データ消失時の復元についてバックアップを活用するよう設定しました

あるお客様で1か月の間に2度発生したインシデントです。

【当社スタッフが誤ってネットワークストレージ上のファイルを削除してしまった。復元できないか】

という問い合わせです。

ファイルの復元

厳密に言えば、ファイルを表面上削除してしまった場合でも復元できる可能性はそれなりに高いものです。
見た目上消えてはいますが、HDD内には当時のデータは残っていて、実態ファイルとして復元はそこまで難しいことでもないのです。
Windowsの復元ソフトも無償のものでもいくつかあります。
写真ファイルなどを削除した直後に、その復元ソフトで精査すると復元できることが多いのですが、こちらは削除してより早いうちであればあるほど復元の可能性は高まります。
しかしながら、ネットワーク越しの別のマシンにマウントされているHDD内のファイルを削除した場合、なかなか復元が容易ではなくなっていくケースが多くなります。

本当にファイルを削除をしたのか否か?

削除したと思われる本人が何らかの事情で、不在の際に別の方から相談を受けた場合によくあるのですが、あるはずの場所にそのファイルがないということで削除されたっぽいので復元してほしいという問い合わせです。
削除されたものであればその形跡があり、形跡があれば復元可能なのですが削除された形跡がない…などというケースも多々あります。

あとで、実際に削除したのではないかと思われている当該人物に聞くと、削除したのではなく、場所(格納フォルダ)を変更したなどというケースもあります。

ネットワークストレージなどのファイル共有の場合このようなケースも大変多くなってきます。

まずはPCリテラシーの向上、ファイル管理ルールの整備

当お客様の場合、まずは共有ファイルサーバーを利用するためのルール整備から始めないといけないと考え経営者様にご提案差し上げました。
例えば、Aさんは共有フォルダのAさんフォルダ、その下に用途に合わせたフォルダを作ってファイルを保存している。
BさんはAさんにそこにあると言われたのでそのファイルを【移動】して、自分のPCに持ってきた。
ファイルの移動という作業をした場合は、この時点でAさんの共有フォルダからファイルが消えてしまうことになります。
本来はコピーでBさんのPCに持って来るべきですし、そのファイルを編集して再度同じ場所に上げるとしても上書きではなく、別ファイル名にするか、Bさん用のフォルダを作ってアップするべきですが、現在そのようなルールが整備されていないので、勝手に編集されたとか、気付いたらなくなっていたとかそのようなトラブルが多発する結果になっていました。
なので、共有ファイルサーバーの仕様ルールの整備と、ファイル操作ファイル管理というレベルでのリテラシー向上を狙って講習会を開くべきだと提案させていただきました。

ファイル消失に対処する

リテラシー向上やルール整備とはまた別で、ファイル消失時に復元する方法は準備しておくべきだと考えました。
なぜならルールを整備しようがリテラシーが向上しようがヒューマンエラーは必ず発生します。
発生しにくくはできても発生0件にはできないと考えているので、意図せず消失した場合に、どこまでを消失前に戻すことができるのかという考えからファイルバックアップを提案させていただきました。

バックアップでファイル消失は防げるのか?

バックアップというのは大きく分けて3種類のバックアップがあります

フルバックアップ

いわゆるデータコピーです。
指定されたフォルダ以下を丸々コピーを取ってしまえばいいという考えです。
例えば1日1回あるフォルダ以下を○カルコピーしてバックアップしてしまうということです。
使用しているHDDに障害が起きてアクセスできなくなった際などにバックアップデータがあるのでHDDを交換してデータを復元ということで1日一回のバックアップなら最短で1日前までのデータに戻すことが可能です。
しかしこの場合、ファイルをヒューマンエラーで削除したものも、削除した状態でフルバックアップとなってしまうため、世代管理が必要です。
ファイルを焼失したことに気づくのに1週間程度を考えるのであれば約10日程度のフルバックアップが必要です。そうなると、データ量の10倍程度のHDD容量が必要となります。

差分バックアップ

差分バックアップはどこかのポイントとなるフルバックアップを1件。そのフルバックアップとの差分だけをバックアップするバックアップ方法です。
ファイルが100個あったとして、そのうち1個だけが編集されたり新規でファイルが増えたりした場合に、その分だけバックアップを取ります。
なので、フルバックアップ1件分と、差分分の世代管理分だけバックアップを取ればいいのでフルバックアップのみの世代管理よりディスクサイズは小さく済みます。
また、差分バックアップというのは、例えば1日1回差分バックアップをしていた場合、5日目の状態に戻したい場合5日目のバックアップとベースとなっているフルバックアップがあれば復元できます。

増分バックアップ

増分バックアップとは、フルバックアップ1件から、差が出た分のバックアップを取りながら時系列分をさらに細分化して差分だけを取る方法です。
差分バックアップとの違いは差分バックアップの場合は先に示したように5日前に戻す場合は5日目の差分バックアップデータと、フルバックアップデータで復元可能ですが、増分の場合は5日目に戻したい場合は増分分は1~5日目すべての増分バックアップが必要です。
その代わり、差分バックアップよりデータ量が少なく済むのでバックアップ取得時の時間も短縮できます。

一般的なバックアップで消失ファイルは復元できるのか?

答えを言えば不可能ではないのですが、それは、世代管理をしていて、消失前のバックアップデータが残っていれば可能になるということになります。
先ほど示したように消失したことに気づく最大長が1週間とわかっているのであれば、1週間前に戻せばバックアップ内に、消失データが戻ってくることになりますので何とかなります。
しかし、10日しかバックアップをしておらず、消失に気づいたのが12日目だと、バックアップデータにも消失したデータが残りません。これはこれで困ります。

データ削除には対応していかない増分バックアップ

バックアップ用のソフトによっては増分で、削除データを記録せず、一度バックアップを取ったファイルは中身の更新がない限りデータは保持し続けるような設定をできるものもあります。
これは、増える方向にしか行きませんが、消失データはバックアップ内には残っているという状況を作ることができます。

今回はこちらのバックアップを提案。
同じ状態、ミラーリングにはならないが、データを一度保存したら消すことが無いようにしておくことで消失ファイルに対する対処が可能になりました。
ただし、HDD容量はリアルに動いているものより肥大化しますということで大きなバックアップ用のストレージを準備いただくことになりました。

増分バックアップとフルバックアップ

もう一つのご提案は、フルバックアップ2世代と、増分(差分)バックアップで2か月程度のバックアップの取得です。コチラであれば大概のバックアップ用ソフト、無償のソフトでも対処可能なやり方になります。ただし、ディスク使用量は大きくはなります。

フルバックアップを毎月1日に取得するとして、1ヵ月分は増分バックアップ(差分バックアップ)を取得し続けます。
このフルバックアップを2世代分(要は先月の1日と今月の1日程度)を残すようにしておけば、最大2カ月間分の各日へ復元が可能になります。
2か月間消失に気づかなかった場合は、それはあきらめてくださいとルール整備するしかないですが、2カ月間気付かないファイルはそこまで重要でもないのではないかと思います。
これなら、現状のディスク使用量の3倍以下程度の要領で済みます。