AWS JAPAN APN ブログ

Trend Micro Cloud One – File Storage Security による S3 Object Lambda を活用したセキュリティ対策

本ブログは、トレンドマイクロの Brendan Johnson とアマゾン ウェブ サービスの Andrew Kutsy、Lee Kear による共著記事です。

貴社のアプリケーションは、数十万のエンドユーザーによってアップロードされたデータを処理しますか?そのデータは、数十万ものエンドユーザーによって共有されていませんか?また、そのセキュリティはどうしていますか?Amazon Simple Storage Service (S3) がアプリケーションにデータを返す前に、マルウェアが含まれていないかをスキャンすることで、データが最初にアップロードされた時間に関係なく、データの安全性を保つことができます。また、データを定期的にフルスキャンする必要がなくなります。

AWS にとって、セキュリティはジョブゼロ (最優先事項) です。AWS は、トレンドマイクロのような AWS セキュリティコンピテンシーパートナーと協力して、お客様がクラウドのセキュリティを強化できるよう支援します。日本における両社の取り組みは、共催ウェビナー情報やオンデマンドコンテンツを公開している特設サイトをご覧ください。

多くのお客様は、安全性の確保されていないクライアントアプリケーションによってデータが Amazon S3 にアップロードされる環境を保有しています。このようなお客様からは、データを最終的に利用する前に、マルウェアスキャンプロセスを実行したいといったご要望をいただきます。本ブログでは、トレンドマイクロの Trend Micro Cloud One – File Storage Security™ (以下、File Storage Security) が Amazon S3 Object Lambda を利用して、オブジェクトを取得し、アプリケーションにデータを返す前にマルウェアが含まれているかどうかを検出する方法を紹介します。File Storage Security は、S3 Object Lambda を利用することで、すべての読み取りで最新のマルウェアスキャンをリアルタイムで実行できるようになりました。これにより、悪意のあるマルウェアが Amazon S3 に書き込まれたタイミングでは検出できていなかったとしても、アプリケーションからの読み取りのタイミングでのリアルタイムスキャンによるマルウェア検出が可能となります。

トレンドマイクロとは

トレンドマイクロはサイバーセキュリティの世界的リーダーで、デジタル情報を安全に交換できる世界を目指し、活動しています。何十年にもわたるセキュリティの専門知識、グローバルでの脅威の研究、継続的なイノベーションに支えられたサイバーセキュリティプラットフォームは、クラウド、ネットワーク、デバイス、エンドポイント全体で数十万の組織と数百万の個人を保護しています。 トレンドマイクロのサイバーセキュリティプラットフォーム Trend Micro Cloud One は、AWS に最適化された強力で高度な脅威防御技術を提供します。

File Storage Security が Amazon S3 Object Lambda をどのように活用するか

File Storage Security は、Amazon S3 に格納される機密データを安全に保ち、すべてのファイルサイズと種類を保護するのに役立ちます。また、ファイルとデータをお客様の AWS アカウント内に保持する仕組みのため、データの損失を回避し、コンプライアンス準拠と規制リスクの軽減を可能にします。File Storage Security は、当初 Amazon S3 に書き込まれたオブジェクトをスキャンしてマルウェアを検出する機能をメインとして販売を開始しましたが、この度 S3 Object Lambda を利用することで、Amazon S3 から取得されるオブジェクトにもマルウェアスキャンを実施できるようになりました。S3 Object Lambda を利用すると、S3 GET リクエストに独自のコードを追加して、データをアプリケーションに返す前に処理することができます。S3 Object Lambda を利用すれば、データの派生コピーを作成して保存したり、高価なプロキシを実行したりする必要がなくなり、アプリケーションに変更を加えずに済みます。

S3 Object Lambda によって提供されるこの追加機能は、File Storage Security に重要な利点をもたらします。最大の利点は、オブジェクトが悪意のあるものだと判明する前に Amazon S3 に書き込まれた場合でも、すべての読み取りで最新のマルウェア対策機能を用いてオブジェクトをスキャンできることです。File Storage Security を組み込めば、定期的にすべてのデータのフルスキャンを実行しなくても、ユーザーがアプリケーションにアクセスすると、悪意のあるオブジェクトが自動的に検出されます。これにより、最新のセキュリティ保護が自動的に実行され、時間とリソースを節約できます。さらに、AWS Marketplace では、File Storage Security は検査されたファイルの数に基づく価格設定をしています。既存のすべてのオブジェクトを定期的にフルスキャンする方式と比べて、S3 Object Lambda を利用して Amazon S3 から取得したオブジェクトをスキャンする方式は、セキュリティ体制を改善しながら、File Storage Security の利用コストも削減できます。

この S3 Object Lambda を利用した新機能は、エンドユーザーがダウンロードできるドキュメントをホストする場合に有効です。 ユーザーが悪意のあるドキュメントをダウンロードしてしまった場合、組織の評判は傷つきかねませんが、この新機能を利用すれば、悪意のあるファイルのダウンロードをブロックすることができます。

「この新機能の導入は非常に簡単に始めることができます。File Storage Security で S3 Object Lambda を利用する検証は、1 日かからずに完了しました。また、既存のプラグインセットへの統合に関しても、その 1 日後には完了できました。」

– Mike Milner,トレンドマイクロ File Storage Security 製品責任者より

仕組みについて

File Storage Security のアーキテクチャは、AWS リソースを使用して構築され、図 1 に示すように、お客様の AWS アカウント内にデプロイされます。これにより、File Storage Security はお客様のニーズの変化に応じて拡張でき、AWS アカウント内のデータを安全に保つことができます。 既存の書き込みパスでは、新しいオブジェクトが Amazon S3 バケットにアップロードされると、AWS Lambda 関数をトリガーし、Amazon SQS メッセージが AWS アカウント内に生成されます。Lambda 関数はマルウェアスキャンを実行し、スキャン結果に応じてオブジェクトを悪意のあるもの、あるいはクリーンなものとしてタグ付けします。 プラグインを接続して追加のアクションを実行することもできます。例えば、ファイルが悪意のあるものとしてタグ付けされると、タグ付けされたオブジェクトをすぐに指定した隔離用 S3 バケットに移動できます。

Figure 1 - File Storage Security Flow Diagram

図 1 – File Storage Security フローダイアグラム

S3 Object Lambda を利用した方法では、図 2 に示すように、読み取りパスに同様のアーキテクチャを使用します。S3 Object Lambda エンドポイントを介してオブジェクトを読み取ると、Lambda 関数が呼び出されてオブジェクトをスキャンします。 書き込みパスと同じように、マルウェアが検出された場合は、File Storage Security がオブジェクトの取得を防ぎます。また、図 1 での紹介と同様に、カスタマイズ可能なプラグインをトリガーできます (つまり、悪意のあるオブジェクトを隔離用 S3 バケットに移動します)。プラグインを統合し、書き込みと読み取りの両方のアクションをスキャンすることで、マルウェアの監視を簡素化し、セキュリティ体制を改善できます。

Figure 2 - Upon read of the object through the S3 Object Lambda endpoint, a Lambda function is called to scan the object. (1)

図 2 – S3 Object Lambda エンドポイントを介してオブジェクトを読み取ると、Lambda 関数が呼び出されてオブジェクトをスキャン

結論

本ブログでは、トレンドマイクロの File Storage Security が Amazon S3 Object Lambda を利用し、オブジェクトが Amazon S3 から取得されるときにマルウェアスキャンを実行する方法と、潜在的なマルウェアリスクを検出、隔離、管理する方法を紹介しました。S3 Object Lambda により、File Storage Security は、オブジェクトが悪意のあるものだと判明する前に Amazon S3 に書き込まれた場合でも、すべての読み取りで最新のマルウェア対策保護を使用してリアルタイムスキャンを実行し、機密データを安全に保ちます。また、定期的なフルスキャンと比べて、時間と費用を節約することにつながります。

トレンドマイクロの File Storage Security は、AWS Marketplace から 30 日間の無料トライアルを利用できます。S3 Object Lambda は、AWS マネジメントコンソールAWS コマンドラインインターフェース (AWS CLI)、および AWS SDK で使用できます。S3 Object Lambda の詳細は、製品の詳細ページS3 ユーザーガイドのチュートリアル、および AWS ニュースのブログ記事を参照してください。

S3 Object Lambda とトレンドマイクロの File Storage Security に関する本ブログ記事を読んでいただき、ありがとうございました。コメントや質問がある場合は、こちらからよろしくお願いします。

翻訳は、トレンドマイクロ株式会社で Trend Micro Cloud One プロダクトマネージャーを務める小島 華佳氏、シニアエンジニア File Storage Security 担当を務める根本 恵理子氏と、アマゾン ウェブ サービス ジャパン合同会社で Partner SA を務める河原が協力して行いました。原文はこちらです。

Tetsuya Kawahara

Tetsuya Kawahara

Manager, Partner Solutions Architect, Amazon Web Services Japan G.K.