Trend Cloud One File Storage SecurityからTrend Vision One File Securityへ移行してみた
こんにちは、シマです。
皆さんはS3バケットのマルウェアスキャンにTrend Cloud One File Storage Security(以降C1FSS)を使っていますか?2025年8月28日、トレンドマイクロ社からC1FSSのEOLが発表されました。今回は、推奨されているTrendAI Vision One File Security(以降V1FSS)への移行を実際に試してみましたので、その手順と注意点を紹介します。
C1FSSのEOLスケジュール
サポート終了日は 2026年12月31日 となっています。
サポート終了まで残り僅かなので、早めの移行先検討が必要です。
移行先について
トレンドマイクロ社はV1FSSへの移行を推奨していますが、Amazon GuardDuty Malware Protection for S3(以降GuardDuty S3)という選択肢もあります。スキャン頻度が少ない場合、コスト面やお手軽さでGuardDuty S3にメリットがあるケースも多いです。詳細は次のブログをご覧ください。
今回はトレンドマイクロ社の推奨に従い、V1FSSへの移行を進めます。
C1FSSとV1FSSは実装ロジックが異なるため、移行というより新規構築に近い作業になります。C1FSSのスキャン結果は引き継がれません。また、隔離バケットの構成等がそのまま実装できない可能性があります。V1FSSで実装可能な構成なのか事前に確認しておきましょう。
移行の前提条件
AWS Marketplace経由でVision Oneを契約する場合は、PAYG版とCredits版の契約が存在しますが、今回はおすすめのPAYG版を利用していきます。
AWS Marketplace経由での契約やVision Oneアカウントの準備は、以下のブログ記事で実施済みの前提です。
移行手順
1. V1FSSスタックの展開
まず、Vision Oneコンソールにログインします。左側のメニューから「Cloud Security」→「Cloud Account」を選択し、「アカウントを追加」をクリックします。
そのまま「次へ」をクリックします。
「アカウント名」やリージョンを選択し、「次へ」をクリックします。
「すべての機能」から「File Security Storage」を有効にし、「デプロイメント」から対象リージョンにチェックを付けて、「次へ」をクリックします。
「スタックを起動」ボタンをクリックします。
対象のAWSアカウントへログインし、展開するCloudFormationのパラメータを設定していきます。
このパラメータでC1FSSの設計を反映させる必要があります。今回は、C1FSSで不正プログラム検出時に別のバケットへ隔離していたため、次のパラメータで実施しました。
FileSecurityStorageEnableQuarantine: true
FileSecurityStorageQuarantineBucket: 隔離用バケット名
既存のC1FSSとの競合を避けるために「SyncBucketsEventBridge」が「False」になっていることを確認します。
各パラメータの詳細はこちらのドキュメントで確認できます。
下部のチェックボックスにチェックを入れて、「スタックの作成」をクリックします。
スタック作成が正常に完了したことを確認し、Vision Oneコンソールに戻り、「終了」ボタンをクリックします。
接続ステータスが「接続済み」になり、有効な機能に「File Security Storage」があることを確認します。
2. C1FSSの監視停止
AWS管理コンソールで対象S3バケットのプロパティからイベント通知を削除します。
切り戻しを考慮する場合は、編集画面でイベント通知のパラメータをメモしておきましょう。
3. V1FSSの監視開始
Vision Oneコンソールに戻り、「Cloud Security」→「File Security」から、「AWS」→「連携したAWSアカウント」を選択します。スキャン対象S3バケットにチェックを入れ、「スキャン設定」から「スキャンの変更」をクリックします。
「有効」に変更して「保存」をクリックします。
対象バケットのステータスが「検索していますオン」になっていることを確認します。
4. ライセンス設定
V1FSSを利用するためには、Creditsまたは従量課金の設定が必要です。
今回はPAYG版で従量課金を利用する想定のため、前提条件記載の手順で既に実施済みかと思いますが念のため確認を行います。
Vision Oneコンソールへログインし、左ペインから「TrendAI™ Flex Licensing」→「Platform Usage and Credits」を選択します。「使用管理」タブをクリックし、「使用状況の詳細」セクション内で、File Security Storageの課金モデルが「Pay-as-you-go」になっていることを確認します。
もし、バケット単位の料金プランで従量課金を利用する場合は、V1FSSの管理画面から「使用状況を管理する」で料金タイプを切り替えます。通常はスキャン単位の料金プランで利用されるケースの方が多いと思うので、そのままで問題ありません。
5. 動作確認
Eicarテストファイルをスキャン対象S3バケットにアップロードして動作確認を行いました。
問題なく隔離され、V1FSSコンソール側で検出できていることを確認しました。
6. C1FSSの設定削除
V1FSSで検出できたので、不要になったC1FSS側の設定を削除します。
C1FSSの管理コンソールから、対象のバケットを選択し、「Delete」ボタンをクリックします。
表示された「Stack Name」をメモしておき、「Delete」ボタンをクリックします。
AWS管理コンソールでCloudFormationの画面から、先ほどの「Stack Name」のスタックを削除します。
複数バケットを設定している場合は、すべてのバケット設定を削除してから、C1FSSの管理コンソールからScanner Stackを削除します。対象のScanner Stackを選択し、「Delete」ボタンをクリックします。
表示された「Stack Name」をメモしておき、「Delete」ボタンをクリックします。
AWS管理コンソールでCloudFormationの画面から、先ほどの「Stack Name」のスタックを削除します。
C1FSSで不正プログラム検出時に別のバケットへ隔離する方式を実装していた場合は、別途削除が必要です。
デフォルトでは「cloudone-filestorage-plugin-action-promote-or-quarantine」という名称なので、AWS管理コンソールでCloudFormationの画面から、対象スタックを削除します。
最後に
C1FSSからV1FSSへの移行手順を紹介しました。そろそろ期限が近づいてきましたので、早めに移行の検討を開始することをお勧めします。複数のトレンドマイクロ製品を使用している環境では、Vision Oneへの統合で管理の効率化やXDR機能の活用が進みます。実際の移行作業は慎重に計画を立てて実施し、十分なテストを行ってから本番環境に適用するようにしましょう。
本記事がどなたかのお役に立てれば幸いです。
