でのマルウェア保護 AWS Backup - AWS Backup
Amazon GuardDuty との統合マルウェアスキャンの使用方法アクセス増分スキャンとフルスキャンマルウェアスキャンのモニタリングスキャン結果についてスキャン失敗のトラブルシューティング計測クォータマルウェアスキャンタイプのコンソールと CLI の使用手順

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

でのマルウェア保護 AWS Backup

バックアップのマルウェアスキャンは、Amazon GuardDuty Malware Protection によって提供されます。Amazon GuardDuty Malware Protection for AWS Backup を使用すると、既存のバックアップワークフローを通じて復旧ポイントのスキャンを自動化したり、以前に作成したバックアップのオンデマンドスキャンを開始したりできます。この AWS ネイティブソリューションは、バックアップが潜在的なマルウェアからクリーンであることを確認するのに役立ちます。これにより、クリーンデータの復旧を確保することで、コンプライアンス要件を満たし、悪意のあるインシデントに迅速に対応できます。

サポートされているリソースタイプとリージョンのリストを確認するには、機能の可用性ページにアクセスしてください。

トピック

Amazon GuardDuty との統合

AWS Backup は Amazon GuardDuty Malware Protection と統合され、復旧ポイントの脅威検出を提供します。マルウェアスキャンを開始すると、 は各バックアップの完了後に Amazon GuardDuty の StartMalwareScan API AWS Backup を自動的に呼び出し、復旧ポイントの詳細とスキャナーロールの認証情報を渡します。その後、Amazon GuardDuty はバックアップ内のすべてのファイルとオブジェクトの読み取り、復号、スキャンを開始します。

Amazon GuardDuty がバックアップデータにアクセスすると、そのアクセスは可視性 AWS CloudTrail のためにログインされます。

この統合の詳細については、Amazon GuardDuty Malware Protection のドキュメントを参照してください。

マルウェアスキャンの使用方法

Amazon GuardDuty Malware Protection を で使用すると AWS Backup、バックアップでマルウェアを自動的にスキャンできます。この統合により、バックアップ内の悪意のあるコードを検出し、復元オペレーションのクリーンリカバリポイントを特定できます。

Amazon GuardDuty Malware Protection は、バックアップをスキャンするための 2 つの主要なワークフローをサポートしています。

  • バックアッププランによるマルウェアの自動スキャン – バックアッププランでマルウェアスキャンを有効にして、 によるマルウェア検出を自動化します AWS Backup。有効にすると、バックアップが正常に完了するたびに Amazon GuardDuty スキャン AWS Backup が自動的に開始されます。特定のバックアッププランルールに対してフルスキャンまたは増分スキャンを設定できます。これにより、バックアップがスキャンされる頻度が決まります。スキャンタイプの詳細については、増分スキャンとフルスキャン以下を参照してください。バックアップ作成後のプロアクティブ脅威検出のために、バックアッププランで自動マルウェアスキャンを有効にする AWS Backup ことをお勧めします。

  • オンデマンドスキャン – オンデマンドスキャンを実行して既存のバックアップを手動でスキャンし、フルスキャンタイプと増分スキャンタイプのいずれかを選択します。 AWS Backup は、オンデマンドスキャンを使用して最後のクリーンバックアップを特定することをお勧めします。復元オペレーションの前にスキャンする場合は、フルスキャンを使用して、最新の脅威検出モデルでバックアップ全体を調べます。

アクセス

マルウェア保護を開始する前に、 アカウントに オペレーションに必要なアクセス許可が必要です。

AWS Backup マルウェアスキャンでは、潜在的なマルウェアの復旧ポイントをスキャンするために 2 つの IAM ロールが必要です。

  • まず、AWSBackupServiceRolePolicyForScans管理ポリシーを既存または新規のバックアップロールにアタッチする必要があります。これは、コンソールで、または BackupSelection API を使用して、バックアッププランのリソース割り当てで見つかったのと同じロールです。この管理ポリシーにより、 AWS Backup は Amazon GuardDuty でマルウェアスキャンを開始できます。

  • 次に、 を信頼するAWSBackupGuardDutyRolePolicyForScans管理ポリシーで新しいスキャナーロールが必要ですmalware-protection.guardduty.amazonaws.com。これは、コンソールのバックアッププランのマルウェア保護部分、または BackupPlan API のスキャン設定と同じロールです。このロールは、スキャンの開始時に によって Amazon GuardDuty AWS Backup に渡され、バックアップへのアクセスを提供します。

増分スキャンとフルスキャン

マルウェアスキャンでは、セキュリティ要件とコストの考慮事項に基づいて、増分スキャンとフルスキャンのいずれかを選択できます。

増分スキャンは、ターゲットと基本復旧ポイントの間で変更されたデータのみを分析します。これらのスキャンは、通常のスキャンではより高速でコスト効率が高いため、新しくバックアップされたデータをスキャンする頻繁な定期バックアップに最適です。

増分スキャンが選択されている場合でも、 は次の状況でフルスキャン AWS Backup を実行します。

  • 初回スキャン: リソースの初期スキャンは常にフルスキャンであるため、Amazon GuardDuty は潜在的な脅威のベースラインを確立できます。その後、後続のスキャンは増分になります。

  • 有効期限切れのベースライン: ベースライン復旧ポイントが 90 日以上前にスキャンされた場合、フルスキャンが発生します。Amazon GuardDuty は検出結果情報を 90 日間のみ保持するため、正確なスキャン結果を確保するために新しいベースラインを確立する必要があります。

  • 削除されたベースライン: 次の増分スキャンを開始する前に基本復旧ポイントが削除されると、フルスキャンが自動的に行われます。

フルスキャンは、以前のスキャンに関係なく、復旧ポイント全体を調べます。これらのスキャンは包括的なカバレッジを提供しますが、完了までに時間がかかり、コストも高くなります。フルスキャンはオンデマンドで実行することも、バックアッププランを通じてスケジュールすることもできます。 では、バックアッププランで定期的にフルスキャンを延長間隔で設定して、バックアップデータ全体が最新のマルウェア署名モデルで定期的にスキャンされるように AWS Backup することをお勧めします。

セキュリティとコスト管理を最適化するには、スキャンタイプを選択するときにバックアップの頻度を考慮してください。

注記

マルウェアスキャンは現在、Amazon S3 の継続的リカバリポイントではサポートされていません。Amazon S3 の継続的バックアップをスキャンするには、Amazon S3 リソースの定期的なバックアップを設定し、それらの定期的なバックアップでマルウェアスキャンを有効にします。Amazon S3 バケットには、継続的バックアップと定期的なバックアップを組み合わせて使用できます。

注記

増分マルウェアスキャンは、論理エアギャップボールトの Amazon EC2 復旧ポイントまたはコピーされた Amazon EC2 復旧ポイントではサポートされていません。

マルウェアスキャンのモニタリング

スキャンを有効にする AWS Backup と、 と Amazon GuardDuty の両方に、結果の追跡に使用できるモニタリングおよび通知メカニズムが用意されています。

  • AWS Backup コンソール: AWS Backup コンソールは ListScanJobsおよび DescribeScanJob APIsを使用しています。Malware Protection セクションにアクセスして、ジョブのステータスとスキャン結果を表すスキャンジョブのリストを表示できます。 は ListScanJobSummaries API AWS Backup もサポートしていますが、 コンソールでは利用できません。

  • AWS Backup Audit Manager: 過去 24 時間に AWS Backup 開始されたすべてのマルウェアスキャンジョブを表示するようにスキャンレポートを設定できます。

  • Amazon GuardDuty コンソール: 基本 Amazon GuardDuty が有効になっている場合は、Malware スキャンの結果で詳細を表示し、Amazon GuardDuty の検出結果ページでマルウェアを調査できます。脅威とファイル名、ファイルパス、スキャンされたオブジェクト/ファイル、スキャンされたバイト数などの情報を表示できます。この詳細な脅威情報は では利用できないため AWS Backup、この情報を表示するには適切な Amazon GuardDuty アクセス許可が必要です。

  • Amazon EventBridge: AWS Backup と Amazon GuardDuty の両方が EventBridge イベントを出力するため、バックアップ管理者とセキュリティ管理者が同期的にアラートを受け取ることができます。スキャンが完了したとき、またはマルウェアが検出されたときに通知を受け取るようにカスタムルールを設定できます。

  • AWS CloudTrail: AWS Backup と Amazon GuardDuty の両方が CloudTrail イベントを出力するため、API アクセスをモニタリングできます。

スキャン結果について

のスキャンジョブには、スキャン状態とスキャン結果 AWS Backup が含まれます。

スキャン状態

スキャン状態はジョブの状態を示し、、CREATED、、COMPLETEDCOMPLETED_WITH_ISSUESRUNNINGFAILED、または の値を指定できますCANCELED

スキャンジョブが 状態で終了する状況は複数ありますCOMPLETED_WITH_ISSUES

Amazon S3 バックアップの場合、オブジェクトのサイズ/タイプには、オブジェクトのスキャンを妨げる制限があります。スキャン内で少なくとも 1 つのオブジェクトがスキップされると、対応するスキャンジョブは としてマークされますCOMPLETED_WITH_ISSUES。Amazon EC2/Amazon EBS バックアップの場合、ボリュームサイズ/数量の制限があり、スキャン中にボリュームがスキップされます。このような状況では、Amazon EC2/Amazon EBS バックアップジョブが になりますCOMPLETED_WITH_ISSUES

ジョブが 状態で終了COMPLETED_WITH_ISSUESし、理由に関する詳細情報が必要な場合は、Amazon GuardDuty を介して対応するスキャンジョブからこれらの詳細を取得する必要があります。

注記

増分スキャンジョブは、2 つのバックアップ間のデータの差のみをスキャンします。したがって、増分スキャンジョブで上記のいずれの状況も発生しない場合、 状態で終了COMPLETEし、基本復旧ポイントCOMPLETED_WITH_ISSUESから を継承しません。

まれに、Amazon GuardDuty でファイルやオブジェクトのスキャン時に内部の問題が発生し、再試行回数が枯渇することがあります。この場合、スキャンジョブは FAILED AWS Backup および Amazon GuardDuty COMPLETED_WITH_ISSUESの として表示されます。このステータスの違いにより、サポートされているすべてのファイルとオブジェクトが正常にスキャンされたわけではないことを示すと同時に、Amazon GuardDuty で使用可能なスキャン結果を表示できます。

スキャン結果

スキャン結果は Amazon GuardDuty からの集計結果を示しTHREATS_FOUND、 または の値を指定できますNO_THREATS_FOUND

スキャン結果は、潜在的なマルウェアが復旧ポイントで検出されたかどうかを示します。NO_THREATS_FOUND ステータスは潜在的なマルウェアが検出されなかったことを意味しますが、 は潜在的なマルウェアが検出されたTHREATS_FOUNDことを示します。詳細な脅威情報については、Amazon GuardDuty コンソールまたは APIs から Amazon GuardDuty の検出結果全体にアクセスしてください。スキャン結果は EventBridge イベントでも利用できるため、感染したバックアップに応答する自動ワークフローを構築できます。

Amazon GuardDuty は検出結果を 90 日間保持し、増分スキャンでファイルまたはオブジェクトを追跡して、脅威が削除されるか、マルウェアの署名が変更されるかを監視します。たとえば、バックアップ 2 でマルウェアが検出された場合、スキャン結果は と表示されますTHREATS_FOUND。バックアップ 2 をベースとして使用してバックアップ 3 で増分スキャンを実行すると、脅威がデータから削除されTHREATS_FOUNDない限り、スキャン結果は残ります。

スキャン失敗のトラブルシューティング

一般的なスキャン障害には、IAM アクセス許可の不足、サービスの制限、リソースアクセスの問題などがあります。

アクセス許可エラーは、バックアップロールにアクセスAWSBackupServiceRolePolicyForScans許可がない場合、またはスキャナーロールに適切な信頼関係がない場合AWSBackupGuardDutyRolePolicyForScansに発生します。

サービス制限エラーは、アカウントあたり 150 回の同時スキャン、またはリソースタイプあたり 5 回の同時スキャンを超えると発生します。スキャンジョブは容量が利用可能になるまで CREATED状態のままになります。

アクセス拒否エラーは、適切な AWS KMS アクセス許可のない暗号化された復旧ポイントや、増分スキャン用の削除された親復旧ポイントを示している可能性があります。

タイムアウト障害は、リカバリポイントが非常に大きい場合や、Amazon GuardDuty の負荷が高い期間に発生する可能性があります。

トラブルシューティングを行うには、DescribeScanJobAPI を使用してスキャンジョブのステータスを確認し、IAM ロールの設定を検証し、復旧ポイントが存在し、アクセス可能であることを確認し、増分スキャンの親参照がない場合はフルスキャンに切り替えることを検討します。

同時スキャンの使用状況を監視し、自動ワークフローにジッターを実装して、サービスの制限に達しないようにします。

計測

マルウェア保護は Amazon GuardDuty によって提供され、請求されます。この機能の使用に関連する AWS Backup 料金は発生しません。すべての使用状況は、Amazon GuardDuty の請求で確認できます。詳細については、Amazon GuardDutyの料金」を参照してください。

クォータ

AWS Backup と Amazon GuardDuty の両方にAmazon GuardDuty Malware Protection のクォータ制限があります AWS Backup。

詳細については、AWS Backup 「クォータ」とAmazon GuardDuty クォータ」を参照してください。

マルウェアスキャンタイプのコンソールと CLI の使用手順

以下のセクションでは、 コンソールと の両方を使用してさまざまなマルウェアスキャンタイプを設定する手順を示します AWS CLI。

マルウェアスキャンをセットアップする方法

コンソール

  1. AWS Backup コンソールに移動する → バックアッププラン

  2. 新しいバックアッププランを作成するか、既存のプランを選択する

  3. マルウェア保護の切り替えを有効にする

  4. スキャナーロールを選択して、新しいスキャナーロールを選択します。「」で説明されているように、バックアップロールとスキャナーロールの両方に適切なアクセス許可があることを確認しますアクセス

  5. スキャン可能なリソースタイプを選択します。これにより、選択したリソース選択基準にマルウェアスキャンがフィルタリングされます。例えば、スキャン可能なリソースタイプの選択が Amazon EBS で、プランのリソース選択に Amazon EBS と Amazon S3 が含まれている場合、Amazon EBS マルウェアスキャンのみが実行されます。

  6. バックアップルールごとにスキャンタイプを設定します。フルスキャン、増分スキャン、スキャンなしのいずれかを選択できます。スキャンタイプの選択は、関連するバックアップルールのスケジュール頻度でスキャンが行われることを意味します。

  7. バックアッププランを保存する

AWS CLI

CreateBackupPlan

createcreate-backup-plan コマンドを使用して、マルウェアスキャンを有効にしてバックアッププランを作成できます。

aws backup create-backup-plan \
    --region us-west-2 \
    --cli-input-json '{
                        "BackupPlan": {
                          "BackupPlanName": "scan-initial-test-demo",
                          "Rules": [
                            {
                              "RuleName": "full",
                              "TargetBackupVaultName": "Default",
                              "ScheduleExpression": "cron(0 * * * ? *)",
                              "StartWindowMinutes": 120,
                              "CompletionWindowMinutes": 6000,
                              "Lifecycle": {
                                "DeleteAfterDays": 3,
                                "OptInToArchiveForSupportedResources": true
                              },
                              "RecoveryPointTags": {
                                "key1": "foo",
                                "key2": "foo"
                              },
                              "EnableContinuousBackup": true,
                              "ScanActions": [
                                {
                                  "MalwareScanner": "GUARDDUTY",
                                  "ScanMode": "FULL_SCAN"
                                }
                              ]
                            },
                            {
                              "RuleName": "incremental",
                              "TargetBackupVaultName": "Default",
                              "ScheduleExpression": "cron(30 * * * ? *)",
                              "StartWindowMinutes": 100,
                              "CompletionWindowMinutes": 5000,
                              "Lifecycle": {
                                "DeleteAfterDays": 2,
                                "OptInToArchiveForSupportedResources": true
                              },
                              "RecoveryPointTags": {
                                "key1": "foo",
                                "key2": "foo"
                              },
                              "EnableContinuousBackup": true,
                              "ScanActions": [
                                {
                                  "MalwareScanner": "GUARDDUTY",
                                  "ScanMode": "INCREMENTAL_SCAN"
                                }
                              ]
                            }
                          ],
                          "ScanSettings": [
                            {
                              "MalwareScanner": "GUARDDUTY",
                              "ResourceTypes": ["EBS", "EC2", "S3"],
                              "ScannerRoleArn": "arn:aws:iam::300949271314:role/TestBackupScannerRole"
                            }
                          ]
                        }
                      }'

UpdateBackupPlan

updateupdate-backup-plan コマンドを使用して、マルウェアスキャンを有効にしてバックアッププランを更新できます。

aws backup update-backup-plan \
    --region us-west-2 \
    --cli-input-json '{
                        "BackupPlanId": "d1391282-68cf-4fce-93ad-e08bc5178bac",
                        "BackupPlan": {
                        "BackupPlanName": "scan-initial-test-demo",
                        "Rules": 
                          [
                            {"RuleName": "full",
                            "TargetBackupVaultName": "Default",
                            "ScheduleExpression": "cron(0 * * * ? *)",
                            "StartWindowMinutes": 60,
                            "CompletionWindowMinutes": 3000,
                            "Lifecycle": 
                              {
                              "DeleteAfterDays": 6,
                              "OptInToArchiveForSupportedResources": false},
                            "RecoveryPointTags": 
                              {"key1": "foo",
                              "key2": "foo"},
                            "EnableContinuousBackup": false,
                            "ScanActions": 
                              [
                                {"MalwareScanner": "GUARDDUTY",
                                "ScanMode": "FULL_SCAN"}
                              ]
                            },
                            {
                              "RuleName": "incremental",
                              "TargetBackupVaultName": "Default",
                              "ScheduleExpression": "cron(30 * * * ? *)",
                              "StartWindowMinutes": 120,
                              "CompletionWindowMinutes": 6000,
                              "Lifecycle": 
                                {
                                "DeleteAfterDays": 9,
                                "OptInToArchiveForSupportedResources": false},
                              "RecoveryPointTags": 
                                {"key1": "foo",
                                "key2": "foo"},
                              "EnableContinuousBackup": false,
                              "ScanActions": 
                                [
                                  {
                                  "MalwareScanner": "GUARDDUTY",
                                  "ScanMode": "INCREMENTAL_SCAN"
                                  }
                                ]
                            }
                          ],
                        "ScanSettings": 
                          [
                            {
                            "MalwareScanner": "GUARDDUTY",
                            "ResourceTypes": 
                              ["ALL", "EBS"],
                            "ScannerRoleArn": "arn:aws:iam::300949271314:role/TestBackupScannerRole"
                            }
                          ]
                        }
                      }'
キーノート

  • スキャンオプションを有効にするには、ターゲット ARN エントリが必要です (コンソール)

  • すべての設定に必要なバックアップ IAM ロールとスキャナー IAM ロールの両方

  • aws backup list-scan-jobs を使用してすべてのスキャンジョブを表示する (AWS CLI)

  • コストへの影響は、スキャンタイプ (増分とフル) と頻度によって異なります。

AWS CLI キーノート

  • aws backup list-scan-jobs を使用してすべてのスキャンジョブを表示する (AWS CLI)

  • ScanResults フィールドで describe-recovery-point API 経由で利用可能なスキャン結果 ScanResults

  • すべての設定に必要なバックアップ IAM ロールとスキャナー IAM ロールの両方

  • JSON バックアッププラン構造には、プランレベルでの ScanSettings とルールの ScanActions が含まれます。