はじめに
ここまで、ランサムウェア対策のバックアップ構成として 3 つの構成例を解説してきました。本記事では、それらを横並びで比較し、自社の規模や要件に合う構成を選べるように整理します。
先に結論を述べると、唯一の正解はありません。日常の即時復旧を重視するならローカル層を持つハイブリッド、コストの予測しやすさや大容量の復元を重視するなら egress 無料のクラウド、プロバイダ単位の障害に備えたいならクラウド 2 社構成、という具合に、重視する点で選び分けるのが現実的です。全体像は『ランサムウェア対策の基本と全体像|3-2-1-1-0 で守るバックアップ設計』、設計の前提は『ファイルサーバーのランサムウェア対策|不変バックアップ設計の基礎』をあわせて参照してください。
- 比較する 3 構成の概要とそれぞれの位置づけ
- コスト・復旧速度・プロバイダ分散・運用などの比較軸と早見表
- 観点別の詳しい比較
- 中小規模・大規模など、要件別の選定基準
比較する 3 構成のおさらい
- ① オンプレ NAS + S3
-
ローカルの NAS で即時復旧、AWS S3 の Object Lock で不変オフサイト。AWS 連携を活かす構成です。
あわせて読みたい
オンプレ NAS と AWS S3 でランサムウェア対策|3-2-1-1-0 の構成例 はじめに ランサムウェア対策のバックアップは、「速く戻せること」と「攻撃者にも消せないこと」を同時に満たす必要があります。この 2 つは別々の層で担うのが現実的… - ② オンプレ NAS + Wasabi
-
①と同じハイブリッドで、クラウド側を egress 無料の Wasabi にしてコストを抑える構成です。
あわせて読みたいオンプレ NAS と Wasabi でランサムウェア対策|低コストな 3-2-1-1-0 構成例 はじめに ランサムウェア対策のバックアップは、「速く戻せること」と「攻撃者にも消せないこと」を両立させる必要があります。前者はローカルの NAS が、後者はクラウ… - ③ Wasabi + S3
-
オンプレを持たず、2 つのクラウドプロバイダに不変コピーを分散する構成です。
あわせて読みたいWasabi + S3 でランサムウェア対策|マルチプロバイダの構成例と注意点 はじめに ここまでの構成例は、オンプレの NAS とクラウドを組み合わせるハイブリッドでした。本記事では、オンプレを持たず、Wasabi と AWS S3 という 2 つのクラウド…
比較軸の整理
比較は、次の観点で行います。コスト(ストレージ・egress・最低保管)、復旧速度(RPO/RTO)、プロバイダ分散と障害耐性、運用負荷、エコシステム連携、不変性の堅牢さです。いずれも「どれが優れているか」ではなく、「どの要件に向くか」という相対的な整理として捉えてください。
比較早見表
| 比較軸 | ① NAS + S3 | ② NAS + Wasabi | ③ Wasabi + S3 |
|---|---|---|---|
| 復旧速度(RTO) | ◎ ローカルで即時 | ◎ ローカルで即時 | △ クラウドから取り出し |
| 短期データのコスト | ○ Standard は最低保管なし | △ 90 日の最低保管あり | △ 90 日の最低保管を含む |
| 大容量復元のコスト | △ egress が課金される | ◎ egress 無料 | ○ Wasabi 側は egress 無料 |
| プロバイダ分散 | △ 単一クラウド+オンプレ | △ 単一クラウド+オンプレ | ◎ 2 プロバイダで分散 |
| 運用のシンプルさ | ○ AWS の学習要素あり | ◎ 料金体系が単純 | △ 2 クラウド+ID 分離 |
| エコシステム連携 | ◎ AWS 連携が豊富 | ○ S3 互換が中心 | ○ 両者 S3 互換 |
| 不変性 | ◎ Object Lock | ◎ Object Lock | ◎ Object Lock+分散 |
観点別の詳しい比較
コスト(egress・最低保管・ストレージ)
S3 はストレージクラスが豊富で、Standard には最低保管期間がないため、短期間で入れ替える世代を多く持つ使い方ではコストを抑えやすい一方、復元時の egress が課金されます。Wasabi は egress が無料で料金が単純なため、大容量の復元や長期保管で予測しやすい反面、90 日の最低保管と月 1 TB の最低課金があります(参考: https://wasabi.com/pricing/faq )③ は不変コピーを 2 系統維持するため、保管コストは単一構成より増えます。
復旧速度(RPO/RTO)
①② はローカルの NAS が即時復旧を担うため、日常の誤削除や暗号化に対する RTO が短くなります。③ はローカル層がなく、復旧はクラウドからの取り出しになるため、大容量では RTO が伸びやすくなります。ここで Wasabi の egress 無料が、大規模復旧のコスト面で効いてきます。
障害耐性とプロバイダ分散
①② はオンプレとクラウドで分散しますが、クラウド側は単一プロバイダです。③ は S3 と Wasabi の 2 プロバイダに分散するため、プロバイダ全体障害やアカウント凍結といった相関障害に強くなります。一方で、③ はオンプレの独立性がない点が ①② との違いです。
運用負荷とエコシステム連携
① は AWS の各種サービス(IAM、ライフサイクル、レプリケーションなど)と連携しやすい反面、学習要素があります。② は料金・運用が単純で、中小規模で扱いやすい構成です。③ は 2 つのクラウドと認証情報の分離を管理する必要があり、クラウド運用に慣れた組織に向きます。なお、①② で Hyper Backup などを Object Lock バケットへ直接向けると保持の整合で詰まりやすいため、いずれの構成でも複製先で不変化する設計が無難です。
規模・要件別の選定基
- 中小規模・コスト重視
-
② オンプレ NAS + Wasabi。即時復旧を確保しつつ、egress 無料と単純な料金でコストを読みやすくできます。
- AWS 連携・短期データ混在
-
① オンプレ NAS + S3。AWS エコシステムを活かせ、短期で入れ替える世代は S3 Standard が有利です。
- クラウドネイティブ・プロバイダ分散重視
-
③ Wasabi + S3。本番がすでにクラウドにあり、プロバイダ単位の障害に備えたい場合に向きます。
- 大規模・厳格な不変性
-
上記に加え、NAS + S3 + Wasabi の三重構成や、Veeam などバックアップソフトと Object Lock(Compliance/Vault Lock)の連携を検討します。RTO 要件が厳しい場合は、ローカル層を持つ構成が前提になります。
いずれを選ぶ場合でも、複製先の不変化、アカウント・認証情報の分離、そして定期的な復旧テストは共通して欠かせません。いずれを選ぶ場合でも、複製先の不変化、アカウント・認証情報の分離、そして定期的な復旧テストは共通して欠かせません。
まとめ
ランサムウェア対策のバックアップ構成に唯一の正解はなく、重視する要件で選ぶのが前提です。即時復旧か、コスト予測か、プロバイダ分散か、という軸で自社の優先順位を整理すると、選びやすくなります。
- 唯一の正解はなく、要件で選ぶのが前提
- 即時復旧を重視するならローカル層のある ① ②
- コスト予測と大容量復元なら egress 無料の ②
- AWS 連携や短期データ混在なら ①
- プロバイダ分散・クラウドネイティブなら ③
- 大規模・厳格な不変性は三重構成やソフト連携を検討
- 複製先の不変化・アカウント分離・復旧テストは共通で必須
以上、最後までお読みいただきありがとうございました。
