NAKIVO > Blog > Multiplatform

NAKIVO によるバックアップ暗号化の設定：完全ガイド

Updated: 4月 28, 2026

執筆:: NAKIVOチーム

暗号化は、権限のない第三者が個人データにアクセスしたり、それを流用したりするのを防ぐため、セキュリティ対策として広く利用されています。バックアップも例外ではなく、データ侵害の標的となることがよくあります。データ保護戦略の一環として、バックアップに対する追加のセキュリティ層として暗号化を導入することができます。

本ブログ記事では、サイバー攻撃が発生した場合にバックアップの暗号化がどのようにデータの保護に役立つか、また、バックアップインフラのセキュリティを強化し、データ保護の全体的なレベルを向上させる方法について解説します。

NAKIVOで身代金要求に"ノー"を

ランサムウェア攻撃後の迅速なデータ復旧には、バックアップを活用してください。多彩な復旧オプション、改ざん防止機能を備えたローカルおよびクラウドストレージ、復旧の自動化機能などを備えています。

ソリューションを見る

バックアップの暗号化とは何ですか？

バックアップの暗号化とは、バックアップデータを、読み取り可能な形式から、特別な復号鍵やパスワードなしでは読み取れない安全な形式に変換するプロセスです。これにより、たとえ権限のない者がバックアップデータにアクセスしたとしても、権限のあるユーザーのみが入手可能な適切な認証情報なしでは、そのデータを読み取ったり、使用したり、漏洩させたりすることができなくなります。バックアップの暗号化は、保存や転送中に機密情報が盗難、紛失、または漏洩から保護されるための重要なセキュリティ対策です。

暗号化の一例として、誰でも読める平文を暗号化されたデータ(この場合は暗号文)に変換することが挙げられます。暗号文は、通常の方法で暗号キーなしに開こうとしても解読できません。その結果、秘密のコードを使用して元のデータを変換した後、そのデータの本質的な意味は歪められ、復号キーなしでは理解できなくなります。

バックアップの暗号化の重要性

バックアップの暗号化は、権限のない第三者によるデータ盗難や情報漏洩を防ぐために重要です。サイバー犯罪者はデータを盗み出し、競合他社に売却したり、インターネット上に公開して組織にさらなる損害を与えたりする可能性があります。その結果、組織の評判や財務面において甚大な損失を被る恐れがあります。

現代のウイルス、スパイウェア、ランサムウェアは、悪意のある攻撃者が悪意ある目的を達成するために使用する一般的な手段であり、その攻撃はより巧妙かつ頻繁になっています。不正アクセスを防ぐためのデータ保護という目的に加え、バックアップの暗号化が重要である理由は他にもあります。それには以下が含まれます:

Compliance and regulations. 一部の業種は、EUの規制など、特定の規制要件を満たす必要があります。一般データ保護規則(GDPR)、ペイメント・カード・インダストリー・データ・セキュリティ・スタンダード(PCI DSS)、カリフォルニア州消費者プライバシー法(CCPA)、医療保険の相互運用性と説明責任に関する法律(HIPAA)、重要インフラ報告法(CIRCIA)、SOC 3(システムおよび組織統制3)など。これらの規制基準は、組織に対し、データの保存および転送時の暗号化を義務付けています。
Improving overall security. バックアップの暗号化は、セキュリティを強化し、データ保護戦略を向上させます。バックアップを暗号化された形式で保存することで、ハードディスクドライブなどのリムーバブルストレージメディアにバックアップデータを保存し、別の場所(例えば、別の地理的地域にある災害復旧サイトなど)へ輸送する際の安全性が向上します。暗号化されたバックアップが保存されたリムーバブルメディアを紛失または盗難に遭った場合でも、第三者が重要かつ機密性の高いデータにアクセスすることはできません。

ランサムウェア対策としての暗号化バックアップ

バックアップとは、元のデータのコピーを少なくとも1つ作成し、必要に応じて迅速に復元できるようにすることで、データを保護するためのものです。したがって、元のデータがランサムウェアによって破損または削除された場合でも、バックアップからデータを復元することができます。攻撃者はこの戦略を熟知しており、データ復元を不可能にするために、バックアップデータへのアクセスを試みてそれらも破壊しようとします。バックアップを破損または破壊する前に、サイバー攻撃者はバックアップを自身のサーバーにコピーし、盗んだバックアップからデータを抽出することがあります。

バックアップが暗号化されたファイルとして保存されている場合、この手法ではランサムウェアによるファイルの破損や削除を防ぐことはできません。ランサムウェアは通常、コード暗号化アルゴリズムを使用してデータを暗号化し、その結果、そのデータを読み取れない状態、つまり破損させます。ランサムウェアは、ユーザー自身やバックアップアプリケーションによって以前に暗号化されたバックアップファイルを再暗号化し、ユーザーがアクセスできないようにすることが可能です。

一方で、ランサムウェアが暗号化されたバックアップファイルを攻撃の首謀者に送信した場合でも、コード暗号化アルゴリズムが使用されており、鍵、パスワード、認証情報が安全な場所に保管されていれば、攻撃者はデータにアクセスできません。攻撃者は盗んだデータを公開しないことを条件に身代金を要求するのが常ですが、バックアップを暗号化し、攻撃者がバックアップデータにアクセスできないようにしておけば、盗まれた暗号化されたバックアップデータは彼らにとって無価値なものとなります。暗号化されたバックアップは、改ざんに対してより耐性があります。

ランサムウェア攻撃に関しては、ハードウェア暗号化の方が効果的な場合もありますが、このアプローチには独自の欠点もあります。ハードウェア暗号化には、ハードウェアセキュリティモジュール(HSM)を使用できます。これはPCIeカードである場合もあれば、暗号化キーを特別なUSBデバイス(見た目はUSBフラッシュドライブに似ています)に保存することもできます。スマートカードやHASPキーも、暗号化/復号用のハードウェアキーを保存する例です。このようなデバイスからキーを抽出するのはより困難です。この場合、コンピュータに適切なドライバをインストールする必要があります。

ランサムウェアからバックアップを保護するために、エアギャップストレージを使用してください。このストレージタイプは、ランサムウェアによるデータの改ざんを防ぎます。コンピュータやネットワークから物理的に切り離されたエアギャップストレージからは、ランサムウェアがデータをコピーすることはできません。使用不変ストレージあるいは、バックアップの不変性を確保する機能を備えたストレージであり、その目的は、バックアップ保護のためのエアギャップ型ストレージと同様である。

保存時および転送中の暗号化

バックアップは、保存先のストレージメディアへの書き込み中に暗号化することができます。通常、バックアップデータは保存先のストレージに書き込まれる前にネットワーク経由で転送されるため、このデータを含むネットワークトラフィックを暗号化することが重要です。悪意のある攻撃者は、トラフィックスニファを使用してネットワークトラフィックを傍受(キャプチャ)し、この方法でバックアップデータにアクセスする可能性があります。転送中のデータを暗号化することで、このような事態が発生するリスクを低減できます。転送中の暗号化は、データソースとバックアップ先のストレージ間で実行されます。

保存中の暗号化とは、ハードディスクドライブ、テープカートリッジ、クラウドなどのバックアップリポジトリといったバックアップストレージ上のバックアップデータを暗号化することです。転送中のバックアップデータの暗号化は、ハッカーがネットワークにアクセスした場合にデータを保護しますが、保存中のバックアップデータの暗号化は、ハッカーがバックアップストレージにアクセスした場合にデータを保護します。

転送中の暗号化と保存中の暗号化の両方を併用することで、バックアップの暗号化とセキュリティレベルの向上を図ることができます。

暗号化アルゴリズム

データの暗号化には、複雑な数学的アルゴリズムと暗号化／復号鍵が使用されます。利便性を高めるため、ソフトウェアはパスワードやパスフレーズを適切な長さの暗号化鍵に変換することができます。この方法により、ユーザーは長い暗号化鍵を覚えるよりも簡単に、パスワードを記憶することができます。バックアップにおける暗号化の効率は、他のデータと同様に、使用する暗号化アルゴリズムによって異なります。

暗号化アルゴリズムには、対称暗号と非対称暗号があります。対称アルゴリズムでは、データの暗号化と復号化に1つの鍵が使用されます。非対称アルゴリズムでは、鍵ペアが使用されます。具体的には、データを暗号化するための公開鍵と、データを復号化するための秘密鍵です。

両者の例としては、次のようなものがあります:

Symmetric cryptographic algorithms には、AES、DES、3DES、Blowfish、Twofishなどがあります。
Asymmetric cryptographic algorithms RSA(1024、2048、および4096ビット)、ECC、DSA、ディフィー・ヘルマンなどです。

高度暗号化規格(AES)は、その高いセキュリティレベルから、現在最も広く使用されている暗号化アルゴリズムの一つです。鍵長は重要な要素であり、暗号化されたデータがどの程度の期間、安全かつ保護された状態であると見なせるかを決定します。 128ビットの鍵長であれば、最大3年間はデータを保護するのに十分です。それより長い鍵長として、192ビットおよび256ビットの鍵がサポートされています。

AES-256は、256ビットの鍵長により最高レベルのセキュリティを保証します。AES-256の復号鍵を総当り攻撃で解読するには、現代のコンピュータの最大性能を考慮しても、数千年を要します。米国政府は2003年からデータの保護にAESを採用しています。この暗号アルゴリズムは十分に検証され、暗号の専門家によって承認されています。

Secure Sockets Layer/Transport Layer Security(SSL/TLS)を使用したネットワーク通信は、転送中に暗号化されます。最も一般的な例はHTTPSプロトコルです。データの暗号化にはTLS 1.1以降を使用する必要があります。

暗号鍵が長ければ長いほどセキュリティレベルは高くなりますが、データの暗号化にはより多くのCPUリソースが必要となります。また、暗号化されたバックアップからデータを復元するのにも時間がかかります。ネットワーク経由の転送中のデータ暗号化に関しては、暗号鍵が長くなるほど、実用データの転送速度も低下します。これは以下の理由によるものです:

暗号化されたデータは、暗号化アルゴリズムのブロックサイズに合わせてデータを整列させるためにパディングが追加されるため、場合によってはわずかに大きくなることがあります。
暗号化された接続には、暗号化プロセスを管理するための追加のメタデータやヘッダーが含まれることがよくあります。これには、証明書、暗号化キー、ハンドシェイク情報などの要素が含まれます。
これらの余分なメタデータバイトにより、データペイロードが大きくなり、送信する必要のあるデータ量がわずかに増加します。
データ量が増加すると、元の情報量に対して送信されるデータ量が増えるため、ネットワークの実効スループットが低下する可能性があります。

暗号化アルゴリズムは、入力の種類に基づいて、対称暗号アルゴリズムのうちストリーム暗号とブロック暗号に分類されます。ストリーム暗号では、1回につき1ブロックずつ暗号化されます。ブロック暗号は、次のような特徴を持つ対称鍵暗号アルゴリズムの一種です:

ブロック暗号は、固定サイズのブロック(たとえば、64ビットや128ビットのブロック)単位でデータを暗号化します。
ブロック暗号は対称鍵を使用します。つまり、暗号化と復号化の両方に同じ鍵が使われます。
一般的なブロック暗号アルゴリズムには、AES、DES、およびBlowfishなどがあります。

暗号化とハッシュ

ハッシュ関数とは、文字列やその他のデータセットをハッシュ値に変換する、元に戻せない関数のことです。算出されたハッシュ値は、データの完全性(ファイル)や真正性(パスワードのハッシュ)の確認、あるいは一意の識別子(フィンガープリント)の生成に利用されます。ハッシュ関数の例としては、SHA-256やMD5などが挙げられます。

暗号化されたバックアップに伴うリスク

暗号化されたバックアップは、バックアップサブシステムにさらなる複雑さとオーバーヘッドをもたらします。鍵やパスワードを紛失すると、暗号化されたバックアップからデータを復元することが不可能になるため、深刻な問題を引き起こす可能性があります。第三者や攻撃者が暗号化鍵にアクセスした場合、データの盗難や損失が発生する恐れがあります。これらの理由から、組織は暗号化されたバックアップ用の暗号化鍵を保存するための信頼性の高い戦略を採用し、これらの鍵、鍵のローテーション方式、およびセキュリティポリシーを管理して、許可されたユーザーのみに鍵を提供する必要があります。

バックアップを含むテープカートリッジの暗号化に関連するリスクもあります。 LTO-4 から LTO-7 までのテープ規格は、テープメディアの AES-256 暗号化をサポートしています。対称暗号化/復号鍵は、テープドライブがテープにデータを書き込む際にドライブ上に保存されますが、それ以降は保存されません。セキュリティ上の理由から、これらの鍵はテープには書き込まれません。災害によりデータセンターが被害を受け、バックアップサーバーが破壊された場合、復号鍵も一緒に破壊されるため、データ復旧の問題が発生する可能性があります。

リスクを軽減するために、以下の実施が推奨されますバックアップテストさまざまな状況下で暗号化されたバックアップからデータを確実に復元できるよう、定期的に確認してください。

ハードディスクドライブレベルでの暗号化やフルディスク暗号化を使用している場合、HDDが故障すると、ラボでのデータ復旧が不可能になる可能性があります。バックアップコピーを作成することで、暗号化されたHDDやSSDにバックアップを保存する際のリスクを軽減できます。

鍵管理

すべてのデータの暗号化に単一の鍵を使用することにはリスクが伴います。攻撃者がこの鍵を入手できれば、すべてのデータを復号化し、アクセスすることが可能になります。高いセキュリティ基準を満たすためには、組織はデータセットごとに複数の暗号化鍵を使用することが推奨されます。これらの鍵は安全な場所に保管し、権限を持つ承認されたユーザーのみがアクセスできるようにする必要があります。管理者は鍵を保護するとともに、災害発生時にも鍵が利用可能であることを確保しなければなりません。

暗号化/復号化キーのライフサイクル全体におけるキー管理プロセスを改善し、キーの紛失や漏洩から保護するために、キー管理システム(KMS)を導入することができます。KMSを使用することで、キーへのアクセス権限の制御や、キーの割り当ておよびローテーション方法を管理できます。主要なキー管理標準の一つに、Key Management Interoperability Protocol(KMIP)があります。暗号化キーの保存および管理には、キーボルトを使用することができます。

バックアップの暗号化に向けた準備 NAKIVO Backup & Replication

NAKIVO Backup & Replication は、暗号化バックアップに対応したデータ保護ソリューションであり、以下の方法を用いてバックアップデータを暗号化することができます:

ソース側暗号化:データが送信元を離れる前、転送中、およびバックアップリポジトリ内でのライフサイクル全体を通じてデータを暗号化します
ネットワーク経由でバックアップリポジトリへ転送されるデータを暗号化するためのネットワーク暗号化
リポジトリの暗号化により、ストレージに保存されているデータの暗号化を行う

NAKIVOのソリューションでは、世界的なデータ暗号化の業界標準とされるAES-256暗号化を採用しています。

ソース側でのバックアップ暗号化は、バージョン11.0以降で利用可能です。この機能の利点は、バックアップ対象のデータがまずソース側で暗号化され、その後、この暗号化されたデータがバックアップリポジトリに転送され、暗号化された状態でリポジトリに保存される点にあります。このアプローチにより、設定やバックアッププロセスが簡素化され、クラウドへのバックアップにも利用可能です。

システム要件

Requirements for source-side encryption

バージョン11.0の NAKIVO Backup & Replication、バックアップジョブ単位でバックアップの暗号化を設定できる新しいオプションが導入されました。データはソース側で暗号化され、ネットワーク経由の転送中およびバックアップリポジトリ内の保存中も暗号化された状態が維持されます。

対応するバックアップ先タイプ:

ローカルフォルダ
NFSおよびSMB共有
Amazon EC2
Amazon S3 および S3 互換のオブジェクトストレージ
わさび
重複排除アプライアンス
Azure Blob ストレージ
Backblaze B2
テープ

対応するバックアップリポジトリの種類:増分(フルバックアップ付き)

Requirements for network encryption

バージョン10.11.2およびそれ以前のバージョンでネットワーク暗号化を設定するには、2台のTransporterが必要です。A トランスポーターは、～の中核をなす要素です NAKIVO Backup & Replication データの処理、転送、暗号化、圧縮などを担当します。

ネットワーク経由でのデータ転送における暗号化は、2つのトランスポーター間で実行されます。送信側のトランスポーターは、データを宛先側のトランスポーターに送信する前に圧縮および暗号化し、宛先側のトランスポーターはデータを復号してバックアップリポジトリに書き込みます。

Requirements for backup repository encryption

保存先のストレージにおけるバックアップの暗号化は、以下の場所で利用可能です。バックアップリポジトリバックアップリポジトリを作成する際のレベル NAKIVO Backup & Replication.

バックアップリポジトリの暗号化は、以下の段階的かつ完全なおよびLinux OSにおける永続的な増分バックアップリポジトリの種類。

バックアップの暗号化を有効にする方法

NAKIVOのデータ保護ソリューションで、さまざまな種類のバックアップ暗号化を有効にする方法について見ていきましょう。

送信元側でのバックアップ暗号化(バージョン 11.0 以降)

で NAKIVO Backup & Replication v11.0では、データの安全な転送と保存のために、ソース側でバックアップの暗号化を設定できます。これらのオプションは、 Options バックアップまたはバックアップコピー・ジョブ・ウィザードのステップ。

ソース側バックアップ暗号化とは、データがリポジトリに送信される前、つまりソース側で暗号化されることを意味します。

v11.0でバックアップ・ジョブレベルでソース側バックアップ暗号化を有効にするには、次の手順を実行します:

その Backup encryption ドロップダウンメニューから選択 Enabled.
クリック Settings で Backup encryption 暗号化用のパスワードを設定する行。
選択 Create password、パスワードを入力し、パスワードを確認してください。
このパスワードの説明を入力してください。説明欄に入力した名前は、後でさまざまなバックアップジョブで選択できるパスワードの一覧に表示されます。当社では Hyper-Vのバックアップ パスワード名として

AWS KMS を使用していない場合、次のようなメッセージが表示されます: キー管理サービスは無効になっています。"暗号化"タブを参照してください。 AWS KMS を設定して有効にしている場合、この警告は表示されません。なお、KMS でパスワードを管理するように設定するには、AWS アカウントを NAKIVO Backup & Replication まずは在庫確認から。

クリック Proceed.
入力したパスワードは自動的に適用されます。
あるいは、既存のパスワードを選択することもできます。
クリック Finish ジョブ設定を保存するには、またはクリックして Finish & Run 設定を保存し、設定したバックアップ暗号化を使用してジョブを実行します。
ジョブ設定を適用する際、バックアップがパスワードで保護されており、パスワードを紛失した場合、データを復号化できなくなるという警告が表示されます。この警告は、AWS Key Management Service を有効にしていない場合に表示されます。クリック Proceed.

AWS Key Management Service(AWS KMS)を使用することで、バックアップ用に設定した暗号化パスワードを紛失しないようにすることができます。AWS KMSを使用するには、のWebインターフェースで NAKIVO Backup & Replication、[ここ](https://example.com) へ移動してください Settings > General > System settings、を選択して Encryption タブをクリックし、 Use AWS Key Management Service チェックボックス。AWSアカウントを NAKIVO Backup & Replication まず、AWS KMSを有効にするためにインベントリを確認してください。

AWS Key Management settings in the NAKIVO solution

バックアップ用のネットワーク暗号化の設定

ネットワーク経由で転送されるバックアップデータのセキュリティレベルを向上させ、暗号化を設定することができます。v10.11より前のバージョンでこの機能を利用するための主な要件の一つは、2つのTransporterを異なるマシンにインストールする必要があることです。

Hyper-Vホストをインベントリに追加し、ネットワーク暗号化を使用してHyper-V仮想マシンを暗号化されたバックアップストレージにバックアップすることができます。NAKIVOソリューションのWebインターフェースからHyper-VホストをNAKIVOインベントリに追加すると、そのHyper-VホストにTransporterがインストールされます。

この構成は、以下のスクリーンショットに示されています。

Backup encryption in flight

これで、バックアップジョブのオプションで、ネットワーク経由でのバックアップ転送のためのネットワーク暗号化を設定できるようになりました。ジョブの表示名やその他のパラメータを入力してください。

内の Network Encryption ドロップダウンリストから選択 Enabledこのパラメータは、マシン間でバックアップデータを転送するために2つのトランスポーターが使用されているため、有効になっています。

Enabling network encryption for transferring the backup data to a backup repository

また、ローカルサイトにあるリモートマシンにトランスポーターを展開することで、バックアップ対象となるワークロードの処理数を増やすことも可能です。トランスポーターをリモートサイトのリモートマシンに展開し、バックアップおよびバックアップコピーを保存することで、 3-2-1バックアップルールこの場合、ネットワーク経由で転送されるバックアップデータは、暗号化されたVPN接続を利用できない場合でも、暗号化され、情報漏洩から保護されます。

A network scheme of encrypted backups transferred over the network

バックアップリポジトリの暗号化を有効にする

バックアップリポジトリを作成する際、リポジトリ全体のバックアップ暗号化を設定できます。この機能は NAKIVO Backup & Replication バージョン5.7以降。以前に暗号化なしのバックアップリポジトリを作成している場合は、バックアップリポジトリレベルで暗号化を有効にするために、新しいリポジトリを作成する必要があります。 機内転送装置 がデフォルトでインストールされています。バックアップリポジトリを作成し、バックアップの暗号化を有効にする手順を見ていきましょう。

注: バックアップリポジトリ全体に対して暗号化を有効にすると、そのリポジトリに保存されたバックアップの不変性機能が無効になります。この機能は、Linux ベースのマシン上のバックアップリポジトリでのみ利用可能です。

バックアップリポジトリ全体の暗号化設定は、 オプション バックアップリポジトリ作成ウィザードのステップ:

その Encryption ドロップダウンメニューから選択 Enabledすると、その下にパスワード入力欄が表示されます。
暗号化パスワードを入力し、そのパスワードを確認してください。
ヒット Finish これで、暗号化されたバックアップリポジトリの作成が完了します。

Enabling encryption for a backup repository during the creation

今後、このバックアップリポジトリに保存されるすべてのバックアップは暗号化されます。

暗号化されたバックアップからの復元

暗号化されたバックアップからのデータ復元は、暗号化されていないバックアップの場合と同様です。KMSが有効になっていない場合、またはリポジトリが新しいNAKIVOソリューションインスタンスに接続されている場合は、復元を行うためにパスワードを再度入力する必要があります。つまり、暗号化されたバックアップリポジトリをインスタンスに接続する場合、 NAKIVO Backup & Replication (別のDirectorインスタンス、または新しくインストールしたDirectorインスタンス)を使用する場合、このバックアップリポジトリに対して以前に設定した暗号化パスワードを入力する必要があります(リポジトリレベルで暗号化を有効にしている場合)。

新しいNAKIVOソリューションインスタンスにリポジトリを接続した後、バックアップの暗号化時にKMSが有効になっていた場合は、KMSを再度有効にし、前回使用した適切なキーを選択するだけで済みます。この場合、すべてのパスワードを再入力する必要はありません。