Cloud One Workload Security 不正プログラム対策機能をAmazon EFSマウントポイントでも動作させてみた

2025.09.10

 はじめにCloud One Workload Securityの不正プログラム対策は、マルウェアなどの不正なプログラムからワークロードを保護するためのモジュールです。
この機能では、ストレージ内のファイルをスキャンし、脅威が検知された場合に隔離・削除することが可能です。また、不正なプログラムのパターンデータを更新することで、常に最新の脅威に対応できます。
検索方法にはリアルタイム検索があり、ディスクへの読み取り・書き込み時に該当ファイルをスキャンします。
本記事では、Cloud One Workload Securityの不正プログラム対策機能を、Amazon EFSマウントポイントでも機能させる方法を紹介します。
 背景Cloud One Workload Securityの不正プログラム対策機能をAmazon EC2インスタンス（Amazon Linux 2023）に導入し、EICARテストファイルをダウンロードしたところ、リアルタイムで隔離・削除されることを確認しました。
ローカルストレージでの動作を確認できたため、次にAmazon EFSファイルシステムでも同様に動作するか検証してみました。
以下の記事を参考に、EC2インスタンスにAmazon EFSファイルシステムをマウントしました（マウントポイントは/ABC）。
https://dev.classmethod.jp/articles/ec2-amazon-linux-2023-efs-mount-setup/
しかし、マウントポイント/ABC配下にEICARテストファイルをダウンロードしても、隔離されませんでした。
この現象について調査したところ、設定変更により解決できることが分かりましたので、紹介します。
 EFSマウントポイントで不正プログラム対策が機能しない理由Cloud One Workload Securityの不正プログラム対策機能は、デフォルトではローカルディスクのファイルシステムを監視対象とします。Amazon EFSは以下の理由により、標準設定では監視対象外となります。
1. ネットワークファイルシステムの扱い
EFSはNFS（Network File System）プロトコルを使用するネットワークベースのストレージサービス
デフォルト設定では、ネットワーク共有およびネットワークドライブは検索対象外
2. リアルタイム検索の対象範囲
デフォルトのリアルタイム検索設定では、ローカルファイルシステムのみが対象
マウントされたネットワークストレージは、明示的に有効化されない限り除外される
 解決方法：ネットワークディレクトリ検索の有効化「ネットワークディレクトリ検索を有効にする」設定により、以下が可能になります。
1. 監視対象の拡張
ローカルファイルシステムに加えて、ネットワーク共有やマウントされたネットワークドライブも監視対象に含める
EFSマウントポイントが、ネットワークドライブとして認識され、スキャン対象となる
2. リアルタイム検索の適用
ファイルの読み取り・書き込み時に、ネットワークドライブ上のファイルもスキャンされる
NFSプロトコル経由でアクセスされるEFSファイルも、不正プログラム検索の対象となる
https://docs.trendmicro.com/ja-jp/documentation/article/trend-micro-cloud-one-workload-security-anti-malware-scan-configure
 前提条件以下の記事を参考に、EC2インスタンスに対して/ABCディレクトリを作成し、EFSをマウント済み
https://dev.classmethod.jp/articles/ec2-amazon-linux-2023-efs-mount-setup/
Cloud One Workload Securityポリシーでは、以下の設定を適用済み
https://dev.classmethod.jp/articles/slug-JQxerCPzQZXI/
 設定手順EC2インスタンスに適用しているポリシーを選択します

不正プログラム対策設定の一般タブから「リアルタイム検索」の「不正プログラム検索設定:Default Real-Time Scan Configuration」を編集

「詳細」タブの「ネットワークディレクトリ検索を有効にする」を有効化し、適用する

これで設定は完了です。
 動作確認EICARテストファイルをEFSマウントポイントにダウンロードしたところ、すぐに隔離されました。
EC2インスタンスに接続し、コマンド実行

					
			sh-5.2$ pwd
/ABC
sh-5.2$ sudo curl https://secure.eicar.org/eicar.com -o eicar.com
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100    68  100    68    0     0     92      0 --:--:-- --:--:-- --:--:--    92
sh-5.2$ ls

		
		
不正プログラム対策イベントでもイベント内容が確認できました。
 まとめCloud One Workload Securityの不正プログラム対策機能は、デフォルトではローカルファイルシステムのみを監視対象とするため、Amazon EFSのようなネットワークファイルシステムでは動作しません。
「ネットワークディレクトリ検索を有効にする」設定により、ネットワーク共有やマウントドライブも監視対象に含めることで、EFSマウントポイントでも不正プログラム対策機能を利用できるようになります。
 参考https://dev.classmethod.jp/articles/c1ws-features-overview/