アプリケーションコントロールルールセットの表示

Deep Security 10で導入された新機能です。

最初にDeep Security Agentでコンピュータのファイルシステムにインストールされているソフトウェアが検索された時点では、アプリケーションコントロールのルールセットにはこのソフトウェアインベントリのみが含まれます (APIを使用して共有ルールセットを作成した場合は、Deep Security Managerでこのインベントリを確認できます)。後からDeep Security Managerを使用して次のルールを追加できます。

  • 特定の新しいソフトウェアを拒否するブロックルール
  • 新しいソフトウェアまたはアップデートされたソフトウェアを許可するルール

つまり、最終的にルールセットには初期インベントリだけでなくその他のルールが含まれることになります。

アプリケーションコントロールルールセットのリストを表示するには、[ポリシー]→[ルール]→[アプリケーションコントロールルールセット] の順に選択します。

アプリケーションコントロールルールセット

アプリケーション制御ルールセットを表示するには、ルールセットの個々の許可ルールとブロックルールを編集するには、ルールセットをダブルクリックします。

「ローカル」ルールセットは、ルールセットのインベントリを各コンピュータにローカルに格納します。これには、メンテナンスモード中のインベントリへの追加も含まれます。インベントリはAgentからリモートのDeep Security Managerに送信されないため、すべてのデータが送信される「共有」ルールセットに比べてパフォーマンスは高くなります。ただし、Deep Security Managerはローカルインベントリのデータを取得しないため、完全なローカルルールセットを表示できません。表示されるのは、Managerから追加した許可ルールおよびブロックルールのみです。

ソフトウェアを許可またはブロックするにつれて、アプリケーションコントロールに追加されるルールの数が増えていきます。

ソフトウェアをダウングレードする可能性がある場合や、共有ルールセットを適用しているサーバファームにアップグレードが完了していないコンピュータが含まれている場合 (つまり一部のコンピュータで古いルールがまだ必要な場合) は、古いルールを残しておきます。

ただし、ルールが不要になった場合は、それらを削除することでルールセットのサイズを削減することができます。これにより、メモリやCPUの使用が減ってパフォーマンスが向上し、また共有ルールセットの場合は新しいコンピュータを配信する際のダウンロード時間も短縮されます。個々のアプリケーションコントロールルールを削除するを参照してください。

アプリケーションコントロールルールセットを削除する

使用していないアプリケーションコントロールルールセットは、削除できます。

アプリケーションコントロールルールセットを削除すると、その分のディスク容量が解放されます。これは、大きな共有ルールセットを複数配信しているDeep Security Relayの場合、特にシステムリソースの使用量を削減する効果があります。

ルールセットを削除するには、[ポリシー]→[ルール]→[アプリケーションコントロールルールセット] の順に選択し、ルールセットをクリックして選択してから [削除] をクリックします。

個々のアプリケーションコントロールルールを削除する

作成したルールを取り消す場合は、[ポリシー]→[ルール]→[アプリケーションコントロールルールセット] の順に選択し、削除するルールを含むルールセットをダブルクリックして、[削除] をクリックします。

ソフトウェアの認証を取り消す場合は、そのソフトウェアの許可ルールおよびブロックルールも削除します。承認されていないソフトウェアに対する処理として [承認されていないソフトウェアを明示的に許可するまでブロック] を選択している場合は、現在のソフトウェアインベントリに対する許可ルールを除く「すべて」のルールを削除します。これにより、セキュリティの脆弱性が懸念される、パッチが適用されていない古いソフトウェアバージョンがすべてブロックされるようになります。

アプリケーションコントロールでは、承認されていないソフトウェアの起動が試行されるたびに、ルールセットに含まれるすべてのルールを評価する必要があるため、ルールが少ないほどメモリやCPUの使用を抑えることができます。

ソフトウェアアップデートが不安定な場合やダウングレードが必要になる可能性がある場合は、テストが完了するまで前のソフトウェアバージョンへのロールバックを許可するルールを残しておきます。

古いルールを確認するには、[ポリシー]→[ルール]→[アプリケーションコントロールルールセット] の順に選択し、[列の追加/削除] をクリックします。[前回の変更日時] を選択して [OK] をクリックし、その列のヘッダをクリックすると、日付順にソートできます。

ルールを削除すると、そのソフトウェアはアプリケーションコントロールで認識されなくなります。そのため、そのソフトウェアが再度インストールされると、[処理] タブに再び表示されます。