ランサムウェア対策を本気で考えるなら──Synology 3台で実現するHA＋ イミュータブルバックアップ構成

近年、 ランサムウェアの手口は巧妙化しており、 本番環境だけでなくバックアップデータそのものを狙って暗号化‧ 破壊する攻撃が増加しています。「バックアップを取っているから安心」 という時代は終わ
り、 バックアップの「可用性」「安全性」「改ざん不可性」 をすべて満たす強固な構成が求められています。
本記事では、 コストパフォーマンスに優れたSynology NASを3台活用し、「HA（高可用性） 構成＋Active Backup＋イミュータブルスナップショット」 を組み合わせた、 鉄壁のデータ保護ソリューションをご紹介します。

こんな課題を抱えていませんか？

• ランサムウェア感染により、 バックアップデータまで暗号化‧ 破損するリスクがある
• NAS自体の故障リスクに備え、 バックアップの可用性（止めない運用） を確保したい
• システム障害時に、 迅速に業務データを復旧できる環境を構築したい
• 内部不正や誤操作によるバックアップデータの変更‧ 削除を確実に防止したい

構成概要： 3層の防御壁

構成図イメージ

この構成は以下の3ステップで成り立っています。

1. データ取得
   物理/仮想サーバから「NAS 1」 へActive Backupでバックアップ
2. 可用性確保
   「NAS 1」 と「NAS 2」 でSynology High Availability (SHA) クラスタを構築
3. データ保護
   「NAS 1」 のデータを「NAS 3」 へスナップショットレプリケーション（イミュータブル設定）

NAS1とNAS2でHA構成（ Synology High Availability）

Synology High Availability (SHA) は、 2台のSynology NASを1つのハイアベイラビリティ（HA） クラスタとして統合する機能です。

SHAの主な特徴

• アクティブ/パッシブ構成
  1台が処理を行い、 もう1台は常に待機してデータをリアルタイム同期します。
• 自動フェイルオーバー
  アクティブサーバに障害が発生すると、 パッシブサーバが自動的に処理を引き継ぎます。
• シームレスな切り替え
  クラスタは単一の仮想IPアドレスを持つため、 クライアント側での設定変更は不要です。
• 同一モデル推奨
  安定稼働のため、 構成する2台は同じモデルであることが強く 推奨されます。

バックアップの「受け皿」 自体が冗長化されるため、 NASのハードウェア障害によるバックアップ停止リスクを最小限に抑えられます。

物理・ 仮想サーバのバックアップ（ Active Backup for Business）

Active Backup for Business (ABB) は、 Synology NASに無償で付属するエンタープライズグレードのバックアップソフトウェアです。

ABBの主な特徴

• ライセンスフリー
  バックアップ対象のPC、 物理サーバ、 仮想マシンの台数は無制限です。
• 広範な対応環境
  Windows PC/Server、 Linux、 VMware vSphere、 Hyper-Vに対応。
• グローバル重複排除
  デバイス間で重複するデータを排除し、 ストレージ容量を大幅に節約します。
• Instant Restore（即時復元）
  障害時にはバックアップイメージを Synology VMM上で仮想マシンとして即座に起動可能です。

HA構成上のNASにバックアップすることで、 片方のNASが故障してもバックアップジョブは継続されます。

スナップショットレプリ ケーション ＋ イミ ュータブル（ NAS3）

HAクラスタ上のデータを、 さらに別の筐体（NAS 3） へ「Snapshot Replication」 機能で複製し、「イミュータブル（不変） 」 設定を適用します。 これがランサムウェア対策の要です。

イミ ュータブルスナップショットの特徴

• 完全な書き換え禁止
  設定した保護期間中は、 管理者権限であってもデータの変更‧ 削除が一切できません。
• 改ざん防止クロック
  システム時刻を操作して保護期間を無効化しようとする攻撃も防ぐ独自メカニズムを搭載。
• 推奨設定
  保護期間は7〜14日が一般的です（DSM 7.2以降で対応）。

仮にメインのNAS群（HAクラスタ） がランサムウェアに侵害されても、 NAS 3にあるデータは「読み取り専用‧ 削除不可」 の状態であるため、 確実に守られます。

導入のメリ ット

デメリ ット・ 注意点