ディザスタ・リカバリ

バックアップ

オブジェクトストレージ vs ブロックストレージ vs ファイルストレージ

オブジェクトストレージ、ブロックストレージ、ファイルストレージは、クラウドストレージの3大選択肢であり、それぞれが独自の特性を持ち、その用途を決定づけています。本ガイドでは、オブジェクトストレージ、ブロックストレージ、ファイルストレージを比較し、それぞれの違い、長所と短所、およびユースケースに焦点を当てて解説します。

 

主なポイント:オブジェクトストレージ、ブロックストレージ、ファイルストレージの比較

 

・オブジェクトストレージは、画像、動画、PDFなどの非構造化データを、メタデータ(識別情報や属性)が付随した個別の単位である「オブジェクト」として保存します。オブジェクトは、「バケット」と呼ばれるコンテナに整理されます。

・ブロックストレージは、データを「ブロック」と呼ばれる小さな単位に分割し、限られたメタデータと共に保存することで、高速かつ効率的なアクセスを実現します。

・ファイルストレージは、データをファイルシステムに保存します。ファイルシステムは階層構造をとっており、データの共有アクセスを可能にします。

 

専門家の分析:データストレージアーキテクチャの種類

 

・一般的なファイルストレージ:Dropbox、Google Drive、iCloudなどの多くの人気クラウドストレージサービスは、SaaS(Software as a Service)として提供されるファイルストレージです。これらはファイルシステムを採用しており、階層構造内のフォルダにデータを保存します。

・ネットワーク接続ストレージ(NAS):ネットワーク接続ストレージ(NAS)は、ハイブリッドクラウドを導入する業界において最も広く利用されているファイルストレージの1つです。市場規模は500%以上成長し、2023年の約220億ドルから2033年には1,380億ドル以上に拡大すると予測されています。1

・データストレージアーキテクチャの選択:ワークロードに適したデータストレージを選択する際は、データ量、アクセス頻度、コスト、パフォーマンス要件、および共有アクセス性に注意を払ってください。

 

Blobストレージとオブジェクトストレージ

 

Blobストレージは、オブジェクトストレージの一種です。「Blob」は「binary large object(バイナリ大容量オブジェクト)」の略で、音声ファイル、画像、動画ファイルなど、テキストではない大容量のバイナリデータを指します。

オブジェクトストレージは、Blobを含むデータを元のアップロード形式のままメタデータと共に保存するのに対し、Blobストレージはバイナリ大型オブジェクトを保存するオブジェクトストレージの一種です。つまり、Blobストレージはオブジェクトストレージの一種ですが、すべてのオブジェクトストレージがBlobストレージであるわけではありません。

 

オブジェクトストレージの活用例

 

・メディアの保存: 動画や画像などのメディアファイルはファイルサイズが非常に大きくなるため、大量のストレージ容量が必要となります。オブジェクトストレージシステムの料金が比較的安価であるため、Backblaze B2のようなサービスを利用すれば、大規模なメディア保存においても通常、コスト効率に優れています。これは特に中国のクラウドストレージサービスに当てはまり、これらのサービスでは、大規模なメディア保存向けに手厚い無料プランや競争力のある価格設定を提供していることがよくあります。

・バックアップ: クラウドオブジェクトストレージは通常、冗長化されており、異なるゾーンやリージョンにある多数のデバイスに分散して保存されます。そのため、システム障害やデータの永久的な損失リスクに強く、重要なデータのバックアップに最適です。

・ビッグデータ分析: オブジェクトストレージは、大量の非構造化データを元の形式のまま保存できるため、ビッグデータ分析のデータソースとして機能するデータレイクの構築に最適です。

 

ブロックストレージの活用事例

・仮想マシン: 仮想マシンのファイルシステムとしてフォーマットされた後、オペレーティングシステムやスワップ領域など、仮想マシンを稼働させるために必要なコンピューティングリソースがブロックストレージ上にインストールされます。

・データベース: ブロックストレージは効率的かつ高速なデータ転送に最適化されているため、さまざまな種類のデータベース、特にリレーショナルデータベースなど、高いI/Oパフォーマンスを必要とするデータベースに最適です。

・ハイパフォーマンスコンピューティング: ハイパフォーマンスコンピューティングでは、コンピュータクラスタやスーパーコンピュータを使用して、高度な計算処理のためのデータ処理速度を向上させます。ブロックストレージは、低レイテンシと高スループットを特徴としており、特にランダムなデータアクセスが必要な場合に、この目的に最適です。

 

ファイルストレージの活用事例

 

・ハイブリッドアクセス管理: ハイブリッドクラウド環境を構築する際、オンプレミスのファイルシステムを、同じファイルシステムを持つクラウドファイルストレージと容易に統合できます。

・コンテナストレージ: ファイルストレージはコンテナ内で使用され、クラスタ内のコンテナ間で共有データへのアクセスが可能になります。

・データベースのバックアップ: ファイルストレージソリューションのファイルシステムは、データベースに容易に接続し、バックアップ用のコピーを作成できます。

 

ブロックストレージ、ファイルストレージ、オブジェクトストレージの違いは?

ブロックストレージ、ファイルストレージ、オブジェクトストレージの違いは、ブロックストレージがデータを分割して等サイズのブロック単位で保存するのに対し、ファイルストレージはデータを階層的なファイルシステムで整理・保存し、オブジェクトストレージはデータを元の形式のまま拡張可能なストレージユニットに保存する点にあります。

 

ブロックストレージとBlobストレージの違いは?

ブロックストレージは、データを等しいサイズのブロックに分割して保存するのに対し、BLOBストレージ(オブジェクトストレージのもう1つの種類)は、画像、動画、音声ファイルなどのデータを、メタデータとともに元の形式のまま、フラットなネームスペースに保存します。

 

S3オブジェクト・ストレージかブロック・ストレージか?

Amazon S3はオブジェクトストレージサービスであり、データを「バケット」と呼ばれるコンテナ内のオブジェクトとして保存します。

毎週金曜日に実施できる30分の軽量な復元テスト

ほとんどの「バックアップテスト」は大きすぎるために失敗します。
こちらが軽量な週ごとのルーティンで、実際に何かを学べるものです。


ステップ 1️ – ターゲットを1つ選ぶ
• 1つのエンドポイントまたは1つのクリティカルフォルダー
• クライアント/エンドポイントを週ごとにローテーションする


ステップ 2️– 2回の復元を実行する
• ファイルレベル:1つのファイルを別の場所に復元する
・システムレベル:小さな画像スナップショットや重要なアプリ設定(該当する場合)を復元する


ステップ 3️– 検証
• 可能であればチェックサム/ハッシュ
・許可/所有権確認
• App Openテスト(設定/データベースダンプ用)


ステップ 4️– 3桁だけ記録する
・時間を回復する
• 位置(どこ)を復元する
・壊れたもの(もしあれば)


4〜6週間後にはパターンが見えます:
✔️ 帯域幅のボトルネック
✔️ 保持ギャップ
✔️ 許可の驚き
✔️ きれいに復旧しない「グリーンジョブ」

これが本当のバックアップ成熟度、つまり回復の再現可能な証明です。

成熟したバックアップが必要ですか?

ぜひご覧ください。https://www.climb.co.jp/soft/#cloud

どのような種類の不変性手法があるか?

MSPや中小企業が、全体的なバックアップ戦略の一環として不変性(イミュタブル)機能を活用するには、3つの方法があります。

1. ストレージレベルの不変性

これは現在、特にクラウドストレージにおいて最も一般的なアプローチです。オブジェクトストレージサービスでは、データを一度書き込んだ後、一定期間ロックすることができます。その期間中、ストレージに保存されたデータを削除したり上書きしたりすることはできません。保存期間が終了すると、ここに保存されたデータは他のファイルと同様に扱われます。

2. ソフトウェアによる不変性の確保

一部のバックアッププラットフォームでは、過去のバックアップセットが変更されないようにする保持ロック機能を提供しています。このアプローチにより、例えば個々のファイルが削除されたり、破損したりした場合でも、バックアップチェーンは保護されます。バックアップ・ベンダーは、保持設定と整合性チェックを組み合わせており、ファイルがバックアップセットから削除された場合でも、選択されたデータセットを完成させ、復元可能性を確保するために、そのファイルが再度バックアップされるようにします。

3. エアギャップまたはオフラインコピー

これは厳密には「不変性」ではありませんが、ネットワークから切り離されたコピーは、第三者が保存データにアクセスできないため変更不可能です。ただし、物理メディアは時間の経過とともに劣化したり、適切に保管されないと読み取れなくなったりする可能性がある点に留意してください。テープや交換可能なメディアのアーカイブがある場合は、定期的にローテーションを行う必要があります。これは日々のバックアップには効率的ではありませんが、物理的な分離を優先する業界では依然として信頼されている方法です。

なぜ不変性が今、これまで以上に重要なのか

つい最近まで、ランサムウェアの標的は主に本番システムに限られていました。しかし現在では、攻撃者は意図的にバックアップファイルも狙っています。本攻撃を開始する前に、これらのバックアップを密かに暗号化または削除できれば、被害者は安全策を失うことになります。そのため、多くの中小企業が直面するリスクを軽減するため、現在では多くのサービスプロバイダがバックアップ戦略の一環として不変性(イミュタビリティ)を取り入れています。

ランサムウェア: 最近のランサムウェアは、サーバーを暗号化するだけでなく、マップされたドライブ、NASボリューム、アクセス可能なクラウドバケットも検索します。不変性のあるストレージに保存されたデータは、マルウェアがアクセスしたとしても改ざんされることはありません。

偶発的または意図的な削除: 人為的ミスは依然としてデータ損失の主な原因です。ロックされたバックアップは、従業員によるディレクトリの上書きや、攻撃者が盗んだ認証情報を使ってデータを消去する行為からデータを保護します。

サイバー保険、コンプライアンス、および監査要件: サイバー保険契約や、医療、金融サービス、法務、政府などの業界における規制では、特定のデータが改ざんされていないという証拠が求められることがよくあります。不変性(イミュタビリティ)は、その保証を提供します。

サービスプロバイダにとっても、不変性とは究極的にはリスクの低減と復旧時間の短縮を意味します。中小企業にとっては、最悪のシナリオであっても、データやシステムが復元できる可能性が極めて高いということを確信できることを意味します。

イミュータブル(不変)バックアップとは何ですか?

不変バックアップとは、一定期間、変更、削除、上書きが不可能なデータのコピーのことです。一度作成されると、そのバックアップは保存期間が満了するまで、作成時の状態のまま維持されます。

実際には、不変性は通常、以下の3つのいずれかによって実現されます。ほとんどの企業にとって、これには新しいハードウェアや大規模なインフラの変更は必要ありません。不変性レイヤーは、多くの場合、すでに使用されているクラウドストレージやバックアップソフトウェアに組み込まれています。重要なのは、管理者であれ、ランサムウェアであれ、有効な認証情報を持つ攻撃者であれ、誰も保護されたコピーを変更できないことをシステムが保証できるかどうかです。この「ロックされたコピー」こそが、不変性の真価を発揮する要素です。

●書き込み一回・読み取り多回(WORM)ポリシーを適用するストレージシステム

●ロックされた保存期間をサポートするオブジェクトストレージサービス(S3 Object Lockなど)

●バックアップジョブの過去のバージョンの変更を防止するバックアッププラットフォーム

毎週金曜日に実施できる30分の復元(リストア)テスト

ほとんどの「バックアップテスト」は大きすぎるために失敗します。
こちらが軽量な週ごとのルーティンです:

ステップ 1️– ターゲットを1つ選ぶ
• 1つのエンドポイントまたは1つのクリティカルフォルダー
• クライアント/エンドポイントを週ごとにローテーションする

ステップ 2️ – 2回の復元を実行する
• ファイルレベル:1つのファイルを別の場所に復元する
・システムレベル:小さな画像スナップショットや重要なアプリ設定(該当する場合)を復元する

ステップ 3️– 検証
• 可能であればチェックサム/ハッシュ
・許可/所有権確認
• App Openテスト(設定/データベースダンプ用)

ステップ 4️ – 3桁だけ記録する
・時間を回復する
• 位置(どこ)を復元する
・壊れたもの(もしあれば)

4〜6週間後にはパターンが見えます:
✔️ 帯域幅のボトルネック
✔️ 保持ギャップ
✔️ 許可の驚き
✔️ きれいに復旧しない「グリーンジョブ」

これが本当のバックアップ成熟度、つまり回復の再現可能な証明です。

 Kubernetesバックアップに関するヒント

バックアップインフラを本番クラスターから分離: バックアップコントローラーとストレージ統合を、プライマリクラスターへの依存を最小限に抑えた独立した管理クラスターまたは分離されたネームスペースでホストします。

動的PVC検出とラベリングによるアプリケーション認識型バックアップ: バックアップジョブへの自動包含を実現します。作成時にボリュームにアプリケーション識別子をタグ付けすることで、粒度を向上させ、マルチテナント環境やネームスペースが密集した環境におけるボリュームの取りこぼしリスクを低減します。

ランサムウェア耐性のための不変・時間ロック型バックアップの実装: S3 Object Lockの組み込みサポートにより、N2WSはバックアップにWORM(Write Once Read Many)ポリシーを適用可能。これにより有効期限前の変更や削除を防止します。

シミュレート復元テストによるフェイルオーバー検証の自動化:インフラストラクチャ・アズ・コードのテンプレートとCI/CD自動化を活用し、バックアップから定期的に分離された「カナリアクラスター」を起動。復元が完全に行われ、ワークロードが期待通りに機能することを検証します。

ワークロードの重要度とライフサイクルに基づく保持ロジックの適用:ワークロードを重要度別に分類し、バックアップ頻度・有効期限・ストレージ階層を適切に調整。規制対応バックアップと一時的な開発ワークロードでは、異なるローテーションポリシーが必要となる場合があります。

Veeam KastenはKubernetes専用のデータ保護ソリューションで、各種Kubernetesディストリビューション上のステートレス/ステートフルなアプリケーションの構成と永続ボリューム上のデータ、OpenShift VirtualizationやSUSE Virtualization(Harvester)の仮想マシンに対してバックアップとリストア、モビリティを提供します。

Wasabiはバックアップと復旧にどのように活用されるのか?

●冗長化のためWasabiを二次バックアップ拠点と組み合わせる:別のバックアップ先(オンプレミスまたは他クラウドプロバイダー)と組み合わせることで、予期せぬ障害発生時にも事業継続性を確保します。

●バージョン管理と併せてWasabiオブジェクトロックを活用する:両者を組み合わせることで、部分的な破損や意図しない変更が発生した場合にファイルの状態を以前の状態にロールバックでき、ランサムウェアに対する強固な防御策となります。

●移行後のデータ検証と整合性チェックを実行:定期的な整合性チェック(チェックサム検証経由)を実行し、重要なバックアップファイルが完全かつ変更されていないことを確認します。これにより、時間の経過に伴うサイレントデータ破損を防ぎます。

●高速復元目標でバックアップスケジュールを最適化:バックアップウィンドウを最小化するスケジュールを設計します。バックアップが時間依存性を持つ場合、オフピーク時間帯のWasabiの高速性を活用し、パフォーマンスを最大化します。

●バックアップテストと復旧シミュレーションの自動化:テスト実行を自動化し、バックアップデータが目標RTO(復旧時間目標)とRPO(復旧ポイント目標)内で復元可能であることを確認します。Wasabiはデータ転送量(エグレス)を課金しないため、定期的な訓練でも予期せぬコストが発生しません。

ランサムウェアからの復旧に組織が要する平均期間は?

マルウェア侵害から1週間以内に復旧できる組織は35%のみであり、34%の組織は1か月以上を要します。
ランサムウェア攻撃時のデータ復旧手段として身代金支払いは有効か?否。身代金を支払った組織の46%のみがデータを正常に復旧でき、80%が再攻撃を受け再び危険に晒されました。

EUサイバーセキュリティ法とサイバーレジリエンス法の違いは?

サイバーセキュリティ法は、ITシステムのセキュリティを認証するための枠組みを提供します。サイバーレジリエンス法は、ハードウェアおよびソフトウェアの製造業者に対し、システムが設計段階で安全であることを保証するための必須セキュリティ要件を定めています。

サイバーレジリエンスとサイバーリカバリの違いは?

サイバーリカバリは、サイバーセキュリティと同様に、サイバーレジリエンスアプローチの一部です。サイバーリカバリーは、侵害発生時のバックアップや破損データの自動復旧などに焦点を当てます。一方、サイバーレジリエンスは、復旧を必要としないよう資産を保護することにも重点を置きます。

サイバーレジリエンスとサイバーセキュリティの主な違いは?

サイバーセキュリティは特定の脅威の防止と対応に焦点を当てます。サイバーレジリエンスは、セキュリティだけでなく、侵害発生時の復旧も含めた包括的なアプローチであり、企業を可能な限り早期に最適な運用状態に戻すことを目指します。

バックアップについての結論

これらの簡潔な回答により、バックアップ関連の用語を区別し、容易に採用できるバックアップのベストプラクティスを理解するのに役立ちます。バックアップ作業をさらに便利かつシンプルにするには、主要なクラウドストレージプロバイダーを活用し、すべてのバックアップ操作を一元管理し、堅牢なデータ保護を実現するために設計されたクライムのバックアップ・ソリューション群をお試しください。

3-2-1バックアップ戦略とは?

3-2-1バックアップ戦略は、バックアップコピーを異なる保存場所に分散させることで、潜在的なデータ損失の抜け穴を塞ごうとするものです。つまり、複数のバックアップ場所からシステムを復旧できるということです。

本質的には、データの3つのコピーを少なくとも持つべきです:2つは異なるデバイスにローカルでバックアップされ、1つはクラウドなどのオフサイトバックアップ場所に保存されます。

 

データバックアップのベストプラクティスとは?

最善の結果を得るためには、以下の手順を踏むべきです:

  • まず、システム内のデータの種類を定義することから始めます。ここで、ホットデータ、コールドデータ、アーカイブデータ、システムデータ、アプリケーション設定データ、運用データを特定します。
  • その定義が完了したら、各データクラスに最適なバックアップの種類を選択できます。
  • その際、理想的なバックアップ先も選択すべきです。ここでローカル、クラウド、ハイブリッドバックアップストレージの中から選択します。
  • その後、包括的なバックアップ計画を作成し、対応するバックアップスケジュールを策定できます。
  • 長期的な事業継続を確保するため、全体的な復旧時間目標(RTO)復旧時点目標(RPO)の算出と設定を検討してください。
  • 災害発生時のダウンタイムの実際のコストをさらに評価し理解することを忘れないでください。
  • そして最も重要なのは、標準的な3-2-1データバックアップ戦略に従うことです。

バックアップすべきデータとその頻度は?

実際のところ、システム内のあらゆるデータを例外なくバックアップすべきです。

ただし、その際にはデータの種類ごとに異なる扱いが必要であることを覚えておいてください。

例えば、バックアップの頻度自体がすべてのファイルで同じというわけではありません。データの「重要度」によって異なります。その点に関して、バックアップ対象データは主に3つの分類に分けられます:

 

  • ホットデータは最も重要です。日常的に復元が必要となる可能性のある本番データベースが含まれます。そのため、定期的にバックアップし、その後の変更はリアルタイムで更新されるべきです。
  • コールドデータは重要度が低く、データ損失後にのみ復元されます。つまり、バックアップデータの更新は週次程度で十分です。
  • アーカイブデータはコンプライアンスや監査目的のみに保存されます。通常は数年単位でバックアップされ、更新はごく稀に行われます。

別の見方としては:

 

  • オペレーティングシステムファイルは、初回にフルバックアップを実施し、その後はシステムファイルに変更が検出されるたびに(頻度は低いものの)フルバックアップで更新すべきです。
  • アプリケーション設定データも同様にフルバックアップを実施し、ソースマシンでアプリケーションデータが変更された場合にのみ更新すべきです。
  • 一方、運用ファイルは、絶えず変化するミッションクリティカルなデータを保持しているため、定期的にバックアップと更新を行う必要があります。

どの種類のバックアップを使用すべきか?

どの種類のバックアップを使用すべきか?

各状況に適したバックアップを選択する際、以下のポイントに留意してください:

  • 常にフルバックアップから始めるべきです。これは後続のバックアップの基盤となります。ただし、それだけで終わらせてはいけません。データの整合性とバックアップの信頼性を確保するため、他の種類のバックアップを実行している場合でも、定期的にフルバックアップを実行することが推奨されます。
  • 毎回フルバックアップを行う代わりに、増分バックアップをより頻繁に実行しつつ、フルバックアップは時折のみ実施することを検討してください。これは、データセット全体を再アップロードする負担なくフルバックアップを更新する便利な方法です。唯一の問題は、データ変更の一部を喪失するとバックアップ全体が損なわれる点です。
  • データ復旧能力の高速化を目指すなら、差分バックアップを優先することをお勧めします。特にMicrosoft SQLサーバーのバックアップと復元において効果的です。
  • システムレベルのバックアップを迅速化するには、合成フルバックアップの仕組みを構築すべきです。

VMバックアップとは?

VMバックアップは、仮想マシンからデータのコピーを転送し、バックアップストレージに保存することを目的としています。このアーキテクチャは、もちろんローカルマシンとは異なり、ブロック追跡をサポートするように設計されています。

アプリケーション対応バックアップとは?

アプリケーション対応バックアップは、特定のアプリケーションの完全な状態をバックアップすることを目的としています。特定の時点において、アプリケーションデータとその関連設定をコピーして保存します。これにより、アプリケーションを完全な状態で完全に復元することが容易になります。

イメージベースのバックアップとは?

イメージベースのバックアップとは、ソースマシンのハードドライブデータと関連するすべての設定をコピーし、バックアップストレージに保存する特殊な技術です。これにより、ハードドライブイメージからの復元が可能になります。

ファイルレベルバックアップとは?

ファイルレベルバックアップとは、データを個別のファイルに整理する手法です。これにより、ソースマシンからバックアップストレージへ、異なるデータファイルを便利に

バックアップ手法とは?

バックアップ手法とバックアップの種類を混同しないように注意してください。後者が様々なバックアップ手法に焦点を当てるのに対し、前者はデータをバックアップするための異なるアプローチそのものを指します。バックアップ技術と考えることもできます。

 

主なデータバックアップ方法は以下の3つです:ファイルレベルバックアップ、システム状態バックアップ、イメージベースのバックアップ、アプリケーション対応バックアップ、VMバックアップ。

0. ランサムウェア対策のための13のベスト・プラクティス

ランサムウェア対策のための13のベスト・プラクティスを紹介しています。

 

https://www.climb.co.jp/faq/faq-category/ransamware-best13

 

ブログでも各種ランサムウェア対策を紹介しています。

 

13. 暗号化について

暗号化により、許可された者だけがあなたの情報にアクセスできるようにします。あなたの情報が定義されたセキュリティ・ドメインから離れるとすぐに、あなたの情報があらかじめ定義された適切なレベルで暗号化されていることを確認します。暗号化自体は干渉を防ぐものではありませんが、権限のない第三者があなたの情報を読むことを禁止することができます。暗号化は、他のセキュリティ対策が失敗した場合に、機密データを保護するのに役立ちます。

12. バックアップ

デジタル健康法はレジリエンスを高めるための重要な要素です。定期的にバックアップをとっていれば、サイバー脅威は災害ではなく、むしろ不勝手なものになります。1日分の仕事を失うことはあっても、すべてを失うことはないでしょう。特定の種類のデータをどれくらいの頻度でバックアップするか、クラウドサービスを使うか、物理デバイスを使うかは、必要なサービスやセキュリティレベルに基づいて選択する必要があります。

ランサムウェアは、ファイルを暗号化することで、自分自身のデータからあなたを締め出す。このため、適切なバックアップはこの種の攻撃から回復するための優れた方法です。バックアップがあれば、暗号化されたファイルを最近のバックアップリポジトリにあるコピーと簡単に交換することができます。バックアップに戻すと、最新のデータの一部を失うかもしれませんが、サイバー犯罪者にお金を払ってファイルを復元してもらうよりは確実によいでしょう。