警察庁が公表しているランサムウェア被害件数は、2020年の23件から2023年には197件まで増えました。報告されているのは氷山の一角で、特に中小企業の被害は表に出ません。「身代金は払わなかったが、業務復旧に2ヶ月かかった」という事例を編集部も複数耳にしています。
中小企業のデータ運用は、もはや「いつか起こる」前提で設計するフェーズに入っています。専任 IT 担当のいない 10〜50名規模で現実的に組める構成を整理します。
共有 NAS でデータを集約する
業務データは必ず**共有 NAS(または共有クラウドストレージ)**に保存するルールにします。個人 PC は作業用と割り切り、永続データを置かない運用です。
具体例として、編集部が知る20名規模のデザイン会社では、Synology RS822+(ラックマウント NAS)を社内に置き、/projects/{年}/{クライアント}/ の階層で全案件を集約しています。退職者の引き継ぎが「PC 返却だけで完了」する状態を作るのが目標です。フォルダ単位で部署別の権限を設定できるので、人事・経理データへのアクセス制御も同じ NAS で完結します。NAS の基本はNAS の仕組みを参照してください。
クラウドへのオフサイト控え
NAS 1台に集約しただけでは、火災・水害・盗難・ランサムウェアで全業務データを失います。Synology なら標準搭載の Hyper Backup を使い、夜間に S3 系のクラウドや Backblaze B2 へ自動同期する構成が定番です。月額数千円から組めます。
ランサムウェア対策
中小企業を狙ったランサムウェア対策で特に重要なのは「世代管理を持つ、感染端末から触れない控え」を1つ持つことです。一般論はランサムウェアからデータを守る方法で詳しく書いていますが、ポイントは2つ。
- バージョン履歴の長いクラウドを選ぶ(暗号化されたファイルが同期されても、過去版から戻せる)
- NAS のスナップショット機能を有効化し、保持期間を90日以上にする
最近のランサムウェアは「バックアップ先まで先に暗号化してから本体を暗号化する」手口があり、常時アクセスできる NAS が標的になります。スナップショットは書き換え不可(イミュータブル)設定にすると、NAS が侵入されてもスナップショットだけは無事です。
退職者からの引き継ぎ
業務データが共有 NAS に集約されていれば、退職時の引き継ぎは PC 返却だけで完了します。逆に、個人 PC や個人クラウドにデータが残ると、退職後にアクセスできず業務が止まります。「業務データは必ず NAS / 共有クラウドに置く」の一点を社内ルールとして明文化するのが要です。
まとめ
10〜50名規模なら、Synology の中規模 NAS と Backblaze B2 や AWS S3 などのクラウドで 3-2-1 を満たせます。月額のクラウド費用は数千円程度。ランサムウェア被害の復旧コストや業務停止損失を考えれば、桁違いに安い投資です。自社規模に合う組み方は無料の構成診断で確認できます。