NRIネットコム Blog

NRIネットコム社員が様々な視点で、日々の気づきやナレッジを発信するメディアです

注目のタグ
    トップ > クラウド > GuardDuty Malware Protection for AWS Backupを組織でどう活用していけばいいのか

    GuardDuty Malware Protection for AWS Backupを組織でどう活用していけばいいのか

    クラウド AWS

    はじめに

    Amazon GuardDuty Malware Protection for AWS Backup (以下、GuardDuty Malware Protection for AWS Backup)により、AWS Backupで管理されているバックアップデータに対して、GuardDutyによるマルウェアスキャンを実施できるようになりました。

    本記事では、この機能を単なる新機能として紹介するのではなく、「なぜ必要なのか」「どのように有効化し、組織としてどう運用すべきか」という観点から整理していきます。 GuardDuty Malware Protection for AWS Backupのドキュメントは以下です。

    docs.aws.amazon.com


    なぜバックアップをマルウェアスキャンする必要があるのか

    AWS環境のセキュリティ対策は、一般的に「予防・検出・対応」というサイクルで整理されます。Amazon GuardDuty(以下、GuardDuty)はこの中で「検出」を担う中核的なサービスですが、従来の検出対象は主に稼働中のリソースやログでした。

    しかし、ランサムウェア対策という文脈で考えると、復旧時に使用するバックアップが安全であることは、検出や隔離と同じくらい重要です。GuardDuty Malware Protection for AWS Backupは、この「復旧フェーズ」に対するセキュリティを補完する機能と言えます。

    <参考資料>

    https://www.youtube.com/watch?v=LJ7yMW1PrBc

    復旧ポイントは「信頼できるデータ」であるべき

    バックアップは、システム障害やランサムウェア攻撃から復旧する際の最終手段です。にもかかわらず、そのバックアップ自体が汚染されていれば、復旧は被害の再発につながります。

    GuardDuty Malware Protection for AWS Backupは、EBSスナップショット、EC2 AMI、S3リカバリポイントなど、AWS Backupで保護されているリソースを対象にマルウェアスキャンを実行します。これにより、「復旧に使おうとしているデータが本当に安全か」を事前に確認できるようになり、BCPの信頼性を高めることができます。

    エージェント不要で運用に組み込みやすい

    バックアップ内のデータをスキャンするというと、従来はサーバーやストレージにエージェントを導入する構成が一般的でした。しかし、GuardDuty Malware Protection for AWS Backupはエージェントレスで動作し、追加のソフトウェアを管理する必要がありません。

    これは、バックアップ取得後の自動スキャンやオンデマンドスキャンを、AWS標準の仕組みとして組み込めることを意味します。運用負荷を抑えながら、セキュリティレベルを底上げできる点は、マネージドサービスならではのメリットです。

    復旧前に「安全かどうか」を判断できる

    この機能の特徴は、スキャン結果がGuardDutyの検出結果として一元的に扱われる点にもあります。検出結果はGuardDutyのコンソールから確認できるだけでなく、Amazon EventBridge(以下、EventBridge)などを通じて通知や自動処理のトリガーとして利用できます。

    これにより、復旧作業に入る前の段階で「このバックアップは安全か」「復旧に使って問題ないか」を判断できるようになります。マルウェアが検出された場合も、検出された脅威の数や種類といった情報が付随するため、復旧可否の判断や追加対応の検討に活かせます。

    コストと効率を考慮したスキャン設計

    GuardDuty Malware Protection for AWS Backupでは、増分スキャンの仕組みが提供されています。これは、すでにスキャン済みのバックアップデータに対して、変更があった部分のみを対象にスキャンを行う方式です。

    バックアップ全体を毎回フルスキャンする必要がないため、スキャンにかかる時間とコストを抑えつつ、継続的なチェックを行うことができます。長期運用を前提とした場合、この効率性は非常に重要な要素です。

    バックアップを守るためのガードレール

    AWS環境では、VPCの公開制御やAmazon Inspectorの継続的な脆弱性管理のように、セキュリティを「ガードレール」として設計する考え方が重要です。GuardDuty Malware Protection for AWS Backupは、バックアップという最終復旧ポイントに対するガードレールとして機能します。

    予防や検出だけでなく、「復旧したあとに再び被害を広げない」ことまで含めて考えると、この機能は単なるオプションではなく、バックアップ設計の一部として検討すべきセキュリティ対策と言えます。


    組織でどう有効化し、どう運用するのか

    委任管理アカウントから一元的に管理できるのか

    GuardDutyの機能を組織で運用する際には、「どの範囲で管理するのか」という方針をあらかじめ整理しておくことが重要です。

    この検討を行う際には、GuardDutyの機能を次の2つの考え方で整理すると、設計方針を決めやすくなります。

    分類 概要
    ガードレール型 組織の共通基盤を守る機能は、全アカウントで原則有効化する
    選択型 特定のリソースや利用状況に依存する機能は、要件に応じて対象アカウントを限定して有効化する

    ガードレール型は、組織全体の可視性や検知基盤を構成する機能に適した考え方です。これらの機能は、有効・無効が混在すると検知範囲に抜けが発生し、「どの環境が保護されているのか」を把握するための運用コストが増加します。 そのため、委任管理アカウントから一括有効化し、すべてのアカウントで同じ前提のもと運用することが基本です。

    一方、選択型は、特定のリソースやワークロードの存在を前提とする機能に適した考え方です。対象となるリソースを利用していないアカウントや、コスト対効果が見合わない環境にまで一律に適用すると、運用負荷や説明コストが増える可能性があります。 そのため、利用状況やシステム要件に応じて、対象アカウントを限定して有効化する設計が現実的です。

    GuardDuty Malware Protection for AWS Backupは、アカウント単位で有効化する必要があり、AWS Organizations(以下、Organizations)レベルで一括強制することはできません。この特性から、本機能は「選択型」の機能として整理することができます。

    公式ドキュメントにも記載されているとおり、この機能の有効化は各AWSアカウント単位で実施する必要があります。つまり、OrganizationsでGuardDutyの委任管理アカウントを設定していたとしても、Backup向けのマルウェアスキャンについては、委任管理アカウントから一元的に管理することはできません。

    この点は、Organizationsのポリシーのように「組織として設定を強制できる」機能とは異なるポイントです。GuardDuty Malware Protection for AWS Backupは、活用そのものは各アカウントの責任範囲に残されている設計と言えます。

    運用で意識すべきポイント

    この構成のポイントは、「フルスキャンの実行」と「継続的な増分スキャン」を運用で明確に分離することにあります。
    本記事の構成図は、通常運用における増分スキャンの自動化部分を示したものです。
    初回のフルスキャンは運用判断のもと手動で実施し、その後の継続運用として、EventBridgeとLambdaを用いた増分スキャンを定期的に実行する構成としています。
    Malware Protection for AWS Backup はスキャン対象データ量に応じて課金されるため、運用設計によってコスト効率が大きく変わります。ここでは、初期対応は手動で確実に実施し、その後の継続運用のみを自動化するという考え方で整理します。

    料金は以下を参照してください。

    aws.amazon.com

    フルスキャンと増分スキャンの役割分担

    バックアップデータに対するスキャンは、常にフルスキャンを実行するのではなく、初回のみフルスキャンを実施し、その後は増分スキャンへ切り替えることで、スキャン対象データ量を最小化します。

    本構成では、それぞれのスキャンを以下のように役割分担します。

    フルスキャン(手動実行)

    運用開始時、または環境移行・ポリシー変更時などのタイミングで、運用担当者が手動でフルスキャンを実行します。 これにより、既存のバックアップデータ全体に対してマルウェアチェックを行い、基準となるクリーンな状態を確立します。

    フルスキャンは実行タイミングの判断が重要となるため、自動化せず、運用判断のもとで実施する方針とします。

    増分スキャン(自動実行)

    フルスキャン完了後の通常運用では、構成図の仕組みを利用して増分スキャンを自動実行します。

    処理の流れは以下のとおりです。

    • EventBridgeが定期的にイベントを発行

    • AWS Lambdaが起動し、対象のバックアップデータに対してスキャンを実行

    • GuardDutyが前回スキャン以降に追加・変更されたデータのみを対象に増分スキャンを実施

    • スキャン結果はEventBridgeを経由してAmazon SNSで運用担当者に通知

    この機能を運用に組み込む際は、スキャン結果を「見るだけ」で終わらせないことが重要です。GuardDutyの検出結果として出力されるため、EventBridgeと連携して通知やチケット起票、復旧フローの停止判断など運用設計が重要になってきます。 例えば、復旧作業を行う前に対象のバックアップにマルウェア検出がないことを確認する、あるいは検出があった場合は自動的に復旧フローを止めて人の判断を介す、といった運用が考えられます。こうした使い方を前提にすることで、この機能は「検知ツール」ではなく「復旧判断のガードレール」として機能します。

    おわりに

    GuardDuty Malware Protection for AWS Backupは、バックアップを「取得しているかどうか」ではなく、「安全に復旧できる状態を維持できているか」 を確認するための機能です。

    ランサムウェア対策や障害対応において、バックアップは最後の手段となります。そのバックアップ自体の安全性を事前に確認できることは、復旧判断の確実性を高め、BCPの信頼性向上にもつながります。

    一方で、本機能はOrganizationsレベルでの一括強制ができず、各AWSアカウント単位での管理が必要になります。そのため、単に機能を使用するだけでなく、「どのアカウントで利用するのか」、「フルスキャンと増分スキャンをどのように使い分けるのか」、「検出結果をどのように通知・判断フローに組み込むのか」といった観点で、組織としての運用方針を整理しておくことが重要です。

    執筆者 大林優斗

    2025 Japan AWS Top Engineers

    2024 Japan AWS Jr. Champions

    Twitter:https://twitter.com/rUzXddG0vA9853

    個人ブログ:https://tech.nri-net.com/archive/author/y-obayashi

    登壇資料:https://speakerdeck.com/yuobayashi