質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

87.34%

ファイルサーバーにおけるウィルススキャン機能の必要性とデメリット

解決済

回答 4

投稿

  • 評価
  • クリップ 2
  • VIEW 5,821

score 812

いつもお世話になっております。

チームで使うコラボレーションツールのようなサービスを作成しているのですが、その中でファイルアップロードの機能があります。S3に対してアップロードしています。
そして、一部のユーザーから「ファイルに対するウィルススキャン機能の実装はあるか」といった問い合わせがありました。

チームメンバーになるためには承認が必要な点などもあり、スパムが入ってくるメールサービスほどウィルススキャンの必要性は感じなかったのですが、実装しない場合どのようなリスクがあるのでしょうか?また一般的には必要と判断することが多いのでしょうか?

また、おそらく実装するとなると、lambdaをかませたりすると思うのですが、ファイルアップロードのパフォーマンスも下がるし、利用料もあがるなと考えているのですが、その他デメリットはあるのでしょうか?

実装しない場合のリスクとこのデメリットを比べて判断したいため、アドバイスいただけると幸いです。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 過去に投稿した質問と同じ内容の質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 4

checkベストアンサー

+5

逆のリスクも考えておかなければ駄目ですよね。

ウィルススキャンソフトには誤検出の問題もついて回ります。「登録したデータが誤検出により廃棄された」と言う事態は「ユーザーの誤りにより登録されたウィルスが検出されなかった」と言う事態よりも重くなる場合があります。

また情報漏洩抑止のためにデータを暗号化していた場合、復号しないとウィルスを検出できません。復号処理に伴う負荷の増大や、復号の為に暗号鍵をオンラインで保管することになります。データを漏洩させるリスクは、むしろ上がってしまう事になります。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2018/02/08 10:11

    ご回答ありがとうございます。
    たしかにそこまでは考えていませんでした。。セキュリティソフトがどこまで進化しても誤検出はゼロにはできませんしね。
    暗号鍵が漏れたらそれこそシャレになりませんね。

    キャンセル

  • 2018/02/08 10:22

    Google Driveのように「ユーザーがファイルをダウンロードしたときにウィルスのチェックを行い、ウィルスが検出された場合には警告を表示し、ダウンロードを継続するか判断を求める」と言うのが現実的な実装と思います。

    キャンセル

+1

実装した場合のサービス提供者目線のメリット
・対顧客でウイルスチェック機能を実装していますと言える
・ウイルス拡散の媒介となってしまうリスクを下げる

実装した場合のサービス提供者目線のデメリット
・コスト(実装/コンピューティング/運用等々)がかかる

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2018/02/07 10:00

    ご回答ありがとうございます。対顧客のところは確かにおおきいですね。なんですが、大手でも気にするところはごく一部という現状もあり悩ましいです。。。情報セキュリティ監査室などがあり、監査要件として定めていたりしないと気にする人がほぼいないというのがユーザーヒアリングをした感想です。ビジネス的にそこをどう判断するか?といったかんじでしょうか。

    キャンセル

  • 2018/02/07 11:38

    そうですね。ビジネス的にどこを攻めるか、どこを攻めないか、によって方向性が変わりそうですね。極端に舵取りすればISOとかも取って、「日本で開発運用している高セキュリティサービス」というプロモートでも良いかもしれません。ただし諸刃の剣にもなり得るので、「用法用量を守って正しくお使いください」ですね。

    キャンセル

0

いつ感染するのかを考えれば、ファイルサーバ側に必要かどうか判定つくかと思います。
S3にファイルを置いただけでは、感染するものがない(実行出来ない)ので、ファイルサーバ自体の健全性は保たれています。
危険が及ぶのは、ダウンロードした時なので、そういった意味では、クライアント側にセキュリティソフトを入れることが順当かと思います。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2018/02/15 14:46

    ご回答ありがとうございます。僕も同じ考えなんですよね。
    ユーザー側管理者の考えとしては、セキュリティソフトが入っているのは前提として、セカンダリーな位置付けで欲しているのでは?とも思います。
    情報セキュリティ室がそこまで考えず、セキュリティ要件として定めている...。というケースもあるかもですが。

    キャンセル

-1

直接の回答ではありません。

たとえば、顧客データの流出による信用の失墜とセキュリティソフトの費用やセキュリティソフトが動作するするための負荷の大きさをどう判断するか?
最近の笑える話題としては、コインチェック みたいに警告を無視して580億円分盗まれた会社にこれから投資をしようと考える人がいるか?

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2018/02/07 10:07

    ご回答ありがとうございます。
    コインチェックの件と当件で言えば、少し質が違うかなとは思います。

    マルチシグやハードウェアウォレット対応をしていないのは、サービスプロバイダー側の過失であるのに対し、ウィルススキャンに関してはサービス利用者のミスをカバーするといったスタンスなのではと考えています。
    例えば、"認証が必要なリクエストにSSLを利用しない"であれば前者のパターンかと思いますが、当件はそこまでの必要性ではないと思わないので、実装するかのバランス感に非常になやんでおります。

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 87.34%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

同じタグがついた質問を見る