCPはあくまで「計画」であり、実際に機能しなければ意味がない。計画が現実に即しているかどうかは、定期的な演習によってしか確認できない。すなわち、実際に復旧作業を行い、「本当に戻せるのか」を検証することが不可欠なのである。

 

また、バックアップの重要性はサイバー攻撃に限られるものではない。システム障害やハードウェアの故障は、攻撃とは無関係に発生する。ストレージの物理的破損、電源障害、操作ミス、ソフトウェアの不具合など、日常的に起こり得るリスクは数多い。企業だけでなく、個人のパソコンやスマートフォンにおいても同様であり、重要な写真やデータが突然失われる可能性は常に存在している。

 

このように考えると、バックアップとは単なる「データのコピー」ではない。「どのような障害が発生しても、元の状態に戻すための仕組み」である。そのためには、保存場所の分離、改ざん防止、必要十分なデータ範囲の確保、そして復旧手順の検証という複数の要素が一体となって機能する必要がある。

 

サイバー攻撃が常態化した現在、「バックアップがあるから安心」という認識はもはや通用しない。むしろ重要なのは、「そのバックアップで本当に戻せるのか」という問いを持ち続けることである。防御だけでは守りきれない時代において、回復力は最後の砦となる。その現実を直視し、実効性のある備えを整えることが、これからの企業と個人に強く求められている。