翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# GuardDuty Malware Protection for AWS Backup
<a name="malware-protection-backup"></a>

**Topics**
+ [概要](#malware-protection-backup-overview)
+ [Malware Protection for Backup の仕組み](malware-protection-backup-how-it-works.md)
+ [GuardDuty Malware Protection for Backup: IAM ロールのアクセス許可](malware-protection-backup-iam-permissions.md)
+ [**(オプション) Malware Protection for Backup を個別に開始する (コンソールのみ)**](malware-protection-backup-get-started-independent.md)
+ [Malware Protection for Backup のオンデマンドスキャンの開始](malware-protection-backup-start-on-demand-scan.md)
+ [Malware Protection for Backup でのスキャンステータスと結果のモニタリング](monitoring-malware-protection-backup-scans.md)
+ [Malware Protection for Backup のクォータ](malware-protection-backup-quotas.md)

## 概要
<a name="malware-protection-backup-overview"></a>

 Malware Protection for Backup は、Amazon EBS スナップショット、Amazon EC2 AMIs、Amazon S3 リカバリポイントなどの AWS Backup で保護されたリソースをスキャンして、バックアップデータにマルウェアが存在する可能性を検出するのに役立ちます。 AWS Backup が保護されたバックアップリソースを作成または更新すると、GuardDuty はそのバックアップに対してマルウェアスキャンを実行して、環境に復元される前に悪意のある可能性のあるコンテンツを特定できます。

**Malware Protection for Backup の使用方法**

この機能は、アカウントで GuardDuty が有効になっているかどうかに応じて、次の 2 つのモードで使用できます。

1. GuardDuty を有効にして Malware Protection for Backup を使用する

   リージョンで GuardDuty が有効になっている場合、 AWS Backup は Malware Protection を GuardDuty の検出結果ワークフローと統合します。マルウェアスキャンの結果は、Amazon EventBridge と Amazon CloudWatch に加えて GuardDuty の検出結果に表示されます。

1. GuardDuty を有効にせずに Malware Protection for Backup を使用する

   Malware Protection for Backup は、完全な GuardDuty サービスを有効にすることなく、個別に使用できます。このモードでは、EventBridge と CloudWatch を通じてスキャン結果を完全に利用できます。

**Malware Protection for Backup を個別に使用する際の考慮事項**

GuardDuty を有効にせずに 機能を使用する場合:
+ バックアッププランの設定は、 AWS Backup で完全に管理されます。

GuardDuty は、バックアッププラン、ボールト、またはリソースタイプを選択するためのコントロールを提供しません。すべての有効化、スケジューリング、ポリシー設定は AWS Backup に残ります。
+ GuardDuty の検出結果は生成されません。

検出結果には、GuardDuty が有効になっている場合にのみ作成されるディテクター ID が必要です。Malware Protection を個別に使用する場合、スキャン結果は EventBridge イベントと CloudWatch メトリクスを通じてのみ表示されます。
+ GuardDuty コンソールからオンデマンドスキャンを開始できます。

GuardDuty が有効になっていない場合でも、GuardDuty コンソールには、サポートされているバックアップリソースタイプのオンデマンドマルウェアスキャンを開始するワークフローが用意されています。これにより、お客様は完全な GuardDuty サービスを必要とせずに、使い慣れた GuardDuty インターフェイスを使用できます。
+ GuardDuty 以外のお客様は、スキャン開始ワークフローにアクセスできます。

オンデマンドスキャンエントリポイントは、GuardDuty ディテクターがアカウントに存在するかどうかにかかわらず、Malware Protection for Backup を使用しているすべてのお客様が使用できます。
+ スキャンの動作とカバレッジは同じままです。

GuardDuty が有効になっているかどうかにかかわらず、この機能は同じマルウェア検出エンジンを使用して同じ AWS Backup リソースタイプをスキャンします。唯一の違いは、結果が公開される場所です。

このモデルを使用すると、GuardDuty のより広範な脅威検出機能を必要とすることなく、バックアップのマルウェアスキャンを採用できます。また、スキャンオペレーションを開始および表示するためのオプションの GuardDuty ベースのワークフローも提供します。

**Malware Protection for Backup の仕組み**

Malware Protection for Backup では、以下の AWS Backup で保護されたリソースをスキャンできます。
+ Amazon EBS snapshots
+ Amazon EC2 AMI
+ Amazon S3 リカバリポイントと S3 [継続的バックアップまたはpoint-in-time-recovery (PITR)](https://docs.aws.amazon.com/aws-backup/latest/devguide/point-in-time-recovery.html)
+ [サポートされているリージョン](https://docs.aws.amazon.com/aws-backup/latest/devguide/backup-feature-availability.html#features-by-region)で AWS Backup Vault Lock を使用してロックされた (イミュータブル) ボールト (EBS/EC2 リカバリポイント)

*増分スキャン*

 AWS Backup は、多くのリソースタイプの増分変更をキャプチャします。GuardDuty には、バックアップの作成時または更新時に新規または変更されたブロックまたはオブジェクトのみをスキャンする機能があり、パフォーマンスを向上させ、スキャンオーバーヘッドを削減しながら、時間の経過とともにフルカバレッジを実現します。

*オンデマンドスキャン*

 サポートされているバックアップリソースでは、 AWS Backup または GuardDuty コンソールから直接、いつでもスキャンを開始できます。一般的なユースケースには、復元前のバックアップの検証、新しい脅威署名の公開後の古いデータの再チェック、定期的なコンプライアンススキャンの実行などがあります。

**注記**  
Malware Protection for Backup は、同じリージョンのバックアップリソースに対してのみ有効にできます。
GuardDuty はバックアップの読み取り専用コピーをスキャンします。バックアップコンテンツは変更されません。
スキャンは、標準ボールトとロックされた (イミュータブル) ボールトの両方で機能します。