Deep Securityソフトウェアのアップデート

Deep Security Virtual ApplianceおよびFilter Driverに関する記述は、Deep Securityソフトウェア (「オンプレミス」) のインストール環境にのみ適用されます。

最大限の保護を実現するために、Deep Security AgentとDeep Security Virtual Applianceを常に最新の状態に保つようにしてください。コンピュータやVirtual ApplianceにインストールされているAgentソフトウェアをアップデートできます。また、Virtual Applianceソフトウェアもアップデートできます。

Deep Security Agentをアップグレードする前に、すべてのDeep Security Relayをアップグレードする必要があります。そうしないと、リレーのバージョンアップが失敗する可能性があります。失敗する.

LinuxプラットフォームでDeep Security Agentをアップグレードする前に、OSを確認してください。カーネル最新バージョンのエージェントでサポートされています。以下を参照してください。Deep Security AgentのLinuxカーネルサポート

ソフトウェアをアップデートする前に、アップデートの配布方法を設定する必要があります。ソフトウェアアップデートの配布方法を決定する を参照してください。

アップデートの実行方法を次に示します。

  1. Deep Security Managerが定期的にトレンドマイクロアップデートサーバに接続し、Deep Security Agent、Deep Security Virtual Appliance、Filter Driver、Deep Security Manager に使用できるアップデートがあるかどうかを確認します。

  2. [管理]→[アップデート]→[ソフトウェア] 画面の [トレンドマイクロのダウンロードセンター] セクションに、Deep Security Managerにインポート済みのソフトウェアに使用できるアップデートがあるかどうかが示されます。これらは最も重要と考えられるアップデートです。また、Deep Security Managerは、ソフトウェアアップデートが使用可能であることを知らせるアラートを生成します。

    Deep Security から通知されるのは、インポート済みのソフトウェアのマイナーバージョンに対するアップデートのみです。たとえば、バージョン9.5.100のAgentを使用していて、バージョン9.5.200のAgentがリリースされた場合、Deep Securityでは、使用可能なソフトウェアのアップデートがあると表示されます。ただし、その後バージョン9.6.xxx Agentがリリースされた場合に、それより前のバージョンの9.6 Agentがデータベースインベントリに存在しなければ、(9.5.100 Agentがあったとしても) 使用可能なアップデートがあるとは表示されません。

    また、[管理]→[アップデート]→[ソフトウェア]→[ダウンロードセンター] 画面には、使用可能なソフトウェアパッケージすべてを表示することもできます。

  3. 必要なソフトウェアアップデートをDeep Security Managerにインポートします。これは、手動または自動で行うことができます (Deep Security Managerにソフトウェアアップデートをインポートする を参照)。
  4. ソフトウェアアップデートは、RelayまたはWebサーバに複製されます。
  5. Agentをアップグレードします (アップグレードを開始するまたはアラートに従ってAgentをアップグレードするを参照。まれに、手動アップグレードが必要な場合があります。その場合はAgentを手動でアップグレードするを参照)。
  6. Virtual Applianceをアップデートします (Deep Security Virtual Applianceをアップデートするを参照)。

ソフトウェアアップデートの配布方法を決定する

Deep Securityのソフトウェアアップデートは、通常、Relay有効化済みAgentによってホストされ、配布されます。RelayではAgentをより迅速にアップデートしたり、インターネット接続やWAN帯域幅を節約したりできます。Relayの設定方法については、Relayの設定を参照してください。

また、すでにWebサーバがある場合は、Relay有効化済みAgentではなくWebサーバ経由でソフトウェアアップデートを提供できます。そのためには、Relay有効化済みAgentのソフトウェアリポジトリのミラーをWebサーバに作成する必要があります。独自のソフトウェア配布Webサーバの設定の詳細については、ソフトウェアアップデートを提供するWebサーバの設定を参照してください。

Deep Security Managerにソフトウェアアップデートをインポートする

[ローカルソフトウェア] 画面 ([管理]→[アップデート]→[ソフトウェア]→[ローカル]) には、Deep Securityにインポート済みのソフトウェアのリストが表示されます。

ネットワーク上のコンピュータがソフトウェアを使用できるようにするためには、トレンドマイクロのダウンロードセンターからDeep Securityにソフトウェアをインポートする必要があります。より新しいバージョンのAgentソフトウェアまたはApplianceソフトウェアがDeep Securityにインポートされると、コンピュータ上のソフトウェアが最新ではないことを示すアラートが表示されます。最新かどうかの確認は、ダウンロードセンターにあるアップデートとの比較ではなく、ローカルインベントリ内のアップデートと比較して行われます。ダウンロードセンターに新しいソフトウェアが見つかった場合は、別途アラートが表示されます。

インポートされたソフトウェアは、Deep Securityデータベースに格納されます。そして、定期的にRelay有効化済みAgentに複製されます。

ソフトウェアアップデートを手動でインポートする

ダウンロードセンターで利用可能になったソフトウェアアップデートは手動でインポートします。

Deep Security Virtual Applianceは、Red Hat Enterprise Linux (64ビット) 用Agentパッケージを使用します。Applianceと互換性のあるアップデートについては、Deep Security Virtual Applianceをアップデートするを参照してください。

  1. [管理]→[アップデート]→[ソフトウェア] の順に選択します。
  2. [トレンドマイクロのダウンロードセンター] セクションで、利用可能な新しいソフトウェアアップデートの有無を確認します。利用できる新しいアップデートがない場合は、「インポートされたソフトウェアはすべて最新です」と表示されます。
  3. アップデートが利用可能な場合は、[管理]→[アップデート]→[ソフトウェア]→[ダウンロードセンター] に移動し、必要なパッケージを選択して、[インポート] をクリックします。複数のパッケージを選択するには、<Shift> または <Ctrl> キーを押しながらパッケージをクリックします。
    パッケージがDeep Security Managerにダウンロードされると、[インポート済み] 列に緑色のチェックマークが表示されます。パッケージは [ローカルソフトウェア] 画面にも表示されます。
    パッケージを直接インポートできない場合、ポップアップ通知が表示されます。これらのパッケージについては、トレンドマイクロのダウンロードセンターWebサイトからローカルフォルダにダウンロードし、[管理]→[アップデート]→[ソフトウェア]→[ローカル] 画面で手動でインポートする必要があります。

ソフトウェアアップデートを自動的にインポートする

Deep Securityにインポート済みのソフトウェアに対するアップデートをすべて自動的にダウンロードするようにDeep Security Managerを設定できます。この機能を有効にするには、[管理]→[システム設定]→[アップデート] に移動し、[ローカルにダウンロードしたソフトウェアの最新版を自動的にダウンロードセンターから取得] を選択します。

ソフトウェアはDeep Securityにダウンロードされますが、AgentまたはApplianceソフトウェアが自動的にアップデートされるわけではありません。

Deep Securityデータベースからソフトウェアパッケージを削除する

Deep Securityデータベースには、管理下のコンピュータに現在インストールされているすべてのソフトウェアのコピーが格納されている必要があります。コンピュータでDeep Security Agentを初めて有効化する際には、適用されているセキュリティポリシーで「オン」になっている保護モジュールだけがそのコンピュータにインストールされます。ある保護モジュールを後から有効にした場合、データベース内のAgentソフトウェアパッケージから新しいセキュリティモジュール用のプラグインがコンピュータにインストールされます。該当するソフトウェアが見つからなかった場合、セキュリティモジュールプラグインはインストールされません。

容量を節約するために、使われていないパッケージはDeep Securityのデータベースから定期的に削除されます。削除できるパッケージは次のとおりです。Agentパッケージとカーネルサポートパッケージの2種類です。

Deep Security Virtual Applianceは、64ビット版のRed Hat Enterprise Linux用Agentソフトウェアパッケージに含まれる保護モジュールプラグインを使用します。Deep Security Virtual Applianceが有効化されている場合に、64ビット版のRed Hat Enterprise Linux用Agentを削除しようとすると、ソフトウェアが使用中であるというエラーメッセージが表示されます。

シングルテナントモードでAgentパッケージを削除する

シングルテナントモードでは、現在Agentによって使用されていないAgentパッケージ (Agent-<プラットフォーム>-<バージョン番号>.zip) が自動的に削除されます。データベースに保管する古いソフトウェアパッケージの個数は、[システム設定]→[ストレージ] タブで設定できます。また、使われていないAgentパッケージを手動で削除することもできます。削除しようとしたソフトウェアが管理下のコンピュータのいずれかで使用されている場合、警告が表示され、そのソフトウェアは削除できません。

Windows版とLinux版のAgentパッケージについては、使用中のパッケージ (Agent インストーラと同じバージョンのパッケージ) のみ削除できません。

マルチテナントモードでAgentパッケージを削除する

マルチテナントモードでは、使用されていないAgentパッケージ (Agent-<プラットフォーム>-<バージョン番号>.zip) が自動的に削除されることはありません。プライバシー上の理由から、Deep Securityのデータベースにあるソフトウェアリポジトリをテナントと共有している場合でも、ソフトウェアが現在テナントによって使用されているかどうかをDeep Securityで確認することはできません。プライマリテナントであるDeep Securityでは、現在アカウント内のどのコンピュータでも実行されていないソフトウェアを削除することが可能ですが、そのソフトウェアを使用しているテナントがないことを削除する前に必ず確認してください。

カーネルサポートパッケージを削除する

シングルテナントモードとマルチテナントモードのどちらの場合でも、Deep Securityは、使用されていないカーネルサポートパッケージ (KernelSupport-<プラットフォーム>-<バージョン番号>.zip) を自動的に削除します。データベースに保管する古いパッケージの個数は、[システム設定]→[ストレージ] タブで設定できます。カーネルサポートパッケージは、次の条件を両方満たす場合に削除できます。

  • グループIDが同じAgentパッケージがない。
  • 同じグループIDでビルド番号がより新しいカーネルサポートパッケージが別にある。

また、使用されていないカーネルサポートパッケージを手動で削除することもできます。

Linux版のカーネルサポートパッケージについては、削除できないのは最新版のパッケージのみです。

アラートに従ってAgentをアップグレードする

新しいAgentが使用可能になると、[アラート] 画面に次のアラートが表示されます。

  1. アラートで [詳細の表示] をクリックし、[旧版のコンピュータをすべて表示] リンクをクリックします。
    [コンピュータ] 画面が開き、[ソフトウェアアップデートステータス][旧版] であるすべてのコンピュータが表示されます。
  2. 次の手順に従ってAgentのアップグレードを開始します。

アップグレードを開始する

アップグレードはサーバの負荷が低いときに実行することをお勧めします。

[管理]→[アップデート]→[ソフトウェア] 画面の [コンピュータ] セクションには、コンピュータまたはVirtual Applianceがアップデートを利用できるAgentを実行しているかどうかが示されます。確認は、ダウンロードセンターにあるソフトウェアではなく、Deep Securityにインポート済みのソフトウェアと比較して行われます。最新ではないコンピュータがある場合は、次のいずれかの方法でアップグレードしてください。

  • 最新ではないコンピュータすべてをアップグレードするには、[Agent/Applianceソフトウェアのアップグレード] ボタンをクリックします。
  • 特定のAgentコンピュータまたはApplianceイメージをアップグレードするには、[コンピュータ] 画面に移動し、アップグレードするコンピュータを選択して、[処理]→[Agentソフトウェアのアップグレード] の順にクリックします。[Agentバージョン] の選択を求められます。初期設定の [プラットフォーム用の最新バージョンを使用 (X.Y.Z.NNNN)] を選択することをお勧めします。必要に応じて、[今すぐアップグレード] または [アップグレードにスケジュールを使用] を選択し、アップグレードを実行する期間を指定します。スケジュールの使用を選択すると、ManagerはAgentを指定のバージョンに1回アップグレードします。それ以降のバージョンへのAgentのアップグレードは行われません。
Windowsプラットフォームで不正プログラム対策を使用している場合、アップグレードを完了するには、コンピュータの再起動が必要になることがあります。その場合、「再起動が必要」アラートが生成されます。このアラートは、再起動の完了後に手動で消去する必要があります。「Agentソフトウェアのアップグレード完了」イベントまたは「Virtual Applianceのアップグレード完了」イベントをチェックして、再起動が必要かどうかを確認することもできます。不正プログラム対策を使用している場合、再起動が可能なメンテナンス期間中にアップグレードを計画してください。
コンピュータでVirtual Applianceを有効化すると、Red Hat Agentが [Virtual Appliance配信] オプションで指定されたバージョンにアップグレードされます (新しく有効化されたVirtual ApplianceのAgentを選択するを参照)。最新のRed Hat Agentを削除するためには、最初にすべてのVirtual Applianceソフトウェアパッケージを削除する必要があります。古いバージョンのRed Hat Agentは、使用されていなければ削除できます。

新しく有効化されたVirtual ApplianceのAgentを選択する

Deep Security Virtual Applianceは、64ビット版Red Hat Enterprise LinuxのAgentから保護モジュールプラグインのソフトウェアパッケージを使用します。[Virtual Appliance配信] オプションを使用すると、新しく有効化されたVirtual Applianceに配信されるRed Hat Enterprise Linux Agentソフトウェアのバージョンを選択できます。

初期設定項目の [利用可能な最新バージョン (推奨)] が選択されている場合、使用されるソフトウェアは、インポートされたApplianceソフトウェアの最新バージョンと互換性がある最新バージョンのインポート済みAgentソフトウェアとなります。

インポート済みのApplianceより前のバージョンのAgentソフトウェアはリストに表示されません。

Agentを手動でアップグレードする

オンプレミスのDeep Securityソフトウェアのインストール環境のみに該当します。

Deep Security ManagerのコンピュータとAgentのコンピュータの間に接続の制限があるために、ManagerからAgentソフトウェアをアップグレードできない場合があります。そのような場合は、コンピュータ上のAgentソフトウェアのアップグレードを手動で実行する必要があります。

初めに、新しいAgentソフトウェアを入手する必要があります。トレンドマイクロダウンロードセンターにアクセスしてAgentソフトウェアパッケージをダウンロードするか、この手順で説明するように、Deep Security ManagerからAgentソフトウェアパッケージをダウンロードしてエクスポートします。

  1. Deep Security Managerで、[管理]→[アップデート]→[ソフトウェアアップデート] に進みます。
  2. トレンドマイクロのダウンロードセンターから最新のDeep Security AgentをダウンロードしてDeep Security Managerにインポート済みであることを確認します。
  3. [ソフトウェアアップデート] タブで、[インポートされたソフトウェアの表示] をクリックします。
  4. 必要なAgentソフトウェアを選択し、メニューバーの [エクスポート] をクリックします。
  5. Agentソフトウェアのエクスポート先を指定します。

次にインストーラを実行する必要があります。この操作を実行する方法は、次のようにOSによって異なります。

Windows

  1. Agentセルフプロテクションを無効にします。この操作を行うには、Deep Security Managerで、コンピュータエディタClosed コンピュータエディタを開くには、[コンピュータ] 画面に移動し、編集するコンピュータをダブルクリック (またはコンピュータを選択して [詳細] をクリック) します。の [設定]→[一般] に移動します。[Agentセルフプロテクション] で、[ローカルのエンドユーザによるAgentのアンインストール、停止、または変更を拒否] の設定をオフにするか、ローカルでオーバーライドするためのパスワードを入力します。
  2. Agentのインストーラをコンピュータにコピーします。
  3. Agentのインストーラを実行します。以前のAgentが検出され、アップグレードが実行されます。

Linux

  1. Agentのインストーラをコンピュータにコピーします。
  2. 次のコマンドを実行します。

    rpm -U <新しいAgentのインストーラのrpm>

(「-U」引数は、インストーラでアップグレードを実行するように設定します。)

Solaris

  1. Agentのインストーラをコンピュータにコピーします。
  2. gunzipを使用してパッケージを解凍します。
  3. 次のコマンドを実行します。
    pkgadd -v -a /opt/ds_agent/ds_agent.admin -d <新しいAgentのパッケージ>

Deep Security Virtual Applianceをアップデートする

オンプレミスのDeep Securityソフトウェアのインストール環境のみに該当します。

トレンドマイクロは、Applianceの仮想マシンのOSにある新しい脆弱性から保護するため、Deep Security Virtual Applianceのアップデートを提供します。

Applianceのインストールに関する情報が必要な場合は、NSX AdvancedまたはEnterpriseへのDeep Security Virtual Applianceのインストールを参照してください。

Applianceをアップデートするには、Deep Security Virtual Applianceのアップグレードを参照してください。