士業事務所のデータバックアップは「3-2-1ルール」が基本
結論から言えば、士業事務所のデータバックアップは「3-2-1ルール」に従ったハイブリッド構成が最も堅実です。データのコピーを3つ作り、2種類のメディアに保存し、1つはオフサイト(事務所外)に保管する。米国US-CERTも2012年に推奨したこの原則に沿えば、火災・ランサムウェア・ハードウェア故障のいずれに遭遇しても復旧できる体制が整います。
ところが現実はどうでしょうか。NASデータのクラウドバックアップを実施している中小企業はわずか27.9%。72.1%が「コスト高」「コア業務で手が回らない」といった理由でクラウドバックアップを導入できていません(バッファロー 2024年3月調査、従業員10〜300名の104社対象)。士業事務所は顧客の個人情報や財務データを大量に扱う立場にありながら、バックアップ体制が脆弱なまま運用しているケースが少なくありません。
この記事でわかること: 3-2-1ルールの具体的な実践法 / クラウド・NAS・ハイブリッドの比較 / バックアップ頻度と世代管理の目安 / よくある失敗パターンと回避策
バックアップを怠ると何が起きるか — 士業固有のリスク
一般企業のデータ消失も深刻ですが、士業事務所には業種固有のリスクが上乗せされます。
-
01
守秘義務違反・懲戒処分 弁護士法・税理士法・行政書士法など各士業法は守秘義務を課しており、違反には懲戒処分や刑事罰が科される場合がある。データ消失による情報漏洩は、たとえ意図的でなくとも管理責任を問われる可能性がある
-
02
顧問先データの復旧不能 顧問先の決算データ・契約書・相続関連書類が消失した場合、再収集には膨大な手間がかかる。顧問先との信頼関係に致命的なダメージを与え、契約解除につながるリスクもある
-
03
業務停止と損害賠償 データ消失で業務が停止した場合、申告期限・登記期限の徒過による損害賠償請求を受ける可能性がある。復旧期間中の逸失利益も含めると、被害額は想像以上に膨らむ
士業事務所の書類管理におけるセキュリティの基本的な考え方は、士業事務所の書類管理セキュリティ基礎知識で詳しく整理しています。バックアップはその中でも「最後の砦」にあたる対策です。
ランサムウェア被害と情報漏洩 — 最新の統計データ
「うちは小さい事務所だから狙われない」と考えるのは危険です。警察庁の統計によれば、2024年のランサムウェア被害は222件。そのうち中小企業の被害は140件(約63%)で、前年(102件)から37%増と急増しています(警察庁「令和6年におけるサイバー空間をめぐる脅威の情勢等について」より)。
| 指標 | 数値 | 出典 |
|---|---|---|
| ランサムウェア被害件数(2024年) | 222件 | 警察庁 |
| 中小企業の被害割合 | 約63%(140件) | 警察庁 |
| 復旧費用1,000万円以上の割合 | 50% | 警察庁 |
| 復旧に1ヶ月以上を要した組織 | 49% | 警察庁 |
| 上場企業の個人情報漏洩事故(2024年) | 189件(過去最多) | 東京商工リサーチ |
| セキュリティ対策に投資していない中小企業 | 62.6% | IPA 2024年度調査 |
主な侵入経路はVPN機器の脆弱性(55%)とリモートデスクトップ(31%)。コロナ禍以降にリモートワーク環境を整備した事務所は、VPN機器のファームウェア更新が滞っていないか確認すべきです。
IPA(情報処理推進機構)の2024年度調査では、セキュリティ対策に投資していない中小企業が62.6%にのぼります。投資しない理由の最多は「必要性を感じない」(44.3%)。被害を受けてからでは遅いという認識が、まだ十分に浸透していない現状が浮き彫りになっています。
3-2-1ルールの具体的な実践方法
3-2-1ルールは2005年に写真家ピーター・クローグが提唱し、2012年に米国US-CERTが推奨したバックアップの基本原則です。さらに近年は「3-2-1-1-0ルール」への進化も提唱されています。
3つのコピーを保持
オリジナルデータに加えて、2つのバックアップコピーを作成する。たとえば「業務PC + NAS + クラウド」の3箇所にデータを持つ構成。1箇所が故障しても残り2箇所から復旧できる。
2種類のメディアに保存
同じメディアに2つバックアップを取っても、同一障害で同時に失われるリスクがある。NAS(ローカル)とクラウド(リモート)のように、物理的に異なる種類のストレージを組み合わせる。
1つはオフサイトに保管
火災や水害でオフィスごとデータが失われるケースに備え、少なくとも1つのバックアップは物理的に離れた場所に保管する。クラウドストレージを使えば、自動的にこの要件を満たせる。
進化版の「3-2-1-1-0」は、さらに1つはオフライン(ネットワークから切り離したエアギャップ状態)で保管し、バックアップのエラー(復旧テスト失敗)をゼロにすることを求めています。ランサムウェアがネットワーク経由でNASにも感染するケースが増えているため、最低でも1つのバックアップをオフラインまたはクラウドに隔離しておくことが重要です。
クラウド・NAS・ハイブリッド — 士業事務所に合う方法は?
| 方法 | メリット | デメリット | 向いている事務所 |
|---|---|---|---|
| クラウドのみ | 初期費用ゼロ・自動化が容易・災害耐性が高い | 月額費用が継続・大容量は割高・回線速度に依存 | 1〜3名の小規模事務所 |
| NASのみ | 高速バックアップ・買い切り・LAN内完結 | 災害・盗難に弱い・3-2-1ルール未達 | 非推奨(オフサイト保管がない) |
| ハイブリッド(推奨) | 高速復旧+災害耐性・3-2-1ルール充足 | NAS初期費用+クラウド月額の両方が必要 | 3名以上・顧問先データが多い事務所 |
ハイブリッド構成では、NASでローカルの高速バックアップを取りつつ、重要データのみクラウドへ転送します。NAS付属のバックアップ・同期ツール(Synology Hyper BackupやQNAP Hybrid Backup Syncなど)にはクラウド転送機能が組み込まれているため、設定さえ済めば自動運用が可能です。クラウドストレージの選択肢については士業向けクラウドストレージ比較も参考にしてください。
クラウドバックアップサービスの料金比較
士業事務所が導入しやすいクラウドバックアップサービスを比較します。いずれも日本語対応または日本国内にデータセンターを持つサービスを中心に選定しました。
| サービス名 | 月額料金 | 容量 | 主な特徴 |
|---|---|---|---|
| 使えるクラウドバックアップ | 2,200円(税込)〜 | 200GB〜 | Acronis採用・イメージバックアップ・ランサムウェア対策機能 |
| コワークストレージ(NTT東日本) | 2,750円/月 | 100GB/5ID | NTTブランド・国内DC・初期費用なし |
| AOSBOX Business Pro | 年額40,000円〜 | 100GB〜 | ファイルバックアップ特化・世代管理対応 |
| Backblaze B2 | $6/TB/月 | 従量課金 | 最安級・S3互換API・NAS連携に強い |
小規模事務所(データ量100GB以下)であれば月額2,000〜3,000円程度から始められます。NASと組み合わせる場合は、2ベイモデルの本体価格が3〜5万円程度。ランサムウェア被害の復旧費用(1,000万円以上が50%)と比較すれば、バックアップへの投資は十分にリターンが見込める対策です。
バックアップの頻度と世代管理はどう設定すべきか?
- ✓ファイルバックアップ: 1日1回以上
顧問先の財務データ、契約書、申告書類など日常的に更新するファイルは毎日バックアップ。特に重要なデータは更新のたびにリアルタイム同期を設定する - ✓システムバックアップ: 数ヶ月に1回
OS・アプリケーションを含むイメージバックアップ。OSアップデートやソフト導入時にも都度取得しておくと、障害時の復旧が早い - ✓世代管理: 日次7世代 + 月次3世代
直近7日分は毎日の差分を保持し、過去3ヶ月分は月末のスナップショットを残す。ランサムウェアの潜伏期間(検知までに平均数日〜数週間)を考慮すると、少なくとも1週間以上前の世代を保持することが重要 - ✓復旧テスト: 半年に1回
バックアップが「取れているつもり」で実際には復旧できなかった——という事故は珍しくない。半年に1回は実際にバックアップからデータを復元し、正常に開けるかを確認する
バックアップの最適な頻度は「データの変化頻度 × 復旧にかけられる余裕時間」で決まります。繁忙期(確定申告期・決算期)はデータ更新頻度が跳ね上がるため、一時的にバックアップ間隔を短縮する運用も検討してください。
やりがちな失敗パターンと回避策
同じ場所にしかバックアップがない
PCの隣に置いた外付けHDDだけ、という構成は3-2-1ルールを満たしていない。火災でPC・HDDともに失われる。必ずオフサイト(クラウド)を追加する。
バックアップの自動化ができていない
「毎週金曜に手動でコピー」は忘れる。NASのスケジュール機能やクラウドの自動同期を使い、人の手を介さない運用に切り替える。
復旧テストをしていない
バックアップの成否はログだけでは判断できない。ファイルが破損していた、パスワードがわからない、といったトラブルは復旧テストで初めて発覚する。
NASがネットワークに常時接続されている
ランサムウェアはネットワーク経由でNASにも感染する。重要なバックアップはクラウドまたはオフラインの外付けHDD(使用時のみ接続)に隔離しておく。
退職者のアカウントが残っている
退職したスタッフのNAS・クラウドアカウントが残っていると、不正アクセスのリスクになる。退職時のアカウント削除手順をマニュアル化しておく。
データバックアップに関するよくある質問
士業事務所のバックアップはどのくらいの頻度で取るべきですか?
ファイルバックアップは1日1回以上が推奨です。顧問先の財務データや契約書など重要度の高いファイルは更新のたびにバックアップを取るのが理想的です。システム全体のバックアップ(イメージバックアップ)はOSアップデートやソフト導入時など、数ヶ月に1回程度で十分です。
クラウドバックアップは安全ですか?
主要なクラウドバックアップサービスはデータの暗号化(転送時・保存時)、多拠点冗長化、アクセス制御を標準装備しています。むしろオフィス内のNASのみの運用よりも、火災・盗難・ランサムウェアに対する耐性は高くなります。ただし、サービス選定時にデータセンターの所在地(国内か海外か)と暗号化方式を確認してください。
NASだけではダメですか?クラウドも必要ですか?
NAS単体では3-2-1ルールの「1つはオフサイトに保管」を満たせません。オフィスが火災や水害に遭った場合、NASのデータも同時に失われます。NASをローカルの高速バックアップ用に使いつつ、重要データはクラウドにも転送するハイブリッド構成が推奨されます。
ランサムウェアに感染してもバックアップから復旧できますか?
バックアップが適切に世代管理されていれば復旧可能です。ただし、NASが同一ネットワーク上にある場合はランサムウェアがNASにも感染するリスクがあります。クラウドバックアップや、オフラインで保管したバックアップ(エアギャップ)から復旧するのが確実です。
電子帳簿保存法との関係は?
2024年1月から電子取引データの電子保存が義務化されています。バックアップそのものは電子帳簿保存法の直接的な要件ではありませんが、保存義務のあるデータが消失した場合は法令違反のリスクがあります。バックアップは法令遵守の基盤として不可欠です。
バックアップにかかるコストの目安は?
中小規模の士業事務所であれば、クラウドバックアップサービスが月額2,000〜3,000円程度から利用できます。NASは2ベイモデルで3〜5万円程度の初期投資が必要ですが、ランニングコストは電気代のみです。ランサムウェア被害の復旧費用(1,000万円以上が50%)と比較すれば、十分に合理的な投資といえます。
まとめ — 士業事務所のデータバックアップ対策チェックリスト
- ✓3-2-1ルール — データは3箇所に、2種類のメディアで、1つはオフサイトに保管しているか
- ✓自動化 — バックアップは手動ではなくスケジュール設定で自動実行されているか
- ✓世代管理 — 日次7世代+月次3世代以上を保持し、ランサムウェア潜伏期間をカバーしているか
- ✓復旧テスト — 半年に1回、実際にバックアップからデータを復元して確認しているか
- ✓オフライン保管 — 少なくとも1つのバックアップがネットワークから隔離されているか
データのバックアップ体制を整えることは、顧客の信頼を守るための最低限の投資です。月額2,000〜3,000円、初期設定に半日——この対策が、数千万円規模の被害を防ぎます。
※ 本記事の情報は2026年3月時点の内容です。各サービスの最新情報は公式サイトでご確認ください。
※ 本記事は一般的な情報提供を目的としており、特定の製品・サービスを推奨するものではありません。
データ保全の次は、書類回収のデジタル化
バックアップ体制を整えたら、顧客との書類のやり取りもデジタル化してみませんか。士業向け書類管理SaaS Docly なら、URLを送るだけで書類回収が完結します。
> Docly の詳細を見る