データ復旧緊急対処マニュアル(情報システム担当者向け)

はじめに

このマニュアルには故障や誤操作等によるデータトラブル発生時に執るべき対処対応について、情報処理安全確保支援士の国家資格を持つ筆者が緊急時にすぐに役立つよう要点を整理し、簡潔にまとめています。トラブル解決の一助となれば幸いです。

このマニュアルをトラブルが発生したコンピュータ上で閲覧しないこと。消えたデータの上に別のデータが上書きされ、復旧が不可能となる危険性がある。別のコンピュータやスマートフォンで閲覧すること。

基本ルール
  1. 状態を保全する
    事故媒体に変化を加えない。(通電を控える、分解しない)
  2. 直接作業をしない
    作業用媒体を用意し、事故媒体で直接作業を行わない(コピーを取り、コピーで作業を行う)
  3. 二次被害に注意する
    焦ると被害を拡大させる危険が高まる(情報の漏洩、復旧余地を失う)
この記事を書いた人
宮澤です

宮澤 謹徳 オーインクメディアサービス株式会社代表取締役
データ復旧は高校時代にフロッピーディスクの復旧を行った頃から数えると30年以上のキャリアがある。テクニカルライターとしても活動し、単行本、ムック、雑誌など多数に寄稿。情報処理安全確保支援士の国家資格を持つ。長野県出身。秋葉原在住。

第一次対応フェーズ 現場の保全と記録

1:利用を中止する

データを誤って消去した等、パソコンの動作が継続している場合、一刻も早く利用を中止する。
特に共有サーバ上のデータを誤って削除した場合、一刻も早くサーバーの動作を停止させる必要がある。
失ったデータの重要度と業務継続の重要度のどちらを優先するか速やかに判断する必要がある。

2:責任者に報告する

あなたが組織に属しており、情報システムの管理体制が整備されている場合、速やかに担当責任者に報告し、指示を受けること。事故の発生を内々で済ませたいが為に、独善的な行動を取ると一層重大な事故を引き起こす危険が高まる。

例えばデータ復旧をするために社外のデータ復旧業者に障害媒体を渡したことが、無断持ち出し禁止の社内ルールに抵触し、懲戒処分を下された事例もある。

3:状況を記録する

まず、安易に電源を切らず発生状況を正確に記録する。後の復旧作業の手がかりとなる。
写真や動画を撮っておくとなおよい。

記録しておきたい事項
  • 機器の名称、メーカー
  • 使用しているOS
  • エラーメッセージの表示内容
  • 各種インジケータの点灯状況
  • 異音、発熱の有無
  • 発生時の状況(何を、どうしたら、どうなったか)

4:電源を切る

最も安全と思われる方法順に電源遮断を試みる。
安全な方法とは、PC本体なら正規の方法で電源を遮断する事を指すが、障害の発生によって正規の方法で電源が切れない場合、電源スイッチを4秒間以上押し続けると電源が強制的に遮断される。
それでも電源が切れない場合、最終手段としてコンセントを抜く(ノートPCの場合はバッテリーを取り外す必要がある)。

第二次対応フェーズ 被害の確認とデータ復旧策の検討

1:消失したデータの洗い出し

事故を起こした媒体にどのようなデータが含まれていたかリストアップを行う。

2:データ復旧の是非を検討する

データ復旧の方法と是非について、次の事項を検討する。

データは重要か?

失った場合の金銭的損失、機会損失、信用喪失を見積もる。

バックアップはあるか?

最終のバックアップはいつ取得されたものか。
バックアップが正常に取得されていない事例も多い。

バックアップはリストアできるか?

バックアップをリストア(書き戻し)して内容を確認する。リストアできない事例も多い。

障害媒体は絶対に保全すること。リストア用媒体を別に用意すること。

バックアップしたデータで要件が満足できるか?

数ヶ月前のバックアップなど、要件を満たさない場合がある。

再作成が可能か?

出力した物があるか、元のデータがあるか。
写真や動画、ログ、証憑類等再作成が利かないものはないか。

再作成が可能な場合

出力した物があるか、元のデータがあるか。
データの再作成にあたるコストと期間を見積もる。

是非の判定

  • データが重要でない場合
    データ復旧の必要はない
  • データが重要で、かつバックアップが有効な場合
    バックアップからデータを書き戻すことにより処置が完了する。
  • データが重要で、かつバックアップが利用できない場合でなおかつ、再作成が利かない場合
    データ復旧処置を行う必要がある。

第三次対応フェーズ データ復旧方法の検討

データ復旧処置の検討

データ復旧は「ユーザーでも行える処置」と「専門家に委託する必要がある処置」の二種類ある。

自身でデータ復旧作業を行える場合

いわゆる「論理障害」は市販のデータ復旧ソフトを用い、ユーザーでも復旧作業を行える。
但し、明確に論理障害判断できるのは、下記の条件を満たす場合に限られる。

媒体に異常がないことが明らかで、原因も明らかなもの

例:誤消去、誤削除、パーティションの開放等誤った操作によることが明らかである。

作業用のPCと取り出したデータ保管用の媒体を用意できること

作業用の環境を用意し、障害を起こした媒体は絶対に保全しなくてはならない。

相応の知識とスキルがあること
  • ハードウェアの基礎知識(媒体を取り出す、インタフェースに接続する、BIOSを設定する等)
  • ファイルシステムの基礎知識(ディレクトリ、フォルダ、ファイルの概念)
  • OSの基礎知識
  • コマンドラインの操作スキル

データ復旧専門家に委託が必要な場合

いわゆる「物理障害」はユーザーによる作業は困難である

復旧機器や属人的な専門技術を要する為、これらを持ち合わせるデータ復旧の専門家に委託する必要がある。
市販のデータ復旧ソフトで物理障害には対応するものは存在しない。

物理障害を正確に判定するには一定の経験を要する

OSが起動しなくなる症状は一見論理障害に思えるが、媒体に不良セクタ等の異常が生じたことが原因により起動しなくなるケースが大半である。
物理障害を併発していることに気づかず、データ復旧ソフトを掛けると障害を悪化させることに注意されたい。

データ復旧専門家でも復旧できない場合

データの上書きや、同名ファイル名での上書き保存は、データ復旧の専門家であっても復旧は不可能である。また、SSDには「TRIM」、「ガベージコレクション」の機能により完全に消去され復旧の余地はないことがほとんどである。
但し、アプリケーションの自動保存機能、VSS(ボリューム・シャドウ・コピー)機能により自動バックアップされていることがある。

第四次対応フェーズ データ復旧専門家への委託

データ復旧を外部委託する場合、重要なデータを第三者に預ける行為であることを強く意識する。

委託業者の選定

データ復旧を委託する専門家を選定する際に、下記の点を考慮する。

復旧技術

  • データ復旧は免許が必要ない業種である。
  • 技術力を客観的に比較するのは非常に難しい。

復旧設備

  • クリーンルームやクリーンベンチなど、高度な処置を行える設備が整っているかは一定の評価となる。
  • クリーンルームやクリーンベンチなど、高度な処置を行える設備が整っているかは一定の評価となる。

情報セキュリティ

  • 公的に認められた情報セキュリティ認証を受けていること、国家資格者による管理監督を受けていることが望ましい。

復旧場所

  • データ復旧業者が自ら行うのか、外注するのか確認する。
  • またいずれの場合も海外に持ち出す可能性があるかは重要なポイントである。
  • 海外で復旧を行う場合、当然ながら国内法は適用されない。
    安全保障に関わる情報、国際競争に関わる産業情報は特に注意する必要がある。

復旧費用

  • 復旧費用がデータの価値を上回ることがあるので必ず確認する。
  • 症状と媒体の型番を伝え、同様な症状での「過去の実績金額」を尋ねるとよい。
  • 「見ないとわからない」などと料金の言及を避ける業者には何らかの問題がある場合が多い。
  • 一方、定額料金は金額相応の技術しか持ち合わせていないことが多く、対応できる症状が限定されていることがある。
  • 一部の業者は法人相手だと高めの金額を提示するケースが多い。
  • データ復旧業者には弱みにつけ込む悪徳な業者が存在するので十分注意すること。

悪質業者に注意

  • 電話で相場より安い金額を提示して誘導する
  • 内容を偽る
    無知につけこみ、軽い障害なのに、難易度が高いと高額の復旧料金を請求する
    例えば、自動車のエンジンが掛からなくなり、単なる「バッテリあがり」なのに「エンジンの交換が必要」云々の虚偽の説明をする。
  • 脅す
    キャンセルを申し出るととたんに態度が変わり「二度と復旧できなくなりますよ?」などと威圧する。

復旧業者の見つけ方

  • 人づてで探すのが確実である。
  • 会社の情報システム部門など「経験者」に聞くのがよい。
  • ネットメディアの記事や体験記は「広告」が多いので注意する。

このコラムは「データSOS」の運営元であるオーインクメディアサービス株式会社が著作権を保有しています。無断転載、翻案等はお断りいたします。なお、引用の際は一部、全部にかかわらず「データSOS」からの出典である旨と、当ページへのリンクを記載すれば、個別の許諾は不要です。ご不明な点は事前にお問い合わせください