Deep Security 11のサポートは終了しています。バージョンセレクタ(上記)を使用して、より新しいバージョンのヘルプセンターを表示します。
本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。
本ヘルプセンターの一部の記事には外部リンクが含まれています。リンク切れなどお気づきの点がございましたら、トレンドマイクロサポート窓口までご連絡ください。
ソフトウェアパッケージのデジタル署名の確認
Deep Securityをインストールする前に、ソフトウェアZIPパッケージおよびインストーラファイルのデジタル署名を確認する必要があります。正しいデジタル署名は、ソフトウェアが Trend Micro からのもので、壊れていないか、または改ざんされていないことを示します。
次のいずれかを実行できます。
ソフトウェアのチェックサム、およびセキュリティアップデートおよびDeep Security Agentモジュールのデジタル署名も検証できます。Agentによるアップデートの整合性の検証方法
ソフトウェアZIPパッケージの署名の確認
Deep Security Agent およびオンラインヘルプのZIPファイルはデジタル署名されています。署名は、jarsigner Javaユーティリティで確認できます。
- お使いのコンピュータに最新のJava Development Kitをインストールしてください。
- ZIPをダウンロードします。
- JDK内のjarsignerユーティリティを使用して、署名を確認します。コマンドは次のとおりです。
jarsigner -verify -verbose -certs -strict <ZIP_file>
例:
jarsigner -verify -verbose -certs -strict Agent-RedHat_EL7-11.2.0-124.x86_64.zip
- エラー (エラーがある場合) と証明書の内容を読んで、署名が信頼できるかどうかを判断します。
AgentのZIPファイルを確認するだけでなく、Agentのインストーラファイルを確認することもできます。
インストーラファイル (EXE、MSI、RPM、またはDEBファイル) の署名の確認
Deep Security AgentおよびDeep Security Notifierのインストーラは、RSAを使用してデジタル署名されています。インストーラは、Windows上のEXEまたはMSIファイル、Linux OS上のRPMファイル(Amazon、CloudLinux、Oracle、Red Hat、およびSUSE), )、またはDebianおよび UbuntuのDEBファイルです。
次の手順では、デジタル署名を手動で確認する方法について説明します。この確認を自動化したい場合は、これをAgentインストールスクリプトに含めることができます。インストールスクリプトの詳細については、インストールスクリプトを使用したコンピュータの追加と保護を参照してください。
確認するインストーラファイルの種類に対応する指示に従います。
EXEまたはMSIファイルの署名の確認
- EXEファイルまたはMSIファイルを右クリックし、[ プロパティ] []を選択します。
- [デジタル署名] タブをクリックし、署名を確認します。
RPMファイルの署名の確認
署名がまだインストールされていない場合は、署名を確認するクライアントコンピュータに GnuPG をインストールします。このユーティリティにはGPGコマンドラインツールが含まれています。このツールは、署名キーをインポートしてデジタル署名を確認するために必要なツールです。
GnuPGは、ほとんどのLinuxディストリビューションに初期設定でインストールされています。
- エージェントのZIPファイルのルートフォルダにある 3trend_public.asc ファイルを探します。ASCファイルには、デジタル署名の検証に使用できるGPG公開署名キーが含まれています。エージェントZIPで 3trend_public.asc ファイルが見つからない場合は、Deep Security Agent 11.0 Update 18以降のアップデートを使用する必要があります。
- (オプション) 任意のハッシュユーティリティを使用して、ASCファイルのSHA-256ハッシュダイジェストを確認します。ハッシュは次のとおりです。
c59caa810a9dc9f4ecdf5dc44e3d1c8a6342932ca1c9573745ec9f1a82c118d7
- シグネチャをチェックするエージェントコンピュータで、ASCファイルをインポートします。次のコマンドを使用します。
コマンドでは大文字と小文字が区別されます。
gpg --import 3trend_public.asc
次のメッセージが表示されます。
gpg: directory `/home/build/.gnupg' created
gpg: new configuration file `/home/build/.gnupg/gpg.conf' created
gpg: WARNING: options in `/home/build/.gnupg/gpg.conf' are not yet active during this run
gpg: keyring `/home/build/.gnupg/secring.gpg' created
gpg: keyring `/home/build/.gnupg/pubring.gpg' created
gpg: /home/build/.gnupg/trustdb.gpg: trustdb created
gpg: key E1051CBD: public key "Trend Micro (trend linux sign) <alloftrendetscodesign@trendmicro.com>" imported
gpg: Total number processed: 1
gpg: imported: 1 (RSA: 1)
- GPGパブリック署名キーをASCファイルからエクスポートします。
gpg --export -a 'Trend Micro' > RPM-GPG-KEY-CodeSign
- GPGパブリック署名鍵をRPMデータベースにインポートします。
sudo rpm --import RPM-GPG-KEY-CodeSign
- GPGパブリック署名キーがインポートされたことを確認します。
rpm -qa gpg-pubkey*
- インポートされたGPG公開鍵のフィンガープリントが表示されます。トレンドマイクロの鍵を次に示します。
gpg-pubkey-e1051cbd-5b59ac99
署名鍵がインポートされ、エージェントRPMファイルのデジタル署名のチェックに使用できます。
RPMファイルの署名を手動で確認するのではなく、次に説明するように、配信スクリプトで署名を確認することもできます。詳細については、インストールスクリプトを使用したコンピュータの追加と保護を参照してください。
次のコマンドを使用します。
rpm -K Agent-PGPCore-<OS agent version>.rpm
例:
rpm -K Agent-PGPCore-RedHat_EL7-11.0.0-950.x86_64.rpm
Agent-PGPCore-<...>.rpm ファイルに対して上記のコマンドを実行してください。(それを Agent-Core-<...>.rpm で実行しても、 では .)は動作しません。
署名の検証に成功すると、次のメッセージが表示されます。
Agent-PGPCore-RedHat_EL7-11.0.0-950.x86_64.rpm: rsa sha1 (md5) pgp md5 OK
DEBファイルの署名の確認
あなたはそれが既にインストールされていない場合は、署名をチェックするつもりエージェント上でのdpkg-SIGをインストールします。このユーティリティにはGPGコマンドラインツールが含まれています。このツールは、署名キーをインポートしてデジタル署名を確認するために必要なツールです。
- エージェントのZIPファイルのルートフォルダにある 3trend_public.asc ファイルを探します。ASCファイルには、デジタル署名の検証に使用できるGPG公開署名キーが含まれています。エージェントZIPで 3trend_public.asc ファイルが見つからない場合は、Deep Security Agent 11.0 Update 18以降のアップデートを使用する必要があります。
- (オプション) 任意のハッシュユーティリティを使用して、ASCファイルのSHA-256ハッシュダイジェストを確認します。ハッシュは次のとおりです。
c59caa810a9dc9f4ecdf5dc44e3d1c8a6342932ca1c9573745ec9f1a82c118d7
- 署名を確認するクライアントコンピュータで、ASCファイルをGPGキーリングにインポートします。次のコマンドを使用します。
gpg --import 3trend_public.asc
次のメッセージが表示されます。
gpg: key E1051CBD: public key "Trend Micro (trend linux sign) <alloftrendetscodesign@trendmicro.com>" imported
gpg: Total number processed: 1
gpg: imported: 1 (RSA: 1)
- (オプション)Trend Micro Key情報を表示します。次のコマンドを使用します。
gpg --list-keys
次のようなメッセージが表示されます。
/home/user01/.gnupg/pubring.gpg
-------------------------------
パブ2048R/E1051CBD 2018-07-26 [expires:2021-07-25]
uidトレンドマイクロ(トレンドマイクロのサイン)<alloftrendetscodesign@trendmicro.com>
サブ2048R/202C302E 2018-07-26 [expires:2021-07-25]
以下で説明するように、手動でDEBファイルの署名を検証する代わりに、配置スクリプトで署名を検証することもできます。詳細については、インストールスクリプトを使用したコンピュータの追加と保護を参照してください。
次のコマンドを入力します。
dpkg-sig --verify <agent_deb_file>
<agent_deb_file> はエージェントのDEBファイルの名前とパスです。たとえば、次のとおりです。
dpkg-sig --verify Agent-Core-Ubuntu_16.04-11.0.0-1075.x86_64.deb
処理メッセージが表示されます。
Processing Agent-Core-Ubuntu_16.04-11.0.0-1075.x86_64.deb...
署名が正常に確認されると、次のメッセージが表示されます。
GOODSIG _gpgbuilder CF5EBBC17D8178A7776C1D365B09AD42E1051CBD 1568153778