AWS S3向けのウイルススキャン機能をテストしてみた

はじめに

AWS S3にファイルをアップロードする際にウイルススキャンをしたいと考えている方、多いのではないでしょうか？特に外部の不特定多数のユーザから送ってくる情報の中に、マルウェアが潜んでいる可能性もあります。
前段でAmazon EC2にウイルス対策ソフトを入れて、一度EC2上でファイルをスキャンしてからS3にアップロードする運用もあるようですが、AWS EC2を常時起動しておかなければらないので余分なコストがかかってしまうかもしれません。
特にオブジェクトで管理されているS3に保存した個々のファイルがスキャンされたかどうかも知りたいのではないでしょうか。
このたび、S3向けのウイルススキャン機能を提供する製品Cloud One - File Storage Securityをテストしてみましたので感想を書かせていただきたいと思います。

テスト手順

Cloud Oneアカウントの準備

アカウントは以下のURLから「Create an Account」でアカウントを申請します。
https://cloudone.trendmicro.com/

S3バケットの作成

テストでは[filescantest]という名前のバケットを作成します。

Cloud One - File Storage Securityの設定その１

Cloud Oneにログインし、File Storage Securityのコンソールに入り、「Deploy All-in-one Stack」- 「Launch Stack」を選択します。

Cloud formationのテンプレート作成

テンプレートを作成するとはいっても、Stack名（任意）とバケット名（作成済みのバケット名）を入力するだけです。

テンプレートからスタックを展開

展開とはいっても作成済みのテンプレートから展開されるだけなので、待つのみです。
展開されれば、Scanner StackとStorage Stackの２つのStackが作れますので、それぞれのROLEARNをコピーします。

コピーするパラメータは各スタックの出力の中にあるStackManagementRoleARNの横にある値をコピーします。

Cloud One - File Storage Securityの設定その２

コピーしたARNをそれぞれコピーし、Submitします。

以上で、File Storage Securityの導入が完了となります。
次にファイルをアップロードしてみましょう。

ファイルのアップロード

任意のファイルを作成し、アップロードします。

スキャン結果の確認

ファイルのプロパティを開き、スクリーンショットの通り、ファイルがクリーンかどうかや、スキャンした時間などの詳細を確認することができます。

感想

以上、どうでしょうか？導入まではたぶん１０分もかからないですね。
テストしてみて思ったことですが、
1.導入がとにかく楽です。
2.個々のオブジェクトのスキャン結果とその日時が分かります。
3.AWSの知識がなくても簡単に導入できます。
4.サーバーレスで、管理サーバや、スキャンサーバの構築が不要です。

こちらのプロダクトはPost-scan処理を柔軟に指定できるようですので、ワークフローをお客様のニーズに応じて設定できます。
例えばCleanのファイルをさらにクリーンファイルを格納するバケットに移したり、ウイルスが含まれるファイルであれば、隔離専用のバケットに移すことを実現できます。
次回はPost-scanについて触ってみたいと思います。