Ubuntu サーバー上で実行されている Web アプリケーションにアップロードされるファイルをウイルス スキャンするために ClamAV を使用する予定です。
ClamAV は専用サーバーにインストールされ、ファイルがアップロードされるときに、clamMD デーモン (Java ソケットを使用) を使用してバイトがスキャンされ、ウイルスがチェックされます。私の Web アプリケーション ユーザーのほとんどは Windows ベースなので、考えられるすべての Windows ベースのウイルスを予想しています。
私の質問は、このようなユースケース/セットアップで ClamAV を本番環境で使用したことがある人はいるかということです。
ClamAV はオープン ソースであるため、Windows ウイルスに関連するウイルス定義の更新が遅く、感染したファイルが通過してしまう可能性があると聞きました。
それとも、商用オプションを選択するのが最善でしょうか?もしそうなら、Linux にインストール可能なウイルススキャンエンジンを提供し、上記のセットアップにそれらのベンダーを使用したことがある信頼できるベンダーを誰か教えていただけますか?
答え1
私たちは、Linux の標準スキャナーとして clamav を使用しています。署名は 1 時間ごとに更新され、各 clamav サーバーはローカル インストール サーバーから署名の更新をポーリングします。
これはほぼ最後のセキュリティ ラインであり、十分に保護された環境にあるため、実際のウイルスに遭遇したことは一度もありません。ただし、clamav が機能することには疑いの余地はありません (EICAR でいくつかのテストを行いました)。
答え2
セットアップの技術的な実現可能性はさておき、ウイルス スキャナがマルウェアのないデータを確実に提供してくれるという考えは捨ててください。ウイルス スキャナは、最も目に見える既知のマルウェア パターンのみをスキャンします。したがって、スキャナは「煩わしさを軽減する機能」にすぎず、セキュリティ対策にはなりません。
とはいえ、ウイルス対策ソフトウェアの検出率に関するデータに興味がある場合は、このトピックについて書いているレビューア(特に PC 雑誌)がたくさんいます。av-comparatives.orgさまざまな状況でのスキャナーのパフォーマンスに関するデータを含むさまざまなレポートを提供します。