はじめに

こんにちは、SB C&Sの大塚です。Veeam Backup & Replication v12.3のリリースに伴い、様々な機能追加とアップデートが行われました。この記事では、v12.3の新機能と変更点の中から注目のポイントを紹介します。

v12.3は2024年12月3日にリリースされた最新のバージョンとなります。

※この記事は、VeeamのRelease NotesおよびWhat's Newをもとに作成しておりますので、詳細はRelease NotesおよびWhat's Newをご確認ください。

Release Information for Veeam Backup & Replication 12.3

v12.3にて追加された新機能および変更点

Microsoft Entra IDのデータ保護

Nutanix AHV連携強化

Veeam Data Cloud Vault

サイバーレジリエンスの強化

---

●Microsoft Entra IDのデータ保護

Veeam Backup & Replication v12.3より、Microsoft Entra ID(旧称 Azure Active Directory、Azure AD)のバックアップとリストアがサポートされました。Microsoft Entra IDをバックアップするメリットを紹介します。

誤操作や削除からの復旧

管理者やユーザーが誤ってアカウントを削除や変更をしてしまった場合、バックアップがあれば迅速に復旧できます。完全削除されてしまったアカウントや設定は、Microsoftの標準機能では一定期間後に復旧できなくなるため、独自でバックアップを取得しておくことが重要となります。

サイバー攻撃・不正アクセス対策

ランサムウェア攻撃や不正アクセスによってMicrosoft Entra IDのデータが改ざんや削除されてしまった場合に、バックアップがあると迅速に復旧できます。特権管理アカウントが乗っ取られた場合、バックアップが復旧手段として役に立ちます。

設定ミスによる業務影響の回避

Microsoft Entra IDの設定（MFA、Conditional Access、ユーザー権限など）を誤って変更した場合、即座にバックアップから戻せると、業務への影響を最小限に抑えられます。条件付きアクセスポリシーの誤設定による管理者のロックアウトなどを防ぐことができます。

クラウド依存リスクの軽減

Microsoft側での障害やデータ損失に備え、独自のバックアップを持っておくことで、ビジネス継続性を確保できます。クラウドサービスのSLAでは、データの完全な復元を保証していないため、自身でバックアップを取得することが重要となります。

バックアップを取得する際には、Home>Backup JobよりMicrosoft Entra IDを選択することでJobの作成が可能です。テナントをバックアップする際にはTenant...を、監査ログとサインインログをバックアップする際にはLogs...を選択することでバックアップジョブの作成ウィンドウを展開することができます。バックアップを取得することでそれぞれテナントとログが保護されます。

復元の際には、Users / Groups / Administrative Units / Roles / Applicationsの単位かつ、1ユーザーから細かく復元可能となっています。

---

●Nutanix AHV連携強化

Nutanix Guest Toolsを利用した静止点のバックアップ

v12.2のアップデートでジョブのAdvanced設定にてカスタマイズ可能なオプションが追加されたことを紹介させていただきましたが、v12.3では更に「Nutanix AHV」タブが追加されました。

「Nutanix AHV」タブでは「Enable Nutanix Guest Tools quiescence」を有効化することができます。こちらを有効化することによりバックアップ対象となる仮想マシンのディスクI/OをNutanix Guest Toolsを使用して一時的に静止させ、整合性のあるバックアップを取得します。


また「Enable Nutanix Guest Tools quiescence」を有効化することで、VSSバックアップの種類を細かく設定することが可能になります。

上のラジオボタン「Use default Nutanix VSS snapshot type settings」を選択した場合、Nutanix AHVのデフォルトのVSSバックアップ動作に従いバックアップします。

中央のラジオボタン「Always truncate transaction logs」を選択した場合、VSSバックアップの種類はVSS_BT_FULLで取得されます。これによりバックアップの完了後にトランザクションログは処理（消去・切り詰め）されます。そのためログの肥大化を防ぐことが可能となります。こちらを選択した場合トランザクションログが必要な特定の時点への復元(ポイントインタイムリストア)ができなくなる点には注意が必要です。

下のラジオボタン「Never truncate trasaction logs」を選択することで、VSSバックアップの種類はVSS_BT_COPYとなります。それによりすべてのトランザクションログを保持するようにバックアップが取得されるのでポイントインタイムリストアが可能となります。

アプリケーションの整合性を保ったバックアップ

アプリケーションのトランザクションレベルで整合性のあるバックアップを取得するためには仮想マシンのディスクI/Oが行われていない静止点をバックアップする必要があります。VBRはVSSと連携することで静止点をバックアップして、バックアップデータから損失なしでアプリケーションを復元することが可能となります。

VBRはVSSの仕組みを活用して、Windows仮想マシン上で実行されているVSS対応アプリケーション(MS SQL、MS Exchange、Microsoft Active Directory、Microsoft SharePoint など) を静止させます。

設定するためには、バックアップジョブ作成ウィンドウのGuest Processingにて、「Enable application-aware processing」のチェックボックスをオンにします。

「Enable application-aware processing」を有効化することでVBRはバックアップジョブが実行されるたびに、VMアプリケーションによって生成されたトランザクションログをバックアップして切り捨てます。※後述の設定により変更可能

またVBRでは、バックアップジョブを正常に完了するために、application-aware processingをエラーなしで完了する必要があります。デフォルトの設定ではエラーが発生した場合、バックアップ操作を終了しバックアップ対象の各仮想マシンに対して新しいイメージレベルのバックアップが作成されるまでトランザクションログを処理しません。

エラーが発生した場合にもバックアップ操作を続行して、アプリケーション整合性バックアップではなくクラッシュ整合性バックアップを作成するように指示するには、ラジオボタン中央の「Try application processing. but ignore failures」を選択してください。



またVSS Settingsにてトランザクションログの処理方法の設定変更が可能です。デフォルトでは「Process transaction logs with this job」が選択されており、トランザクションログはバックアップ後に処理（消去・切り詰め）されます。それによりログの肥大化を防ぐことが可能となります。

「Perform copy only」を選択することでトランザクションログの処理を行わず、ポイントインタイムリストアが可能な状態のバックアップを取得することが可能となります。

それぞれのアプリケーションごとにログの処理方法や配布先の設定など細かいメンテナンスを行う際にはそれぞれのタブへ移動して設定することが可能です。


各アプリケーションの詳細な設定方法については以下のページに記載されているのでご参照ください。

Microsoft SQL Server Transaction Log Settings
https://helpcenter.veeam.com/docs/vbahv/userguide/backup_job_vbr_vss_sql.html?ver=7

Oracle Archived Redo Log Settings
https://helpcenter.veeam.com/docs/vbahv/userguide/backup_job_vbr_vss_oracle.html?ver=7

PostgreSQL WAL Files Settings
https://helpcenter.veeam.com/docs/vbahv/userguide/backup_job_vbr_vss_postgresql.html?ver=7

Linux仮想マシンで実行されているアプリケーションや、Windows仮想マシンで実行されているVSS非対応アプリケーションを静止するためには、一番右に配置された「Scripts」タブでVSS 非対応アプリケーションを静止するために使用するスクリプトを設定することができます。


スクリプト編集の詳細については以下のページを参照ください。

Pre-Freeze and Post-Thaw Scripts
https://helpcenter.veeam.com/docs/vbahv/userguide/backup_job_vbr_vss_scripts.html?ver=7

「Enable application-aware processing」は、先ほど解説した「Enable Nutanix Guest Tools quiescence」と似た設定値となっておりますが機能、対象、使用シナリオに違いがあります。両方のオプションを有効化した場合は、まず「Enable application-aware processing」が使用されます。「Enable application-aware processing」にて制御できない仮想マシンやアプリケーションがバックアップの対象であった場合は「Enable Nutanix Guest Tools quiescence」が使用されます。そのためどちらも有効化することが推奨されております。

ゲストインデックススキャンによるマルウェア検出機能

バックアップの際にゲストOS内部のファイルシステムをスキャンすることでファイルとフォルダのインデックスを作成することができるようになり、作成されたインデックスと次回のバックアップの際に作成されるインデックスを比較することでマルウェアの検出ができるようになりました。設定するには、バックアップジョブ作成ウィンドウのGuest Processingにて、「Enable guest file system indexing and malware detection」のチェックボックスをオンにします。


How Guest Indexing Data Scan Works
https://helpcenter.veeam.com/docs/backup/vsphere/malware_detection_guest_index_hiw.html?ver=120

---

●Veeam Data Cloud Vault

Veeam Data Cloud Vaultがアップデートされ、VBR v12.3との統合が強化されました。Veeam Data Cloud VaultをVBRのリポジトリとして設定するためのステップが従来の方式から変更されVeeam My Accountから紐づけを行う方式となり、今まで以上に登録や設定が簡単にできるようになりました。

Veeam Data Cloud Vaultとは

Azure Blob Cool Storage 機能を活用する安全なクラウド ソリューションです。VBRではVeeam Data Cloud Vaultをバックアップ先のリポジトリとしてご利用いただくことができる他、スケールアウトバックアップリポジトリの一部としてもご利用いただくことが可能となっております。選択可能なリージョンとしては一番近いところでは香港となっております。日本リージョンの検討も行われているようです。エディションの違いとしてFoundationは地域の指定、Advancedは国の指定ができるほか、Azure Blobでのゾーン冗長ストレージ（ZRS）がサポートされています。

Veeam Data Cloud Vaultの特徴

①書き換え不可、ゼロトラストストレージでデータ保護
デフォルトでイミュータブルかつ暗号化での保存となり、イミュータブルや暗号化のオフはできない仕様となっております。

②フルマネージド型のAzureストレージにオンデマンドでアクセスするだけで利用可能

③クラウドストレージのエディションはFoundationとAdvancedの2種類
API呼び出し、リストア、送信の料金を含むTB単位の定額料金となっています。
最少5TBから購入可能で1TB単位で追加可能となっております。

---

●サイバーレジリエンスの強化

侵害の兆候を検出（IoC Tools Scanner）※Advanced以上のエディションで利用可能

v12.3では、v12.1で追加されたゲストインデックススキャン機能を更に強化し、バックアップ対象のOSに既知のハッカーツールキットやデータ流出ツールなどが新たに追加されたことを検出できるようになりました。この機能を利用することで、バックアップ中に侵害の兆候を検出し、ユーザーに重大な被害が発生する前に適切な対応を行う機会をつくることが可能となります。

設定するためにはMalware Detection Settingsより、「File Detection」タブを選択して「File system activity analysis」と「Indicators of compromise detection」2つのチェックボックスをオンにします。

Threat Hunter ※Advanced以上のエディションで利用可能

Veeam Threat Hunter は、Veeam が提供するシグネチャベースのスキャンエンジンです。Windows Defenderなどのサードパーティ製ウイルス対策ソフトウェアの代替として使用され、復元ポイントをスキャンします。Veeam Threat Hunter サービスはマウントサーバーに自動的にインストールされ、バックグラウンドで実行されます。

Threat Hunterでスキャンを実行する際の詳細についてはこちらをご参照ください。「Signature Detection」タブで設定することで復元ポイントをスキャンする際のデフォルトのエンジンを設定できます。デフォルトのエンジンをThreat Hunterを選択することでスキャン実行の際にThreat Hunterが使用されます。

インスタントリカバリのウィンドウを例に解説します。Threat Hunterを利用するためには「Scan restore points with Threat Hunter」のチェックボックスをオンにします。Scan optionsではスキャンでマルウェアやランサムウェアが検出された場合にVBRが実行するアクションを選択します。

選択できるオプションは以下の二種類です。

・「Proceed with recovery but disable network adapters」
・「Abort VM recovery」

「Proceed with recovery but disable network adapters」を選択することでマルウェアやランサムウェアが検出された場合、リカバリを続行しますが、VM NICを無効状態で復元します。具体的な利用シーンとしてはフォレンジック調査で利用できます。調査の中でマルウェアやランサムウェアに感染した可能性のあるバックアップデータを復元する際に、NICを無効にすることで感染拡大を防ぎながら調査を進めることが可能となります。

「Abort VM recovery」を選択すると、マルウェアやランサムウェアが検出された時点でリカバリジョブを中断します。マルウェアやランサムウェアに感染した疑いのあるVMの起動が原因で感染拡大してしまうリスクをゼロにします。

更に「Continue scanning all remaining files after the first occurrence」のチェックボックスをオンにすることで、最初のマルウェアが見つかった後もVMデータのスキャンを続行することができます。

まとめ

v12.3で追加された機能はいかがでしたでしょうか。
Veeamのアップデート情報をこれからも発信していきますのでアップデートが追加された際には是非足を運んでいただけると幸いです。

SB C&S所属のエンジニアにより運営されているC&S ENGINEER VOICEでは、Veeam以外にも様々な製品の情報を発信しています。
IT製品に関する情報を収集する際には是非一度、C&S ENGINEER VOICEをチェックしてみてください。

今回は、これにて失礼します。