Trend Cloud One File Storage SecurityからTrend Vision One File Securityへ移行してみた
こんにちは、シマです。
皆さんはS3バケットのマルウェアスキャンにTrend Cloud One File Storage Security(以降C1FSS)を使っていますか?2025年8月28日、トレンドマイクロ社からC1FSSのEOLが発表されました。今回は、推奨されているTrend Vision One File Security(以降V1FSS)への移行を実際に試してみましたので、その手順と注意点を紹介します。
C1FSSのEOLスケジュール
サポート終了日は 2026年12月31日 となっています。
サポート終了まで約1年の猶予期間がありますが、早めの移行先検討が必要です。
移行先について
トレンドマイクロ社はV1FSSへの移行を推奨していますが、AWS GuardDuty Malware Protection for S3(以降GuardDuty S3)という選択肢もあります。スキャン頻度が少ない場合、コスト面やお手軽さでGuardDuty S3にメリットがあるケースも多いです。詳細は次のブログをご覧ください。
今回はトレンドマイクロ社の推奨に従い、V1FSSへの移行を進めます。
C1FSSとV1FSSは実装ロジックが異なるため、移行というより新規構築に近い作業になります。C1FSSのスキャン結果は引き継がれません。また、隔離バケットの構成等がそのまま実装できない可能性があります。V1FSSで実装可能な構成なのか事前に確認しておきましょう。
移行の前提条件
移行を始める前にTrend Vision Oneアカウントの作成が必要です。
AWS Marketplaceで、Creditsの購入または、従量課金への切替が必要です。
移行手順
1. V1FSSスタックの展開
まず、Trend Vision Oneコンソールにログインします。左側のメニューから「Cloud Security」→「Cloud Account」を選択し、「アカウントを追加」をクリックします。
そのまま「次へ」をクリックします。
「アカウント名」やリージョンを選択し、「次へ」をクリックします。
「すべての機能」から「File Security Storage」を有効にし、「デプロイメント」から対象リージョンにチェックを付けて、「次へ」をクリックします。
「スタックを起動」ボタンをクリックします。
対象のAWSアカウントへログインし、展開するCloudFormationのパラメータを設定していきます。
このパラメータでC1FSSの設計を反映させる必要があります。今回は、C1FSSで不正プログラム検出時に別のバケットへ隔離していたため、次のパラメータで実施しました。
FileSecurityStorageEnableQuarantine: true
FileSecurityStorageQuarantineBucket: 隔離用バケット名
既存のC1FSSとの競合を避けるために「SyncBucketsEventBridge」が「False」になっていることを確認します。
各パラメータの詳細はこちらのドキュメントで確認できます。
下部のチェックボックスにチェックを入れて、「スタックの作成」をクリックします。
スタック作成が正常に完了したことを確認し、Trend Vision Oneコンソールに戻り、「終了」ボタンをクリックします。
接続ステータスが「接続済み」になり、有効な機能に「File Storage Security」があることを確認します。
2. C1FSSの監視停止
AWS管理コンソールで対象S3バケットのプロパティからイベント通知を削除します。
切り戻しを考慮する場合は、編集画面でイベント通知のパラメータをメモしておきましょう。
3. V1FSSの監視開始
Vision Oneコンソールに戻り、「Cloud Security」→「File Security」から、「AWS」→「連携したAWSアカウント」を選択します。スキャン対象S3バケットにチェックを入れ、「スキャン設定」から「スキャンの変更」をクリックします。
「有効」に変更して「保存」をクリックします。
対象バケットのステータスが「検索していますオン」になっていることを確認します。
4. ライセンス設定
V1FSSを利用するためには、Creditsまたは従量課金の設定が必要です。
Creditsを利用する場合、次の手順で割り当てを行います。V1FSSの管理画面から「Credits & 従量課金制」右の歯車アイコンをクリックし、「File Security Storageにクレジットを割り当てる」を有効にします。想定されるスキャン数に応じてCreditsを割り当てます。バケット単位の料金プランを利用する場合は「バケットごとのCreditsの割り当て」に切り替えます。設定が完了したら「保存」ボタンをクリックします。
従量課金の場合は「Administration」→「Credits & Billing」→「従量課金」→「請求モデルを管理」から「File Security ストレージ」を従量課金に変更します。
バケット単位の料金プランで従量課金を利用する場合は、V1FSSの管理画面から「Credits & 従量課金制」右の歯車アイコンから料金タイプを切り替えます。
5. 動作確認
Eicarテストファイルをスキャン対象S3バケットにアップロードして動作確認を行いました。
問題なく隔離され、V1FSSコンソール側で検出できていることを確認しました。
7. C1FSSの設定削除
V1FSSで検出できたので、不要になったC1FSS側の設定を削除します。
C1FSSの管理コンソールから、対象のバケットを選択し、「Delete」ボタンをクリックします。
表示された「Stack Name」をメモしておき、「Delete」ボタンをクリックします。
AWS管理コンソールでCloudFormationの画面から、先ほどの「Stack Name」のスタックを削除します。
複数バケットを設定している場合は、すべてのバケット設定を削除してから、C1FSSの管理コンソールからScanner Stackを削除します。対象のScanner Stackを選択し、「Delete」ボタンをクリックします。
表示された「Stack Name」をメモしておき、「Delete」ボタンをクリックします。
AWS管理コンソールでCloudFormationの画面から、先ほどの「Stack Name」のスタックを削除します。
C1FSSで不正プログラム検出時に別のバケットへ隔離する方式を実装していた場合は、別途削除が必要です。
デフォルトでは「cloudone-filestorage-plugin-action-promote-or-quarantine」という名称なので、AWS管理コンソールでCloudFormationの画面から、対象スタックを削除します。
最後に
C1FSSからV1FSSへの移行手順を紹介しました。EOLまで約1年の猶予がありますが、早めに移行の検討を開始することをお勧めします。複数のトレンドマイクロ製品を使用している環境では、Vision Oneへの統合で管理の効率化やXDR機能の活用が進みます。実際の移行作業は慎重に計画を立てて実施し、十分なテストを行ってから本番環境に適用するようにしましょう。
本記事がどなたかのお役に立てれば幸いです。
