NASのランサムウェア対策バックアップソリューション完全比較:家庭で使える選択肢
「復旧できる状態を維持する」。前回の多層防御の検討で、これが最後の砦になると説明しました。
ですが、ただデータの予備を作るだけでは、現代の巧妙な攻撃を防ぎきることは困難です。特に厄介なのが、NASの中に長期間潜む「潜伏型」のランサムウェアです。これらはバックアップのサイクルをじっくり観察し、過去の世代まで含めて一気に暗号化してしまいます。
この脅威に対抗するための唯一とも言える手段が、「不変性」の確保です。一度書き込んだら、たとえ管理者権限を奪われても一定期間は削除や変更ができない。この強力な仕組みを家庭用NASでどう取り入れるか。導入のしやすさ、かかる費用、守りの強さのバランスを考えながら、最適な選択肢を整理しました。
知見:
- 潜伏型ランサムウェアはバックアップのサイクルを観察し、過去世代まで含めて一気に暗号化します——「バックアップを取っている」だけでは、もはや対策として不十分です。
- 不変性とは、一度書き込んだデータを保護期間中は管理者権限でも削除・変更できなくする仕組みで、その技術的基盤は「WORM(Write Once, Read Many)」と呼ばれます。
- クラウドストレージのObject Lock機能を使えば、Backblaze B2(月約900円/TB)やWasabi(月約1,050円/TB)で手軽にImmutableなオフサイトバックアップを実現できます。
- 保護期間(Retention Period)は想定される潜伏期間より長く設定することが重要で、期間が短すぎると攻撃者の潜伏サイクルをカバーできません。
家庭用NASにおすすめのバックアップ構成
家庭用NASのランサムウェア対策として、予算と目的に応じた4つの構成を推奨します。
最小構成:NASスナップショットのみ
追加コストゼロで始められる構成です。NAS本体のスナップショット機能を有効にし、14〜30世代を保持します。潜伏型ランサムウェアの潜伏期間をカバーできる世代数が目安です。ただし、NAS本体が直接攻撃を受けた場合、スナップショットごと暗号化されるリスクがあります。
{{UGPRODUCT}}
基本構成:スナップショット+外付けHDD
初期費用1〜3万円で、物理的な隔離層を追加できます。外付けHDDをバックアップ時のみ接続し、完了後は切断する運用です。NAS本体が攻撃されても、切断された外付けHDDは影響を受けません。月額コストはゼロですが、手動での接続・切断が必要になります。
推奨構成:スナップショット+クラウドバックアップ
月額1,000〜2,000円程度で、オフサイトバックアップを確保できます。Backblaze B2やWasabiといったS3互換のクラウドストレージを使い、NASのデータを自動的にクラウドへ同期します。火災や盗難といった物理的な災害からもデータを守れます。Object Lock機能を有効にすれば、Immutableなバックアップも実現可能です。
最強構成:スナップショット+外付けHDD+クラウドバックアップ(Object Lock有効)
初期費用1〜3万円、月額1,000〜2,000円で、3-2-1バックアップルールを完全に満たす構成です。ローカルのスナップショットで迅速な復元、外付けHDDで物理隔離、クラウドでオフサイト保管と「不変性」を確保します。潜伏型ランサムウェアにも、物理的な災害にも対応できる、最も堅牢な構成です。
| 構成 | 初期コスト | 月額コスト | ランサムウェア耐性 | 災害対策 |
|---|---|---|---|---|
| 最小 | 0円 | 0円 | △ | × |
| 基本 | 1〜3万円 | 0円 | ○ | △ |
| 推奨 | 0円 | 1,000〜2,000円 | ○ | ○ |
| 最強 | 1〜3万円 | 1,000〜2,000円 | ◎ | ◎ |
どの構成を選ぶかは、守りたいデータの重要度と予算次第です。家族の写真や動画など、失ったら取り戻せないデータを扱うなら、推奨構成以上を検討してください。
不変性とは何か
「不変性」は、一度書き込んだデータを一定期間削除も変更もできなくする仕組みです。ランサムウェア対策の文脈では、攻撃者が管理者権限を奪取しても、Immutableなバックアップには手を出せないという点が重要になります。
WORMの概念
不変性の基盤となる技術は「WORM(Write Once, Read Many)」と呼ばれます。日本語に訳すと「一度だけ書き込み、何度でも読み取り可能」です。
この仕組みの最大の特徴は、システム上の最高権限を持つ管理者であっても、あらかじめ設定した保護期間内はデータを消去できない点にあります。潜伏型攻撃の多くは管理者のパスワードを盗み出し、復旧の芽を摘むためにバックアップを真っ先に消去しようとします。不変性が担保されていれば、攻撃者がどれほど高い権限を手に入れても、物理的な時間の経過を待たなければデータに干渉できません。
保護期間の設定
Immutableなバックアップを作成する際は、保護期間(Retention Period)を設定します。
たとえば「30日間の不変性」を設定した場合、そのバックアップは作成から30日間、誰にも削除できません。システム管理者でも、rootユーザーでも、クラウドサービスのサポートに問い合わせても消せません。30日が経過して初めて、通常のファイルと同様に削除や上書きが可能になります。
この保護期間は、想定するランサムウェアの潜伏期間より長く設定する必要があります。14日間の保護では、3週間潜伏する攻撃には対応できません。
ソリューション比較|家庭用NASで使える選択肢
不変性を備えたバックアップには、いくつかの選択肢が存在します。運用の手間やコスト、そして防御力のバランスを考慮し、自身の環境に最適なものを見極める必要があります。
ローカルバックアップ
NASスナップショット
NAS本体のストレージ上に、特定時点のファイルシステム状態を記録する機能です。追加のハードウェアやサービス契約なしで利用できます。
対応状況
| NASメーカー | スナップショット |
|---|---|
| Synology | ○(Btrfs) |
| QNAP | ○(ブロックベース) |
| ASUSTOR | ○(Btrfs) |
| UGREEN | ○(Btrfs) |
メリット
- 追加コストゼロ
- 復元が高速(数分で完了)
- 差分のみ保存するため、ストレージ効率が良い
デメリット
- NAS本体が攻撃されると、スナップショットも暗号化されるリスク
- NASの物理的な故障や災害でデータを失う
外付けHDD
最も原始的でありながら、確実な効果を発揮するのが外付けHDDへのバックアップです。最大のポイントは、データの転送が終わった後に「物理的にケーブルを抜く」運用にあります。
ネットワークから完全に切り離された(エアギャップ)データには、いかなる高度なランサムウェアも干渉できません。手動での手間は発生するものの、導入コストの低さと隔離性能の高さは依然として魅力的です。
コスト目安
| 容量 | 価格帯 |
|---|---|
| 4TB | 1〜1.5万円 |
| 8TB | 1.5〜2.5万円 |
| 12TB | 2.5〜3.5万円 |
クラウドバックアップ
Backblaze B2
1TBあたり月額6ドル程度という、圧倒的なコストパフォーマンスを誇るストレージサービスです。S3互換のAPIを備えており、UGREEN NASからも標準機能やDocker経由で容易に接続できます。Dockerを使ったバックアップツールの導入やコンテナ運用に不慣れな場合は、NASでのDockerセットアップ手順と基礎知識を参照すると、仕組みの理解から実際の設定までを体系的に把握できます。
特筆すべきは、オブジェクトロックによる不変性に対応している点です。低価格でありながら、潜伏型攻撃からデータを守り抜くための要件を十分に満たしています。
Wasabi
1TBあたり月額6.99ドルとBackblazeに近い価格帯でありながら、データの取り出し(エグレス)料金が発生しないという特徴があります。
こちらもオブジェクトロック機能を備えており、不変性の確保が可能です。頻繁にバックアップの整合性をテストしたり、データを移動させたりする運用を想定している場合に、コストの予測が立てやすい選択肢となります。
Amazon S3 / S3 Glacier
クラウドストレージの定番で、高い信頼性と豊富な機能を持ちます。
コスト(東京リージョン)
- S3 Standard:約$0.025/GB/月(約3,750円/TB)
- S3 Glacier Instant Retrieval:約$0.005/GB/月(約750円/TB)
- ダウンロード:$0.114/GB(約17円)
Immutable対応
Object Lock機能に対応。Governance ModeとCompliance Modeを選択可能です。
比較表
| ソリューション | 初期コスト | 月額コスト(1TB) | 設定難易度 | Immutable | オフサイト |
|---|---|---|---|---|---|
| NASスナップショット | 0円 | 0円 | ★☆☆ | メーカーによる | × |
| 外付けHDD | 1〜3万円 | 0円 | ★☆☆ | △(物理隔離) | △ |
| Backblaze B2 | 0円 | 約900円 | ★★☆ | ○ | ○ |
| Wasabi | 0円 | 約1,050円 | ★★☆ | ○ | ○ |
| Amazon S3 | 0円 | 約3,750円 | ★★★ | ○ | ○ |
| S3 Glacier | 0円 | 約750円 | ★★★ | ○ | ○ |
コストと使いやすさのバランスでは、Backblaze B2が家庭用途に最も適しています。大量データの復元が想定される場合はWasabi、長期保存が中心ならS3 Glacierも選択肢に入ります。
結論
ランサムウェアの手口は進化しています。侵入後すぐに暗号化する従来型から、数週間から数ヶ月潜伏してバックアップごと暗号化する潜伏型へ。この変化に対応するには、「バックアップを取っている」だけでは不十分です。
対策の核心は、攻撃者が削除も変更もできないバックアップを持つことです。「不変性」という概念を理解し、NASのスナップショット、外付けHDDの物理隔離、クラウドストレージのObject Lockを組み合わせることで、潜伏型ランサムウェアにも対抗できる防御体制が構築できます。
