質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
AWS(Amazon Web Services)

Amazon Web Services (AWS)は、仮想空間を機軸とした、クラスター状のコンピュータ・ネットワーク・データベース・ストーレッジ・サポートツールをAWSというインフラから提供する商用サービスです。

Q&A

解決済

4回答

1252閲覧

ファイルサーバーにおけるウィルススキャン機能の必要性とデメリット

h_daido

総合スコア824

AWS(Amazon Web Services)

Amazon Web Services (AWS)は、仮想空間を機軸とした、クラスター状のコンピュータ・ネットワーク・データベース・ストーレッジ・サポートツールをAWSというインフラから提供する商用サービスです。

0グッド

2クリップ

投稿2018/02/06 09:04

いつもお世話になっております。

チームで使うコラボレーションツールのようなサービスを作成しているのですが、その中でファイルアップロードの機能があります。S3に対してアップロードしています。
そして、一部のユーザーから「ファイルに対するウィルススキャン機能の実装はあるか」といった問い合わせがありました。

チームメンバーになるためには承認が必要な点などもあり、スパムが入ってくるメールサービスほどウィルススキャンの必要性は感じなかったのですが、実装しない場合どのようなリスクがあるのでしょうか?また一般的には必要と判断することが多いのでしょうか?

また、おそらく実装するとなると、lambdaをかませたりすると思うのですが、ファイルアップロードのパフォーマンスも下がるし、利用料もあがるなと考えているのですが、その他デメリットはあるのでしょうか?

実装しない場合のリスクとこのデメリットを比べて判断したいため、アドバイスいただけると幸いです。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答4

0

ベストアンサー

逆のリスクも考えておかなければ駄目ですよね。

ウィルススキャンソフトには誤検出の問題もついて回ります。「登録したデータが誤検出により廃棄された」と言う事態は「ユーザーの誤りにより登録されたウィルスが検出されなかった」と言う事態よりも重くなる場合があります。

また情報漏洩抑止のためにデータを暗号化していた場合、復号しないとウィルスを検出できません。復号処理に伴う負荷の増大や、復号の為に暗号鍵をオンラインで保管することになります。データを漏洩させるリスクは、むしろ上がってしまう事になります。

投稿2018/02/07 15:26

Kunihiro_Narita

総合スコア472

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

h_daido

2018/02/08 01:11

ご回答ありがとうございます。 たしかにそこまでは考えていませんでした。。セキュリティソフトがどこまで進化しても誤検出はゼロにはできませんしね。 暗号鍵が漏れたらそれこそシャレになりませんね。
Kunihiro_Narita

2018/02/08 01:22

Google Driveのように「ユーザーがファイルをダウンロードしたときにウィルスのチェックを行い、ウィルスが検出された場合には警告を表示し、ダウンロードを継続するか判断を求める」と言うのが現実的な実装と思います。
guest

0

実装した場合のサービス提供者目線のメリット
・対顧客でウイルスチェック機能を実装していますと言える
・ウイルス拡散の媒介となってしまうリスクを下げる

実装した場合のサービス提供者目線のデメリット
・コスト(実装/コンピューティング/運用等々)がかかる

投稿2018/02/06 11:21

YouheiSakurai

総合スコア6142

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

h_daido

2018/02/07 01:00

ご回答ありがとうございます。対顧客のところは確かにおおきいですね。なんですが、大手でも気にするところはごく一部という現状もあり悩ましいです。。。情報セキュリティ監査室などがあり、監査要件として定めていたりしないと気にする人がほぼいないというのがユーザーヒアリングをした感想です。ビジネス的にそこをどう判断するか?といったかんじでしょうか。
YouheiSakurai

2018/02/07 02:38

そうですね。ビジネス的にどこを攻めるか、どこを攻めないか、によって方向性が変わりそうですね。極端に舵取りすればISOとかも取って、「日本で開発運用している高セキュリティサービス」というプロモートでも良いかもしれません。ただし諸刃の剣にもなり得るので、「用法用量を守って正しくお使いください」ですね。
guest

0

いつ感染するのかを考えれば、ファイルサーバ側に必要かどうか判定つくかと思います。
S3にファイルを置いただけでは、感染するものがない(実行出来ない)ので、ファイルサーバ自体の健全性は保たれています。
危険が及ぶのは、ダウンロードした時なので、そういった意味では、クライアント側にセキュリティソフトを入れることが順当かと思います。

投稿2018/02/15 00:24

hagitro

総合スコア21

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

h_daido

2018/02/15 05:46

ご回答ありがとうございます。僕も同じ考えなんですよね。 ユーザー側管理者の考えとしては、セキュリティソフトが入っているのは前提として、セカンダリーな位置付けで欲しているのでは?とも思います。 情報セキュリティ室がそこまで考えず、セキュリティ要件として定めている...。というケースもあるかもですが。
guest

0

直接の回答ではありません。

たとえば、顧客データの流出による信用の失墜とセキュリティソフトの費用やセキュリティソフトが動作するするための負荷の大きさをどう判断するか?
最近の笑える話題としては、コインチェック みたいに警告を無視して580億円分盗まれた会社にこれから投資をしようと考える人がいるか?

投稿2018/02/06 09:19

Orlofsky

総合スコア16415

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

h_daido

2018/02/07 01:07

ご回答ありがとうございます。 コインチェックの件と当件で言えば、少し質が違うかなとは思います。 マルチシグやハードウェアウォレット対応をしていないのは、サービスプロバイダー側の過失であるのに対し、ウィルススキャンに関してはサービス利用者のミスをカバーするといったスタンスなのではと考えています。 例えば、"認証が必要なリクエストにSSLを利用しない"であれば前者のパターンかと思いますが、当件はそこまでの必要性ではないと思わないので、実装するかのバランス感に非常になやんでおります。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問