NAKIVO > Blog > Multiplatform

NAKIVOのマルウェアスキャン機能でバックアップをランサムウェアから守る方法

Updated: 4月 28, 2026

執筆:: NAKIVOチーム

バックアップは、ランサムウェアの主な標的となっています。ハッカーは、企業が独自にデータを復元できないようにすることで、確実に身代金を支払わせることを狙っています。 NAKIVO Backup & Replication、作成後のバックアップが新たなランサムウェア感染によって汚染されたり破損したりしないよう保証するいくつかの機能(例えば、不変のバックアップ先など)が提供されます。しかし、本番環境内で潜伏している可能性のある既存のマルウェア感染が、バックアップに拡散するのをどのように防げばよいのでしょうか?

ランサムウェアは高度な機能を備えており、マシンに感染した後、データを破壊するために活性化されるまで休眠状態にあることがあります。 遅延暗号化機能を備えたランサムウェアに感染した仮想マシンまたは物理マシンをバックアップすると、マルウェアがバックアップ内に潜伏したまま残る可能性があります。その後、感染したバックアップを復元すると、ランサムウェアが再び活性化し、時間の経過とともに暗号化プロセスを開始する恐れがあります。このシナリオは、システムの再感染や新しく復元されたデータの暗号化につながり、インフラストラクチャの完全性に対して重大なリスクをもたらします。

本記事では、Backup Malware Scan を活用する 2 つの方法について解説します。 NAKIVO Backup & Replication 作成したバックアップが常に正常な状態であり、いつでも確実に復元できるよう確保するためです。

実際のソリューションをご覧ください

実際のソリューションをご覧ください

どの機能についても、お客様に合わせたデモをご用意しておりますので、すぐに使い始めることができます。当社のエンジニアが、ご不明な点など何でもお答えいたします。

無料デモを予約する

ランサムウェア復旧のためのNAKIVOベストプラクティス

NAKIVO Backup & Replication これにより、インシデント発生後も確実に復旧できるよう、重要なデータのコピーを複数の場所に十分に確保しておくことができます。

ランサムウェアからの復旧に関するベストプラクティスの例は以下の通りです:

  • Applying the 3-2-1 backup strategy. 定期的にバックアップを作成し、データのコピーを少なくとも3つ確保してください。そのうち少なくとも2つは異なる2つの媒体に保存し、少なくとも1つは社外に保管する必要があります。適切な保存ポリシーとして、例えば、 祖父・父・息子 この保持ポリシーにより、インフラストラクチャがランサムウェア攻撃を受けた場合でも、正常なコピーを選択できる十分なリカバリポイントが確保されます。
  • Immutability. バックアップの1つを 不変ストレージ あるいはエアギャップストレージ。不変性を持つストレージでは、バックアップを一度書き込むことはできますが、その後はランサムウェアによるデータの編集や削除が不可能になります。エアギャップストレージとは、バックアップの書き込み後に物理的に切り離されるストレージ媒体のことで、ランサムウェアがこのデータに物理的にアクセスすることを防ぎます。 NAKIVO Backup & Replication 複数の不変ターゲットに対応しています.
  • Backup and antivirus software integration. 物理マシンおよび仮想マシンにおける脅威の検出には、ウイルス対策ソフトウェアを使用する必要があります。ウイルス対策ソフトウェアは、ほとんどの種類のウイルスを検出して削除することができます。また、ウイルス対策ソフトウェアをバックアップソリューションと統合し、バックアップの脅威検出機能を活用することで、クリーンなバックアップを確保し、問題のない復元を実現する必要があります。Backup Malware Scan を使用するには、 NAKIVO Backup & Replication ウイルス対策機能を統合し、バックアップデータをマルウェア検査する。
  • Replication and DR. レプリケーションを使用します。定期的なものであれ、 リアルタイムレプリケーション、フェイルオーバーおよびフル サイトの復旧 万が一、ランサムウェアによってインフラがダウンし、別の場所でマシンを再起動する必要が生じた場合。

NAKIVOのバックアップマルウェアスキャンでバックアップを保護する

その マルウェアスキャン(バックアップ)機能 で NAKIVO Backup & Replication これにより、ウイルス対策ソフトを統合し、バックアップデータをマルウェア検査できるようになります。

NAKIVOのバックアップマルウェアスキャンの仕組み

物理マシンまたは仮想マシンのディスクは、バックアップから仮想ディスクとして直接公開されます。その後、ESXiホスト、Hyper-V、Nutanix、Linux/Windowsマシン、VMware Cloud Directorなどの選択されたハイパーバイザーサーバー上で起動されます。

ESXiホストの場合、仮想ディスクはiSCSIターゲットとして、ESXiホスト上の一時的な仮想マシンに接続されます。 仮想マシンの仮想ディスクも、iSCSIターゲットとしてスキャンサーバーに接続されます。その結果、スキャンサーバー上で実行されているアンチウイルスは、ローカルディスクをスキャンするのと同様に、iSCSIターゲットとしてマウントされたディスク/ボリュームをスキャンできます。

この機能が動作するために満たすべき要件は以下の通りです:

  • iSCSI イニシエーター サービスは、スキャン サーバー上で実行されている必要があります。
  • ある エージェント スキャンサーバーにインストールされ、必要な NAKIVO Backup & Replication コンポーネント。

注: その トランスポーター そのマシンにインストールされた バックアップリポジトリ デフォルトでは、このバックアップリポジトリ内のバックアップをスキャンするためのスキャンサーバーとして使用できます。バックアップリポジトリが配置されているマシンにウイルス対策ソフトがインストールされている場合は、このデフォルトオプションを使用できます。

完全なリストは 要件と対応しているウイルス対策ソフト ソフトウェア。

このチュートリアルで使用した環境

この機能は、バックアップ作成直後に使用することで、後でオブジェクトやマシンを迅速に復元する必要がある際の時間を節約できます。また、復元直前に使用して、復元時点のデータに感染がないことを確認することも可能です。

当社環境では、以下の設定を使用して、これら両方のシナリオに対応するワークフローを提供しています:

  • NAKIVO Backup & Replication v.10.11 仮想アプライアンス:192.168.101.211
  • ウイルス対策ソフトを搭載したスキャンサーバー:Windows 10 x64 (192.168.101.225)
  • スキャンサーバーにインストールされたESET NOD 32 Antivirus v.16
  • ESXi 7.0: 192.168.101.201
  • ESXi 7.0: 192.168.101.202(両方のESXiホストがインベントリに追加されています)
  • ESXi 7.0 上の Windows 仮想マシン
  • [バックアップリポジトリ]内のWindows VMのバックアップ NAKIVO Backup & Replication

バックアップジョブは毎日実行されるようにスケジュールされています。

アンチウイルスソフトは、デフォルト設定のまま試用モードでインストールしました。

注: NAKIVOでは、ウイルス対策ソフトウェアのライセンスは提供しておりません。試用キーをご利用いただくか、ウイルス対策ソフトウェアのライセンスを別途ご購入ください。

スキャンサーバーの追加

NAKIVO Backup & Replication ネットワーク経由でアクセス可能なスキャンサーバーにインストールされたウイルス対策ソフトウェアによるバックアップスキャンに対応しています:

  • スキャンサーバーは、ウイルス対策ソフトウェアが実行されているWindowsまたはLinuxの物理マシン、あるいは仮想マシンです。スキャンサーバーには、LinuxおよびWindowsのクライアント版とサーバー版の両方がサポートされています。
  • スキャンサーバーは、以下のものとネットワーク接続を確立できる必要があります NAKIVO Backup & Replication.

注: LinuxのバックアップをスキャンするにはLinux上で動作するスキャンサーバーを、WindowsのバックアップをスキャンするにはWindows上で動作するスキャンサーバーを使用することをお勧めします。通常、LinuxスキャンサーバーでもWindowsのバックアップをスキャンすることは可能です。ただし、スキャンサーバーのOSは、バックアップ対象マシンのファイルシステムを認識できる必要があるという点に留意してください。

それでは、まずNAKIVOソリューションのWebインターフェースで、インベントリにスキャンサーバーを追加することから始めましょう。

  1. 移動 Settings > Inventory、をクリックして アイコンをクリックし、 Scan Servers.

    Adding a scan server in NAKIVO Backup & Replication

  2. 追加する新しいスキャンサーバーのパラメータを入力してください:
    • 表示名: ScanServer01
    • プラットフォーム: Windows または Linux – これは、アンチウイルスがインストールされているマシンのオペレーティングシステムです
    • ホスト名またはIPアドレス: スキャンサーバーのホスト名またはIPアドレスを入力してください
    • 認証情報のタイプ: パスワード(または秘密鍵)
    • ユーザー名: 十分な権限を持つユーザーアカウント(例:管理者)
    • パスワード: このユーザーアカウントのパスワード

    最大負荷、つまり 同時実行可能なタスクの最大数.

    スキャンサーバーに必要なパラメータをすべて入力したら、[クリック] Test connection.

    スキャンサーバーでiSCSIイニシエーターサービスが起動していない場合、以下に示すようなメッセージが表示されます。

    Adding a new scan server and connection test

  3. Windows マシンで iSCSI イニシエーター サービスを開始するには:
    • を押して"コンピュータ管理"を開きます Win+R、次に"ファイル名を指定して実行"ダイアログで、次のように入力します compmgmt.msc、そしてEnterキーを押します。
    • 移動 Services and Applications > Services、そして次のページに移動して Microsoft iSCSI initiator service. サービスを一度だけ開始することも、Windowsの起動後に自動的に開始されるように設定することもできます。
  4. を右クリックして Microsoft iSCSI initiator service そしてクリック Properties.

    Starting the iSCSI initiator service on the scan server (Windows 10)

  5. [サービスのプロパティ] ウィンドウで、[スタートアップの種類] を Automatic をクリックして Start. その後、 OK 設定を保存するには。

    Starting iSCSI initiator on Windows 10 in automatic mode

  6. のWebインターフェースに戻る NAKIVO Backup & Replication をクリックして Test Connection もう一度。これで接続テストは成功するはずです。クリックしてください Add 新しいスキャンサーバーの追加を完了します。

    注: テストに失敗した場合は、ファイアウォールがネットワーク接続をブロックしていないこと、およびすべての要件を満たしていることを確認してください。

    A connection with a scan server has been tested successfully

  7. 新しいスキャンサーバーがスキャンサーバーの一覧に表示されました。Webインターフェースでこのウィンドウを閉じることができます。

    A scan server has been added

スキャンサーバーを追加したら、マルウェアのバックアップスキャンを設定できます。

復元前にバックアップをマルウェア検査する

マルウェアのスキャンは、 NAKIVO Backup & Replication 以下の種類のバックアップジョブの復元を実行する前に:

  • VMware vSphere 仮想マシン
  • Microsoft Hyper-V 仮想マシン
  • Nutanix AHV 仮想マシン
  • VMware Cloud Director
  • 物理マシン
  • フラッシュブート
  • 汎用オブジェクト

この例では、復旧前のマルウェアスキャンにFlash VM Bootジョブを使用します:

  1. 移動 Jobs そして、ウイルスやマルウェアの検査を行いたいマシンのバックアップが含まれているバックアップジョブを選択します。今回のケースでは、これは VMware Windows VMのバックアップジョブ.
  2. バックアップジョブを選択したら、[クリック] Recover、そしてリカバリメニューで、 Flash boot for VMware.

    Adding a new Flash VM boot job for a VMware VM

その VMware向けの新フラッシュブートジョブウィザード 開く:

  1. Backups. ウイルススキャンを実行したいバックアップジョブから、対象のバックアップを選択します。複数のバックアップを選択できます。ここでは、 Windows仮想マシンこれは、当社のバックアップ対象の中で唯一バックアップされているマシンです。クリック Next ウィザードの各ステップで、続行してください。

    Selecting a backup of a VMware VM for a flash VM boot job with a malware scan

  2. Destination. バックアップから接続された仮想ディスクを使用して、一時的なVMを実行する場所を選択します。保存先として、ESXiホスト、ESXiデータストア、仮想ネットワーク、およびVMフォルダ(オプション)が選択可能です。選択したESXiホストは、すでにNAKIVOのインベントリに追加されています。

    Selecting a destination ESXi host to run a temporary VM

  3. Schedule. スケジュール設定を行うか、この"Flash VM Boot"ジョブをオンデマンドで実行するように選択します。復元前にバックアップのウイルススキャンを実行したいので、このジョブをオンデマンドで実行するように選択します。

    Selecting scheduling options for a Flash VM boot job

  4. Options. Flash VM ブートジョブのオプションを設定します。
    • ジョブ名を入力してください。
    • ~について Malware detection オプションをクリック Enabled.

    表示されるポップアップウィンドウで、マルウェア検出の設定を選択してください:

    • スキャンサーバー: 以前インベントリに追加したスキャンサーバーを選択してください。
    • スキャン方式: Deep scan または quick scanクイックスキャンは、ウイルスが通常利用するOSディスク(パーティション)上の標準的な場所をスキャンするために使用されます。ディープスキャンはすべてのファイルをスキャンします。
    • マルウェアが検出された場合の動作を選択してください: 復旧ジョブが失敗した または 続行し、隔離されたネットワークに復旧する.
    • スキャンタイムアウトを設定する設定された時間を超過した場合、そのジョブは失敗ステータスで終了します。

    設定が完了したら、[クリック] Apply このジョブのマルウェア検出設定を保存するには。

    次に、[クリック] Finish & Run ウィザードを完了し、マルウェアスキャンを含むFlash VM Bootジョブを実行します。

    Enabling and configuring malware detection in options

  5. ジョブの実行範囲を選択し、 Run.

    Running the Flash VM Boot job for all VMs

ESXiホスト上で起動された一時VMの各仮想ディスクは、iSCSIターゲットとして公開され、スキャンサーバーにマウントされます。

ESXiホスト上で一時VMが作成され、仮想ディスクがマウントされてマルウェアやウイルスのスキャンが完了するまで待ちます。

以下のスクリーンショットでは、Flash Bootジョブが実行中であり、2件の問題が検出されていることが確認できます。[ 2つの問題 マルウェアスキャンの詳細を確認するには、こちらをクリックしてください。

2 issues were found after scanning a backup for viruses

ご覧の通り、2つの課題に注意を払う必要があります。クリック View details 詳細を表示するには。VMバックアップのマルウェアスキャン後、アンチウイルスソフトは、不審な可能性があり、マルウェアと判定された2つのファイルを検出しました。

The report of malware scan of the backup in NAKIVO Backup & Replication

"Flash VM Boot"ジョブは自動的に停止しない点にご注意ください。マルウェアスキャンが完了し、ウイルス対策スキャンレポートを確認した後、このジョブを手動で停止する必要があります。

バックアップ直後にマルウェアのスキャンを実行する

バックアップジョブの実行後にマルウェアスキャンを自動化するには、本ソリューションの サイト復旧 機能:

  1. 移動 Jobs ~の中で NAKIVO Backup & Replication Webインターフェースで、[クリック] + 新しいジョブを追加するには、[クリック] Site recovery.

    Adding a new site recovery job

  2. その 新しいサイト復旧ジョブウィザード 開く。その Actions ステップ、クリック Run Jobs を追加するには ジョブを実行 Site Recovery ジョブのアクションシーケンスにアクションを追加します。

    Adding the Run Jobs action in a new site recovery job

  3. 実行するジョブを選択してください。選択してください。 VMwareマルウェアスキャン用のフラッシュブートジョブ 前のセクションで説明した通りに作成されたものです。

    操作オプションを選択してください:

    • このアクションを実行する場所: Run this action in both testing and production mode
    • 待機時の挙動: Start next action immediately

    ヒット Save このSite Recoveryジョブアクションを保存し、他のジョブアクションの設定を続行します。

    Selecting a Flash VM boot job to run as the first action in the site recovery job

  4. ""を追加する Wait Flash VM ブートジョブの開始直後に実行される 2 番目のジョブアクションとして。

    Adding the Wait action as the second action in the site recovery job

  5. 設定を行う 待って アクション。現在のバックアップ対象マシンのディスクスキャンにかかる時間について、ご自身の環境での経験に基づいて待機時間を設定してください。この例では、1時間で十分でしょう。マルウェアスキャンジョブが実行中のFlash VMの起動が停止されるまでに、スキャンが完了するだけの十分な時間が確保されていることを確認してください。

    アクション:

    • このアクションを実行する場所: Run this action in both testing and production mode
    • エラー処理: Stop and fail the job if this action fails

    ヒット Save そして、Site Recoveryアクションの追加に戻ります。

    Configuring the Wait action in the site recovery job

  6. クリック Stop Jobs Site Recovery ジョブの 3 つ目のアクションを追加するには。

    Adding the Stop VMware VMs action

  7. 設定を行う 求人停止 アクション。選択してください VMware仮想マシンのマルウェアスキャンに関するフラッシュブート作業 (以前使用していたもの)。VMバックアップのウイルススキャンに設定された時間("待機"アクションによる)が経過(期限切れ)した後、Flash VMブートジョブを停止する必要があります(このジョブは、ユーザーによる直接的な操作、またはサイトリカバリの"停止"アクションによってのみ停止可能です)。

    操作オプション:

    • このアクションを実行する場所: Run this action in both testing and production mode
    • 待機時の挙動: Wait for this action to complete
    • エラー処理: Stop and fail the job if this action fails

    ヒット Save このジョブアクションを保存するには。

    Selecting a Flash VM boot job to stop

  8. 必要なSite Recoveryジョブアクションが3つすべて追加されました。クリックしてください Next "Site Recovery"ジョブウィザードで、続行します。

    All three actions for malware scan after making a backup are added to the site recovery job

  9. レプリケーションやフェイルオーバーのジョブがないため、ネットワークマッピングの手順は省略できます(ネットワーク)。同様に、 Re-IP ステップ。
  10. ウィザードのステップ4でテストスケジュールを設定します。 ジョブチェイニング バックアップジョブが完了した直後にマルウェアスキャンを実行するよう、このSite Recoveryジョブをスケジュールするオプションです。つまり、VMのバックアップが完了するとすぐに、新しく作成されたSite Recoveryジョブが自動的に開始されます。これにより、マルウェアスキャン設定が有効な状態でFlashブートジョブ/アクションがトリガーされます。その結果、マルウェアスキャンが自動的に開始されます。

    スケジュール#1では、以下のオプションを選択してください:

    • 次のジョブを実行する: VMware Windows 仮想マシンのバックアップ
    • このジョブを実行してください: Immediately.
    • [選択] After successful チェックボックス。

    Configuring scheduling using job chaining to run the site recovery job right after a VM backup job

  11. その オプション 次に、ジョブ名を入力します。例えば、 VMのバックアップ後のSRマルウェアスキャン.

    復旧目標時間(RTO)を設定します。このRTOの値は、以下の時間より短くしてはなりません。 待って アクション(Site Recoveryジョブのアクション一覧にある2番目のアクション)。この例ではマルウェアのスキャンにかかる待機時間が60分であるため、このSite RecoveryジョブのRTOを65分に設定します。これは、Site Recoveryジョブのすべてのアクションを完了する時間が不足してジョブが失敗するのを防ぐために必要です。

    クリック Finish 設定を保存してウィザードを閉じます。

    Configuring site recovery job options

それでは、Windows VMのバックアップジョブを開始し、ジョブの自動化がどのように機能するかを確認してみましょう:

  1. Windows VMのバックアップジョブが開始されました。
  2. VMのバックアップジョブが完了するとすぐに、Site Recoveryジョブが開始されます。このSite Recoveryジョブには、Flash VMブートジョブが含まれています。
  3. マルウェアスキャンを含むFlash VMブートジョブは、Site Recoveryジョブの一環として開始されます。
  4. マルウェアスキャンに設定された時間が終了すると、すべてのジョブが停止されます。問題を確認したり、ウイルス対策レポートを表示したりすることができます。

    Automatic scanning of backups for viruses after backup creation is working

この例では、NAKIVOソリューションを使用して、バックアップジョブの実行後にマルウェアスキャンが自動的に実行されるように設定する方法について説明しました。また、以下に示すように、バックアップから物理マシンや仮想マシンを復元する前に、マルウェアスキャンを実行することも可能です。

実際のソリューションをご覧ください

実際のソリューションをご覧ください

どの機能についても、お客様に合わせたデモをご用意しておりますので、すぐに使い始めることができます。当社のエンジニアが、ご不明な点など何でもお答えいたします。

無料デモを予約する

People also read

Picture
企業のデータストレージおよび管理の動向
Picture
VMware ESX 対 ESXi:主な違いの概要
Picture
Windows用Amazon S3 Browserの概要