サーバを不正プログラムから保護するための4つのステップ

不正プログラム対策機能の紹介や推奨設定方法についての情報は、次のWebサイトでまとめて確認できます。環境の構築を始める前に参照すると、動作不調のリスク軽減および安定性の向上に役立てることができます。
https://success.trendmicro.com/jp/solution/000286756

不正プログラム対策を使用するための基本手順は次のとおりです。

  1. 不正プログラム対策モジュールをオンにする
  2. 必要な検索の種類を選択する
  3. 検索設定とオプションを設定する
  4. 最新の脅威に対応できるようにDeep Securityを最新の状態に保つ
不正プログラム対策設定のほとんどは、各コンピュータで個別に設定するか、またはポリシーで設定して複数のコンピュータ (すべてのWindows 2008 Serverなど) に適用できます。管理を容易にするために、可能なかぎり個々のコンピュータではなくポリシーで設定を行ってください。詳細については、ポリシー、継承、およびオーバーライドを参照してください。
不正プログラム対策の設定によって、CPUとRAMの使用率は変化します。Deep Security Agentでの不正プログラム対策のパフォーマンスを最適化するには、不正プログラム対策のパフォーマンスのヒントを参照してください。

不正プログラム対策モジュールをオンにする

  1. [ポリシー] に移動します。
  2. 不正プログラム対策を有効にするポリシーをダブルクリックします。
  3. [不正プログラム対策]→[一般] の順に選択します。
  4. [不正プログラム対策のステータス] で、[オン] を選択します。

必要な検索の種類を選択する

不正プログラム対策をオンにしたら、Deep Securityで実行する検索の種類を指定する必要があります。この設定は、コンピュータエディタClosed コンピュータエディタを開くには、[コンピュータ] 画面に移動し、編集するコンピュータをダブルクリック (またはコンピュータを選択して [詳細] をクリック) します。[不正プログラム対策][一般] で実行できます。

トレンドマイクロでは、Deep Securityで保護するすべてのサーバについて、週に1回は予約検索を実行するように設定することを推奨します。これは、予約タスク ([管理]→[予約タスク]) を使用して実行できます。
種類 説明 検索設定 実行されるタイミング
リアルタイム検索 継続的に実行される検索です。

受信、開く、ダウンロード、コピー、編集などの処理が行われるたびに、そのファイルにセキュリティ上のリスクがないかどうかが検索されます。セキュリティ上のリスクが検出されなかった場合、ファイルは現在の場所にそのまま残され、ユーザはファイルにアクセスできます。セキュリティ上のリスクが検出された場合、感染ファイルの名前と具体的なセキュリティ上のリスクの内容を示す通知メッセージが表示されます。

この検索は、不正プログラム対策モジュールでサポートされるすべてのプラットフォームで実行できます。
選択した不正プログラム検索設定が使用されます。

設定を変更するには、[編集] をクリックします。新しい検索設定を作成するには、[ポリシー]→[共通オブジェクト]→[その他]→[不正プログラム検索設定] に移動します。
[スケジュール] オプションで [毎日終日] 以外の期間を設定した場合を除き、常に継続して実行されます。

ヒント: リアルタイム検索は、ファイルサーバでファイルのバックアップが予約されているときなど、パフォーマンスへの影響が大きいときを避けて実行するように設定できます。

手動検索 コンピュータ上のすべてのプロセスとファイルを対象にフルシステム検索が実行されます。検索に要する時間は、検索するファイル数と、コンピュータのハードウェアリソースに応じて異なります。クイック検索に比べると完了までに時間がかかります。

この検索は、不正プログラム対策モジュールでサポートされるすべてのプラットフォームで実行できます。
選択した不正プログラム検索設定が使用されます。

設定を変更するには、[編集] をクリックします。新しい検索設定を作成するには、[ポリシー]→[共通オブジェクト]→[その他]→[不正プログラム検索設定] に移動します。
[不正プログラムのフル検索] をクリックしたときに実行されます。
予約検索 指定の日時に自動的に実行されます。

予約検索を使用して日々の検索を自動化することで、検索をより効率的に管理できます。

この検索は、不正プログラム対策モジュールでサポートされるすべてのプラットフォームで実行できます。
選択した不正プログラム検索設定が使用されます。

設定を変更するには、[編集] をクリックします。新しい検索設定を作成するには、[ポリシー]→[共通オブジェクト]→[その他]→[不正プログラム検索設定] に移動します。
予約タスク ([管理] > [予約タスク]) を使用して [コンピュータの不正プログラムを検索] タスクを作成したときに指定した日時に実行されます。
クイック検索 コンピュータの重大なシステム領域で、現在アクティブな脅威の検索のみが実行されます。

クイック検索では、現在アクティブな不正プログラムが検索されますが、活動のない、または保存されている感染ファイルを検索するためにファイルが詳細に検索されることはありません。大容量のドライブでは、フル検索よりも短時間で終了します。

この検索は、Windowsサーバでのみ実行できます。
設定することはできません。 [不正プログラムのクイック検索] をクリックしたときに実行されます。

リアルタイム検索のテスト

不正プログラム対策 の設定手順を続行する前に、リアルタイム検索が正しく機能しているかどうかをテストしてください。

  1. リアルタイム検索が有効で、設定が選択されていることを確認します。
  2. https://www.eicar.org/から不正プログラム対策のテストファイルをダウンロードします。この標準ファイルは、リアルタイム検索の不正プログラム対策機能をテストします。このファイルが隔離されればテストは成功です。
  3. Deep Security Managerで、[イベントとレポート]→[不正プログラム対策イベント] の順に選択し、EICARファイルの検出が記録されていることを確認します。検出が記録されていれば、不正プログラム対策のリアルタイム検索は正常に機能しています。

manual/scheduled 検索のテスト

不正プログラム対策 設定手順を続行する前に、 manual/scheduled 検索が正常に機能しているかどうかをテストしてください。

手動/予約検索のテストを開始する前に、リアルタイム検索が無効になっていることを確認します。
  1. [管理] を選択します。
  2. [予定タスク]→[新規] の順にクリックします。
  3. ダウンロードメニューから [コンピュータの不正プログラムを検索] を選択し、実行間隔を選択します。必要な指定を行い、検索の設定を完了します。
  4. https://www.eicar.org/から不正プログラム対策のテストファイルをダウンロードします。この標準ファイルは、手動/予約検索の不正プログラム対策機能をテストします。
  5. 予約検索を選択し、[ 今すぐタスクを実行]をクリックします。このテストファイルが隔離されればテストは成功です。
  6. Deep Security Managerで、[イベントとレポート]→[不正プログラム対策イベント] の順に選択し、EICARファイルの検出が記録されていることを確認します。検出が記録されていれば、不正プログラム対策の手動/予約検索は正常に機能しています。

検索されるオブジェクトと順序

次の表は、検索の種類ごとに、検索されるオブジェクトと検索の順序を示しています。

対象 フル検索 (手動または予約) クイック検索
ドライバ 1 1
トロイの木馬 2 2
プロセスイメージ 3 3
メモリ 4 4
ブートセクタ 5 -
ファイル 6 5
スパイウェア 7 6

検索設定とオプションを設定する

ここでは、不正プログラム対策検索を実行する際の推奨設定と、いくつかの重要な設定とオプションについての情報を示します。利用可能なすべての設定については、不正プログラム対策設定不正プログラム検索設定を参照してください。

不正プログラム対策のパフォーマンスを最大限に高めるための設定

Deep Security不正プログラム対策モジュールのパフォーマンスを最大限に高めるための推奨される処理を次に示します。

検索設定

以下の表は、それぞれの検索設定について、推奨される設定を示したものです。検索除外の推奨設定については、検索除外を参照してください。

検索の種類に関連付けられた不正プログラム検索設定を編集することで、検索の対象または対象外にするファイルやディレクトリを指定したり、コンピュータで不正プログラムが検出された場合の処理 (駆除、隔離、削除など) を設定したりできます。Deep Securityでは、不正プログラム検索の初期設定が検索の種類ごとに事前に設定されています。Deep Securityの初期設定のセキュリティポリシーでは、それらの初期設定が使用されます。

  1. [ポリシー]→[共通オブジェクト]→[その他]→[不正プログラム検索設定] に移動します。
  2. 編集する検索設定をダブルクリックするか、[新規] をクリックして新しい検索設定を作成します。

この画面で、既存の検索設定を変更するか、新規に作成できます。詳細については、不正プログラム検索設定を参照してください。

検索除外

Deep Securityの不正プログラム検索では、検索時間を短縮してコンピューティングリソースの使用を最小限に抑えるために、すべての種類の検索から除外するフォルダ、ファイル、およびファイルの種類を指定することができます。また、Windowsサーバで実行するリアルタイムの不正プログラム検索からプロセスイメージファイルを除外することもできます。

これらの除外項目を指定するには、不正プログラム検索設定エディタの [検索除外] タブで除外リストを選択します。これらのリストは、[ポリシー]→[共通オブジェクト]→[リスト] で作成および変更できます。

Deep Securityの不正プログラム対策保護を有効にするとパフォーマンスが低下する場合、検索除外を使用して特定のフォルダやファイルを検索対象から除外すると改善できることがあります。

検索除外の推奨設定

検索除外については、トレンドマイクロやその他のベンダが包括的な詳しい情報を提供しています。ここでは、検索除外の推奨設定の一部について、その概要を紹介します。

  • 不正プログラムであることがすでに確認されているファイルが再検索されないように、隔離フォルダ (Microsoft Windows Exchange ServerのSMEXなど) を除外します。
  • 検索を実行するとデータベースのパフォーマンスに影響することがあるため、大規模なデータベースやデータベースファイル (dsm.mdfやdsm.ldfなど) を除外します。データベースファイルを検索する必要がある場合は、ピーク時を避けてデータベースを検索する予約タスクを作成します。Microsoft SQL Serverデータベースは動的であるため、ディレクトリおよびバックアップフォルダを検索リストから除外します。

    ${ProgramFiles}\Microsoft SQL Server\MSSQL\Data\
    ${Windir}\WINNT\Cluster\ # if using SQL Clustering
    Q:\ # if using SQL Clustering

推奨検索除外リストについては、 トレンドマイクロ推奨検索除外リストを参照してください。マイクロソフトでは、 のウイルス対策除外リスト も管理しており、Windowsサーバでの検索からファイルを除外するための参照として使用できます。

スマートスキャン

スマートスキャンを有効にすると、次のメリットがあります。

  • セキュリティステータスの検索をクラウドベースで高速かつリアルタイムに実行
  • 脅威からの保護にかかる合計時間を削減
  • パターンファイルのアップデート時に使用されるネットワーク帯域幅を削減 (パターン定義のアップデートの大半は、クラウドで保持され、多数のコンピュータへの配信は不要)
  • 企業全体へのパターン展開のコストとオーバーヘッドを削減
  • コンピュータにおけるカーネルのメモリ消費を削減 (メモリ消費量の増加を最小限に抑制)

スマートスキャンでは、トレンドマイクロのサーバに保存されている脅威シグニチャが使用されます。スマートスキャンを使用すると、まず、ローカルで保持しているパターンファイルにより検索が行われます。そこでファイルの危険性を評価できなかった場合は、ローカルのSmart Protection Serverに接続します。ローカルのSmart Protection Serverでも危険性を評価できなかった場合は、トレンドマイクロのGlobal Smart Protectionサービスに接続します。この機能の詳細については、Deep SecurityのSmart Protectionを参照してください。

次の各グローバルTrend Micro Smart Protection Network URLとの間に安定した接続を確立できることを確認します。
  • ds100-jp.url.trendmicro.com
  • https://ds10-jp.icrc.trendmicro.com/tmcss/?
ファイアウォール、プロキシ、またはAWSセキュリティグループによって接続がブロックされる場合、または接続が不安定な場合は、不正プログラム対策のパフォーマンスが低下します。
  1. [ポリシー] に移動します。
  2. ポリシーをダブルクリックします。
  3. [不正プログラム対策][Smart Protection] の順に選択します。
  4. [スマートスキャン] セクションで、次のいずれかを実行します。

    • [継承] を選択します (親ポリシーでスマートスキャンが有効になっている場合)
    • [継承] の選択を解除し、[オン] または [Deep Security Agentはオン、Virtual Applianceはオフ] を選択します。
  5. [保存] をクリックします。

隔離設定

検出ファイル設定については、初期設定を使用することを推奨します。初期設定を確認するには、コンピュータエディタClosed コンピュータエディタを開くには、[コンピュータ] 画面に移動し、編集するコンピュータをダブルクリック (またはコンピュータを選択して [詳細] をクリック) します。[不正プログラム対策]→[詳細] の順に選択します。

検出ファイルの保存に使用できるディスク容量は、[検出ファイルの保存に使用される最大ディスク容量] によって決まります。この設定は、ポリシーで変更することも、個々のコンピュータでオーバーライドすることもできます。

不正プログラム検索用のリソース割り当て

リアルタイム検索では、初期設定でマルチスレッド処理が使用されます。ただし、物理コンピュータのパフォーマンスを高めるために、手動検索や予約検索でもマルチスレッド処理を使用できます。

次の場合はマルチスレッド処理を有効にしないでください。

  • リソースに限りがある場合 (CPUバウンドのタスクなど)
  • リソースを保持するオペレータを1つに限定する場合 (IOバウンドのタスクなど)
  1. [ポリシー] に移動します。
  2. マルチスレッド処理を有効にするポリシーをダブルクリックして開きます。
  3. [不正プログラム対策][詳細] に移動します。
  4. [不正プログラム検索用のリソース割り当て] セクションで、[はい] を選択します。
  5. マルチスレッド処理を有効にしたコンピュータを再起動して、この設定を有効にします。

最新の脅威に対応できるようにDeep Securityを最新の状態に保つ

Deep Security Agentを新たなウイルスや攻撃コードに常に対応できる状態に維持するためには、トレンドマイクロから直接、あるいはRelay経由で間接的に、最新のソフトウェアおよびセキュリティアップデートパッケージをダウンロードする必要があります。これらのパッケージには、脅威の定義とパターンファイルが含まれています。トレンドマイクロからセキュリティアップデートを取得し、他のAgentおよびApplianceに配布する場合は、Relay有効化済みAgentを使用します。Relay有効化済みAgentを使用します。Relay有効化済みAgentはRelayグループに編成されていて、Relayグループの管理および設定はDeep Security Managerで行います。

  1. [管理]→[システム設定]→[アップデート] の順に選択します。
  2. Deep Securityがトレンドマイクロからセキュリティアップデートを取得できるように設定します。Relay有効化済みAgentが少なくとも1つあり、該当するAgentおよびApplianceに割り当てられていることを確認します。
    Deep Security AgentがRelayかどうかを判断するには、コンピュータの横の [プレビュー] をクリックします。Relay有効化済みAgentの確認

  3. [管理]→[予約タスク] の順に選択します。
  4. 利用可能なセキュリティアップデートとソフトウェアアップデートの両方を定期的にダウンロードする予約タスクがあることを確認します。