Azure環境でもランサムウェア対策バックアップを！Veeamで実現する3-2-1ルール

バックアップの必要性出典：クラウドにおける共同責任 https://learn.microsoft.com/ja-jp/azure/security/fundamentals/shared-responsibility 責任情報とデータデバイス（モバイル、PC）アカウントとID IDとディレクトリインフラストラクチャアプリケーション
ネットワーク管理オペレーティングシステム物理ホスト物理ネットワーク物理データセンター SaaS PaaS IaaS オンプレ常に顧客側の責任サービスタイプにより異なる責任クラウドプロバイダーの責任 Microsoft 顧客

バックアップの必要性よくある誤解：「クラウドだから安心」 × Azureがハードを冗長化しているからデータは消えない × ローカル冗長(LRS)や地理冗長(GRS)でバックアップは不要 × Azure Backupを標準で動かしているから
ランサムウェアも安心 ⇒ これらは『システム可用性』であり、人為ミスや攻撃に対応する『論理保護』ではない現実：API乗っ取りによる一括削除リスク • 特権アカウント（Global Adminや機密管理者）の資格奪取 • 管理コンソールやAzure CLIを介したスナップショットの一斉削除 • バックアップ元（VM）とバックアップ先（同一テナント）の共倒れ • 内部関係者による悪意を持ったデータ破壊やポリシー変更 ⇒ セキュリティ境界を分離した外部・不変保管が不可避 © 2026 Climb Inc. 3

3-2-1-1-0ルールに基づく多層防御 © 2026 Climb Inc. 4 3 異なるデータコピー本番に加え、保護用、さらに不変隔離データの3
重保持 2 異なる物理メディアローカルスナップショットとBlobオブジェクトストレージ 1 異なる地理隔離別リージョン、別サブスクリプションへの分離 1 イミュータブル（不変）オブジェクトロック不変層の確保 0 リストアエラーゼロ検証の完全自動化による復旧保証

© 2026 Climb Inc. 5 Veeam Backup & Replication ＋
Veeam Backup for Azure

Veeam Backup & Replication © 2026 Climb Inc. 6 仮想プラットフォーム
VMware vSphere Microsoft Hyper-V Nutanix AHV oVirt KVM Proxmox VE Scale Computing HyperCore HPE Morpheus VM Essentials 物理プラットフォーム Microsoft Windows Linux ファイル共有クラウドプラットフォーム Amazon Web Service Microsoft Azure Google Cloud Veeam Backup & Replicationサーバー・Veeam全体の管理バックアップ保存先 Windows/Linux 強化リポジトリファイル共有（SMB/NFS）重複排除ストレージ（Dell Data Domain/ExaGrid/HPE StoreOnce）オブジェクトストレージ（Amazon S3/Azure Blob/Google Cloud） Veeam Data Cloud Vault 二次バックアップのみテープ

Veeam Backup & Replication © 2026 Climb Inc. 7 仮想プラットフォーム
VMware vSphere Microsoft Hyper-V Nutanix AHV oVirt KVM Proxmox VE Scale Computing HyperCore HPE Morpheus VM Essentials 物理プラットフォーム Microsoft Windows Linux ファイル共有クラウドプラットフォーム Amazon Web Service Microsoft Azure Google Cloud Veeam Backup & Replicationサーバー・Veeam全体の管理バックアップ保存先 Windows/Linux 強化リポジトリファイル共有（SMB/NFS）重複排除ストレージ（Dell Data Domain/ExaGrid/HPE StoreOnce）オブジェクトストレージ（Amazon S3/Azure Blob/Google Cloud） Veeam Data Cloud Vault 二次バックアップのみテープ Veeam Backup for Azure

Veeam Backup for Azure © 2026 Climb Inc. 8 包括的なデータ保護
Azure環境内のVM、データベース、ファイル共有をエージェントレスで保護。スナップショットベースの高速バックアップと、Blobストレージへのオフロードを両立します。高い柔軟性と制御 SLAベースのポリシー管理により、ビジネス要件に合わせたRPO/RTOを設定可能。コスト見積もり機能により、バックアップ費用の予測管理も容易です。

保護対象となるワークロード • Azure VM： • ネイティブスナップショット • イメージベースバックアップ（Veeam形式のAzure Blob保持） •
Azure SQL / Cosmos DB： • イメージベースバックアップ（Veeam形式のAzure Blob保持） • Azureファイル共有： • ネイティブスナップショット • 仮想ネットワーク： • 構成のバックアップ © 2026 Climb Inc. 9 VM SQL DB Files

構成イメージ © 2026 Climb Inc. 10 Veeam Backup & Replicationサーバー
・Veeam全体の管理バックアップリポジトリ・二次バックアップ先バックアップアプライアンス（Veeam Backup for Azure）・Azureバックアップの管理バックアップリポジトリ・Blob Storage ・一次バックアップ先ワーカーインスタンス・バックアップ処理タスク展開・管理二次バックアップ一次バックアップ On-premises Azure

Veeam Backup for Azureの特長 © 2026 Climb Inc. 11 強固なセキュリティ
柔軟なリストアオプションクラウド最適化

不変バックアップ • Azure Blob Storageのオブジェクトロック機能と連携 • 保存するオブジェクトの変更/削除を一定期間禁止 •
ランサムウェアによる暗号化への対策 • 誤操作、不正操作による保存期間変更、削除への対策 © 2026 Climb Inc. 12

エアギャップ構成 • バックアップデータを本番環境から隔離 • 攻撃経路を遮断 © 2026 Climb Inc. 13
Blob Storage バックアップ Windows 強化Linux NAS 重複排除ストレージ Amazon S3 / Google Cloud / Azure Blob / Wasabi … 二次バックアップ

SLAベースのバックアップポリシー • 目標値（SLA）の入力：「何時間前までに戻せるか」を基準にバックアップを実行するスケジュール（RPO）と、保持期間を設定 • リソース条件の定義：サブスクリプション、リソースグループ、特定のタグを条件に
• 自動検知・実行：条件に合致するリソースを自動で保護対象に取り込み © 2026 Climb Inc. 16

まとめ © 2026 Climb Inc. 18 3 異なるデータコピー本番に加え、保護用、さらに不変隔離データの3
重保持ネイティブスナップショット、Blobオブジェクトストレージへの Veeam形式の保護、さらにオンプレのストレージへも保護可能 2 異なる物理メディアローカルスナップショットとBlobオブジェクトストレージ Premium SSDと、異なる Blob階層 (Hot/Cool/Archive)、オンプレストレージ等、複数メディアに分散可能 1 異なる地理隔離別リージョン、別サブスクリプションへの分離オンプレミスへのバックアップコピー、または別クラウドへ地理的隔離保管可能 1 イミュータブル（不変）オブジェクトロック不変層の確保 Azure Blob of WORM機能 (不変ポリシー)と連携し、ランサムウェアによる削除を「物理防御」 0 リストアエラーゼロ検証の完全自動化による復旧保証 SureBackupによるバックアップの整合性チェックと、YARAスキャンでエラー・再汚染ゼロ

Azure環境でもランサムウェア対策バックアップを！Veeamで実現する3-2-1ルール

Azure環境でもランサムウェア対策バックアップを！Veeamで実現する3-2-1ルール

Climb

More Decks by Climb

Other Decks in Technology

Featured

Transcript

© 2026 Climb Inc.

バックアップの必要性よくある誤解：「クラウドだから安心」 × Azureがハードを冗長化しているからデータは消えない × ローカル冗長(LRS)や地理冗長(GRS)でバックアップは不要 × Azure Backupを標準で動かしているから

3-2-1-1-0ルールに基づく多層防御 © 2026 Climb Inc. 4 3 異なるデータコピー本番に加え、保護用、さらに不変隔離データの3

© 2026 Climb Inc. 5 Veeam Backup & Replication ＋

Veeam Backup & Replication © 2026 Climb Inc. 6 仮想プラットフォーム

Veeam Backup & Replication © 2026 Climb Inc. 7 仮想プラットフォーム

Veeam Backup for Azure © 2026 Climb Inc. 8 包括的なデータ保護

保護対象となるワークロード • Azure VM： • ネイティブスナップショット • イメージベースバックアップ（Veeam形式のAzure Blob保持） •

構成イメージ © 2026 Climb Inc. 10 Veeam Backup & Replicationサーバー

Veeam Backup for Azureの特長 © 2026 Climb Inc. 11 強固なセキュリティ

不変バックアップ • Azure Blob Storageのオブジェクトロック機能と連携 • 保存するオブジェクトの変更/削除を一定期間禁止 •

エアギャップ構成 • バックアップデータを本番環境から隔離 • 攻撃経路を遮断 © 2026 Climb Inc. 13

Azureへの各種リストア • Azure仮想マシンとしてリストア • ディスク単位のリストア • ファイル単位のリストア © 2026 Climb

どこにでもリストア • Azure環境だけでなく、他クラウド（AWS、Google Cloud）、オンプレ仮想環境へもリストア © 2026 Climb Inc. 15

ハイブリッド・マルチクラウド統合管理 • Azureのバックアップからオンプレへ • オンプレのバックアップからAzureへ © 2026 Climb Inc. 17

まとめ © 2026 Climb Inc. 18 3 異なるデータコピー本番に加え、保護用、さらに不変隔離データの3