翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# でのマルウェア保護 AWS Backup
バックアップのマルウェアスキャンは、Amazon GuardDuty Malware Protection によって提供されます。Amazon GuardDuty Malware Protection for AWS Backup を使用すると、既存のバックアップワークフローを通じて復旧ポイントのスキャンを自動化したり、以前に作成したバックアップのオンデマンドスキャンを開始したりできます。この AWS ネイティブソリューションは、バックアップが潜在的なマルウェアからクリーンであることを確認するのに役立ちます。これにより、クリーンデータの復旧を確保することで、コンプライアンス要件を満たし、悪意のあるインシデントに迅速に対応できます。
サポートされているリソースタイプとリージョンのリストを確認するには、[機能の可用性ページ](https://docs.aws.amazon.com/aws-backup/latest/devguide/backup-feature-availability.html)にアクセスしてください。
**Topics**
+ [Amazon GuardDuty との統合](#malware-guardduty-integration)
+ [インスタントアクセス](backup-instant-access.md)
+ [マルウェアスキャンの使用方法](#malware-how-to-use)
+ [アクセス](#malware-access)
+ [増分スキャンとフルスキャン](#malware-scan-types)
+ [マルウェアスキャンのモニタリング](#malware-monitoring)
+ [スキャン結果について](#malware-scan-results)
+ [スキャン失敗のトラブルシューティング](#malware-troubleshooting)
+ [計測](#malware-metering)
+ [クォータ](#malware-quotas)
+ [マルウェアスキャンタイプのコンソールと CLI の使用手順](#malware-console-cli-usage)
## Amazon GuardDuty との統合
AWS Backup は Amazon GuardDuty Malware Protection と統合され、復旧ポイントの脅威検出を提供します。マルウェアスキャンを開始すると、 は各バックアップの完了後に Amazon GuardDuty の `StartMalwareScan` API AWS Backup を自動的に呼び出し、復旧ポイントの詳細とスキャナーロールの認証情報を渡します。その後、Amazon GuardDuty はバックアップ内のすべてのファイルとオブジェクトの読み取り、復号、スキャンを開始します。
Amazon GuardDuty がバックアップデータにアクセスすると、そのアクセスは可視性 AWS CloudTrail のためにログインされます。
この統合の詳細については、[Amazon GuardDuty Malware Protection のドキュメント](https://docs.aws.amazon.com/guardduty/latest/ug/malware-protection-backup.html)を参照してください。
# バックアップインスタントアクセス許可
S3 バックアップで Amazon GuardDuty Malware Protection for AWS Backup を使用する場合、Amazon GuardDuty は CreateBackupAccessPoint、DescribeBackupAccessPoint、DeleteBackupAccessPoint の 3 つの APIs を介して S3 バックアップにアクセスします。
Amazon GuardDuty は CreateBackupAccessPoint を使用して暗号化されたバックアップデータにアクセスします。スキャンジョブ中、GuardDuty は DescribeBackupAccessPoint を使用してアクセスポイントの作成が成功したことを確認します。スキャンが完了すると、GuardDuty は DeleteBackupAccessPoint を呼び出してバックアップへのアクセスを削除します。
このワークフローは、論理エアギャップボールトに保存されている S3 バックアップと EC2/EBS バックアップの両方に適用されます。
## マルウェアスキャンの使用方法
Amazon GuardDuty Malware Protection を で使用すると AWS Backup、バックアップでマルウェアを自動的にスキャンできます。この統合により、バックアップ内の悪意のあるコードを検出し、復元オペレーションのクリーンリカバリポイントを特定できます。
Amazon GuardDuty Malware Protection は、バックアップをスキャンするための 2 つの主要なワークフローをサポートしています。
+ **バックアッププランによるマルウェアの自動スキャン** – バックアッププランでマルウェアスキャンを有効にして、 によるマルウェア検出を自動化します AWS Backup。有効にすると、バックアップが正常に完了するたびに Amazon GuardDuty スキャン AWS Backup が自動的に開始されます。特定のバックアッププランルールに対してフルスキャンまたは増分スキャンを設定できます。これにより、バックアップがスキャンされる頻度が決まります。スキャンタイプの詳細については、[増分スキャンとフルスキャン](#malware-scan-types)以下を参照してください。バックアップ作成後のプロアクティブ脅威検出のために、バックアッププランで自動マルウェアスキャンを有効にする AWS Backup ことをお勧めします。
+ **オンデマンドスキャン** – オンデマンドスキャンを実行して既存のバックアップを手動でスキャンし、完全スキャンタイプと増分スキャンタイプのいずれかを選択します。 AWS Backup は、オンデマンドスキャンを使用して最後のクリーンバックアップを特定することをお勧めします。復元オペレーションの前にスキャンする場合は、フルスキャンを使用して最新の脅威検出モデルでバックアップ全体を調べます。
## アクセス
マルウェア保護を開始する前に、アカウントに オペレーションに必要なアクセス許可が必要です。
AWS Backup マルウェアスキャンでは、潜在的なマルウェアの復旧ポイントをスキャンするために 2 つの IAM ロールが必要です。
+ まず、[AWSBackupServiceRolePolicyForBackup](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForBackup.html) または [AWSBackupServiceRolePolicyForScans](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupServiceRolePolicyForScans.html) 管理ポリシーを既存または新規のバックアップロールにアタッチする必要があります。これは、コンソールで、または [BackupSelection API](API_CreateBackupSelection.md) を使用して、バックアッププランのリソース割り当てで見つかったのと同じロールです。この管理ポリシーにより AWS Backup 、 は Amazon GuardDuty でマルウェアスキャンを開始できます。
+ 次に、 を信頼する [AWSBackupGuardDutyRolePolicyForScans](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSBackupGuardDutyRolePolicyForScans.html) 管理ポリシーで新しいスキャナーロールが必要です`malware-protection.guardduty.amazonaws.com`。これは、コンソールのバックアッププランのマルウェア保護部分、または [BackupPlan API](API_CreateBackupPlan.md) のスキャン設定で見つかったのと同じロールです。このロールは、スキャンの開始時に によって Amazon GuardDuty AWS Backup に渡され、バックアップへのアクセスを提供します。
## 増分スキャンとフルスキャン
マルウェアスキャンでは、セキュリティ要件とコストの考慮事項に基づいて、増分スキャンとフルスキャンのいずれかを選択できます。
**増分スキャン**は、ターゲットと基本復旧ポイントの間で変更されたデータのみを分析します。これらのスキャンは、通常のスキャンではより高速でコスト効率が高いため、新しくバックアップされたデータをスキャンする頻繁な定期バックアップに最適です。
増分スキャンが選択されている場合でも、 は次の状況でフルスキャン AWS Backup を実行します。
+ **初回スキャン:** リソースの初期スキャンは常にフルスキャンであるため、Amazon GuardDuty は潜在的な脅威のベースラインを確立できます。その後、それ以降のスキャンは増分になります。
+ **有効期限切れのベースライン:** ベースライン復旧ポイントが 365 日以上前にスキャンされた場合、フルスキャンが発生します。Amazon GuardDuty は検出結果情報を 365 日間のみ保持するため、正確なスキャン結果を確保するために新しいベースラインを確立する必要があります。
+ **削除されたベースライン:** 次の増分スキャンを開始する前に基本復旧ポイントが削除されると、フルスキャンが自動的に行われます。
**フルスキャン**は、以前のスキャンに関係なく、復旧ポイント全体を調べます。これらのスキャンは包括的なカバレッジを提供しますが、完了までに時間がかかり、コストも高くなります。フルスキャンはオンデマンドで実行することも、バックアッププランを通じてスケジュールすることもできます。 では、バックアッププランで定期的にフルスキャンを延長間隔で設定して、バックアップデータ全体が最新のマルウェア署名モデルで定期的にスキャンされるように AWS Backup することをお勧めします。
セキュリティとコスト管理を最適化するには、スキャンタイプを選択するときにバックアップの頻度を考慮してください。
**注記**
マルウェアスキャンは現在、Amazon S3 の継続的リカバリポイントではサポートされていません。Amazon S3 の継続的バックアップをスキャンするには、Amazon S3 リソースの定期的なバックアップを設定し、それらの定期的なバックアップでマルウェアスキャンを有効にします。Amazon S3 バケットには、[継続的バックアップと定期的なバックアップを組み合わせて](https://docs.aws.amazon.com/aws-backup/latest/devguide/s3-backups.html)使用できます。
**注記**
増分マルウェアスキャンは、[論理エアギャップボールト](https://docs.aws.amazon.com/aws-backup/latest/devguide/logicallyairgappedvault.html)の Amazon EC2 復旧ポイントまたはコピーされた Amazon EC2 復旧ポイントではサポートされていません。
## マルウェアスキャンのモニタリング
スキャンを有効にする AWS Backup と、 と Amazon GuardDuty の両方が、結果を追跡するために使用できるモニタリングおよび通知メカニズムを提供します。
+ **AWS Backup コンソール:** AWS Backup コンソールは `ListScanJobs`および `DescribeScanJob` APIsを使用しています。Malware Protection セクションにアクセスして、ジョブのステータスとスキャン結果を表すスキャンジョブのリストを表示できます。 は `ListScanJobSummaries` API AWS Backup もサポートしていますが、 コンソールでは利用できません。
+ **AWS Backup Audit Manager:** 過去 24 時間に AWS Backup 開始されたすべてのマルウェアスキャンジョブを表示するようにスキャンレポートを設定できます。
+ **Amazon GuardDuty コンソール:** 基本 Amazon GuardDuty が有効になっている場合は、Malware スキャンの結果で詳細を表示し、Amazon GuardDuty の検出結果ページでマルウェアを調査できます。脅威とファイル名、ファイルパス、スキャンされたオブジェクト/ファイル、スキャンされたバイト数などの情報を表示できます。この詳細な脅威情報は では利用できないため AWS Backup、この情報を表示するには適切な Amazon GuardDuty アクセス許可が必要です。
+ **Amazon EventBridge:** AWS Backup と Amazon GuardDuty の両方が EventBridge イベントを出力するため、バックアップ管理者とセキュリティ管理者が同期的にアラートを受け取ることができます。スキャンが完了したとき、またはマルウェアが検出されたときに通知を受け取るようにカスタムルールを設定できます。
+ **AWS CloudTrail:** AWS Backup と Amazon GuardDuty の両方が CloudTrail イベントを出力するため、API アクセスをモニタリングできます。
## スキャン結果について
のスキャンジョブには、スキャン状態とスキャン結果 AWS Backup があります。
### スキャン状態
スキャン状態はジョブの状態を示し、、`CREATED`、、`COMPLETED`、`COMPLETED_WITH_ISSUES``RUNNING``FAILED`、または の値を指定できます`CANCELED`。
スキャンジョブが 状態で終了する状況は複数あります`COMPLETED_WITH_ISSUES`。
Amazon S3 バックアップの場合、オブジェクトのサイズ/タイプには、オブジェクトのスキャンを妨げる制限があります。スキャン内で少なくとも 1 つのオブジェクトがスキップされると、対応するスキャンジョブは としてマークされます`COMPLETED_WITH_ISSUES`。Amazon EC2/Amazon EBS バックアップの場合、ボリュームサイズ/数量の制限があり、スキャン中にボリュームがスキップされます。このような状況では、Amazon EC2/Amazon EBS バックアップジョブが になります`COMPLETED_WITH_ISSUES`。
ジョブが 状態で終了`COMPLETED_WITH_ISSUES`し、理由に関する詳細情報が必要な場合は、Amazon GuardDuty を介して対応するスキャンジョブからこれらの詳細を取得する必要があります。
**注記**
増分スキャンジョブは、2 つのバックアップ間のデータの差のみをスキャンします。したがって、増分スキャンジョブが上記のいずれの状況にも遭遇しない場合、そのジョブは 状態で終了`COMPLETE`し、基本復旧ポイント`COMPLETED_WITH_ISSUES`から を継承しません。
まれに、Amazon GuardDuty でファイルやオブジェクトのスキャン時に内部の問題が発生し、再試行回数が枯渇することがあります。この場合、スキャンジョブは `FAILED` AWS Backup および Amazon GuardDuty `COMPLETED_WITH_ISSUES`の として表示されます。このステータスの違いにより、サポートされているすべてのファイルとオブジェクトが正常にスキャンされたわけではないことを示すと同時に、Amazon GuardDuty で使用可能なスキャン結果を表示できます。
### スキャン結果
スキャン結果は Amazon GuardDuty からの集計結果を示し`THREATS_FOUND`、 または の値を指定できます`NO_THREATS_FOUND`。
スキャン結果は、潜在的なマルウェアが復旧ポイントで検出されたかどうかを示します。`NO_THREATS_FOUND` ステータスは潜在的なマルウェアが検出されなかったことを意味しますが、 は潜在的なマルウェアが検出された`THREATS_FOUND`ことを示します。詳細な脅威情報については、Amazon GuardDuty コンソールまたは APIs から Amazon GuardDuty の検出結果全体にアクセスしてください。スキャン結果は EventBridge イベントでも利用できるため、感染したバックアップに応答する自動ワークフローを構築できます。
Amazon GuardDuty は検出結果を 365 日間保持し、増分スキャンでファイルまたはオブジェクトを追跡して、脅威が削除されるか、マルウェアの署名が変更されるかを監視します。たとえば、バックアップ 2 でマルウェアが検出された場合、スキャン結果は と表示されます`THREATS_FOUND`。バックアップ 2 をベースとして使用してバックアップ 3 で増分スキャンを実行すると、脅威がデータから削除され`THREATS_FOUND`ない限り、スキャン結果は残ります。
## スキャン失敗のトラブルシューティング
一般的なスキャン障害には、IAM アクセス許可の不足、サービスの制限、リソースアクセスの問題などがあります。
アクセス**許可エラー**は、バックアップロールにアクセス`AWSBackupServiceRolePolicyForScans`許可がない場合、またはスキャナーロールに適切な信頼関係がない場合`AWSBackupGuardDutyRolePolicyForScans`に発生します。
**サービス制限エラー**は、アカウントあたり 150 回の同時スキャン、またはリソースタイプあたり 5 回の同時スキャンを超えると発生します。スキャンジョブは容量が利用可能になるまで `CREATED`状態のままになります。
**アクセス拒否エラー**は、適切な AWS KMS アクセス許可のない暗号化された復旧ポイントや、増分スキャン用の削除された親復旧ポイントを示している可能性があります。
**タイムアウト障害**は、復旧ポイントが非常に大きい場合や、Amazon GuardDuty の負荷が高い期間に発生する可能性があります。
トラブルシューティングを行うには、`DescribeScanJob`API を使用してスキャンジョブのステータスを確認し、IAM ロール設定を検証し、復旧ポイントが存在してアクセス可能であることを確認し、増分スキャンの親参照がない場合はフルスキャンに切り替えることを検討します。
同時スキャンの使用状況を監視し、自動ワークフローにジッターを実装して、サービスの制限に達しないようにします。
## 計測
マルウェア保護は Amazon GuardDuty によって提供され、請求されます。この機能の使用に関連する AWS Backup 料金は表示されません。すべての使用状況は、Amazon GuardDuty の請求で確認できます。詳細については、[Amazon GuardDutyの料金](https://aws.amazon.com/guardduty/pricing/)」を参照してください。
## クォータ
AWS Backup と Amazon GuardDuty の両方にAmazon GuardDuty Malware Protection のクォータ制限があります AWS Backup。
詳細については、[AWS Backup 「クォータ](https://docs.aws.amazon.com/aws-backup/latest/devguide/aws-backup-limits.html)」と[Amazon GuardDuty クォータ](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_limits.html)」を参照してください。
## マルウェアスキャンタイプのコンソールと CLI の使用手順
以下のセクションでは、 コンソールと の両方を使用してさまざまなマルウェアスキャンタイプを設定する手順を示します AWS CLI。
### マルウェアスキャンをセットアップする方法
**コンソール**
1. AWS Backup コンソールに移動する → バックアッププラン
1. 新しいバックアッププランを作成するか、既存のプランを選択する
1. **マルウェア保護**の切り替えを有効にする
1. **スキャナーロール**を選択して、新しいスキャナーロールを選択します。「」で説明されているように、バックアップロールとスキャナーロールの両方に適切なアクセス許可があることを確認します[アクセス](#malware-access)。
1. **スキャン可能なリソースタイプ**を選択します。これにより、選択したリソース選択基準にマルウェアスキャンがフィルタリングされます。例えば、スキャン可能なリソースタイプの選択が Amazon EBS で、プランのリソース選択に Amazon EBS と Amazon S3 が含まれている場合、Amazon EBS マルウェアスキャンのみが実行されます。
1. バックアップルールごとに**スキャンタイプ**を設定します。フルスキャン、増分スキャン、スキャンなしのいずれかを選択できます。スキャンタイプの選択は、関連するバックアップルールのスケジュール頻度でスキャンが行われることを意味します。
1. バックアッププランを保存する
**AWS CLI**
**CreateBackupPlan**
create[create-backup-plan](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/create-backup-plan.html) コマンドを使用して、マルウェアスキャンを有効にしてバックアッププランを作成できます。
```
aws backup create-backup-plan \
--region us-west-2 \
--cli-input-json '{
"BackupPlan": {
"BackupPlanName": "scan-initial-test-demo",
"Rules": [
{
"RuleName": "full",
"TargetBackupVaultName": "Default",
"ScheduleExpression": "cron(0 * * * ? *)",
"StartWindowMinutes": 120,
"CompletionWindowMinutes": 6000,
"Lifecycle": {
"DeleteAfterDays": 3,
"OptInToArchiveForSupportedResources": true
},
"RecoveryPointTags": {
"key1": "foo",
"key2": "foo"
},
"EnableContinuousBackup": true,
"ScanActions": [
{
"MalwareScanner": "GUARDDUTY",
"ScanMode": "FULL_SCAN"
}
]
},
{
"RuleName": "incremental",
"TargetBackupVaultName": "Default",
"ScheduleExpression": "cron(30 * * * ? *)",
"StartWindowMinutes": 100,
"CompletionWindowMinutes": 5000,
"Lifecycle": {
"DeleteAfterDays": 2,
"OptInToArchiveForSupportedResources": true
},
"RecoveryPointTags": {
"key1": "foo",
"key2": "foo"
},
"EnableContinuousBackup": true,
"ScanActions": [
{
"MalwareScanner": "GUARDDUTY",
"ScanMode": "INCREMENTAL_SCAN"
}
]
}
],
"ScanSettings": [
{
"MalwareScanner": "GUARDDUTY",
"ResourceTypes": ["EBS", "EC2", "S3"],
"ScannerRoleArn": "arn:aws:iam::300949271314:role/TestBackupScannerRole"
}
]
}
}'
```
**UpdateBackupPlan**
update[update-backup-plan](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/backup/update-backup-plan.html) コマンドを使用して、マルウェアスキャンを有効にしてバックアッププランを更新できます。
```
aws backup update-backup-plan \
--region us-west-2 \
--cli-input-json '{
"BackupPlanId": "d1391282-68cf-4fce-93ad-e08bc5178bac",
"BackupPlan": {
"BackupPlanName": "scan-initial-test-demo",
"Rules":
[
{"RuleName": "full",
"TargetBackupVaultName": "Default",
"ScheduleExpression": "cron(0 * * * ? *)",
"StartWindowMinutes": 60,
"CompletionWindowMinutes": 3000,
"Lifecycle":
{
"DeleteAfterDays": 6,
"OptInToArchiveForSupportedResources": false},
"RecoveryPointTags":
{"key1": "foo",
"key2": "foo"},
"EnableContinuousBackup": false,
"ScanActions":
[
{"MalwareScanner": "GUARDDUTY",
"ScanMode": "FULL_SCAN"}
]
},
{
"RuleName": "incremental",
"TargetBackupVaultName": "Default",
"ScheduleExpression": "cron(30 * * * ? *)",
"StartWindowMinutes": 120,
"CompletionWindowMinutes": 6000,
"Lifecycle":
{
"DeleteAfterDays": 9,
"OptInToArchiveForSupportedResources": false},
"RecoveryPointTags":
{"key1": "foo",
"key2": "foo"},
"EnableContinuousBackup": false,
"ScanActions":
[
{
"MalwareScanner": "GUARDDUTY",
"ScanMode": "INCREMENTAL_SCAN"
}
]
}
],
"ScanSettings":
[
{
"MalwareScanner": "GUARDDUTY",
"ResourceTypes":
["ALL", "EBS"],
"ScannerRoleArn": "arn:aws:iam::300949271314:role/TestBackupScannerRole"
}
]
}
}'
```
**キーノート**
+ スキャンオプションを有効にする前にターゲット ARN エントリが必要です (コンソール)
+ すべての設定に必要なバックアップ IAM ロールとスキャナー IAM ロールの両方
+ `aws backup list-scan-jobs` を使用してすべてのスキャンジョブを表示する (AWS CLI)
+ コストへの影響は、スキャンタイプ (増分とフル) と頻度によって異なります。
**AWS CLI キーノート**
+ `aws backup list-scan-jobs` を使用してすべてのスキャンジョブを表示する (AWS CLI)
+ ScanResults フィールドで `describe-recovery-point` API 経由で利用可能なスキャン結果 ScanResults
+ すべての設定に必要なバックアップ IAM ロールとスキャナー IAM ロールの両方
+ JSON バックアッププラン構造には、プランレベルでの ScanSettings とルールの ScanActions が含まれます。