Deep Security 11のサポートは終了しています。バージョンセレクタ(上記)を使用して、より新しいバージョンのヘルプセンターを表示します。
本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。
本ヘルプセンターの一部の記事には外部リンクが含まれています。リンク切れなどお気づきの点がございましたら、トレンドマイクロサポート窓口までご連絡ください。
コモンクライテリア設定
コモンクライテリアとは、コンピュータセキュリティの認証のための国際規格です。このトピックでは、コモンクライテリア評価保証レベル2以上の認定に準拠した設定 (CC EAL2+) でDeep Securityをインストールする方法について説明します。コモンクライテリアのWebサイトにある「Deep Security 11.0 Security Target」ドキュメントと合わせて参照してください。
CC EAL2+認定に準拠した設定を展開するには、以下の手順を実行します。特に指定のないかぎり、すべての手順が必須です。
- 手順1:Deep Securityをインストールする
- 手順2: FIPSモードを有効にする
- 手順3: 不正アクセスを防ぐためにDeep Securityを強化する
- 手順4: 強固なパスワードポリシーを適用する
- 手順5:APIを無効にする
- 手順6:「フルアクセスなしAPI」の役割を作成する
- 手順7:「フルアクセスなしAPI」および監査担当者の役割を持つユーザを設定する
- 手順8:アラートのメール通知を設定する
- 次の手順(認定された設定で動作)
手順1:Deep Securityをインストールする
最初に、このヘルプセンターの他のセクションの手順に従って、通常どおりにDeep Securityソフトウェアをインストールおよび設定します。
インストール時に、次の点を確認してください。
- Deep Security Manager、そのデータベース、Deep Security Virtual Appliance、ESXiサーバ、vCenter、vShield Manager、およびNSX Managerを収容するファシリティはすべて物理的に安全です。
- Deep Security Managerは他の主要なアプリケーションを実行しているコンピュータ上で実行されておらず、組織のベストプラクティスに従って強化されています。
- Deep Security Managerコンピュータは隔離されたネットワークセグメント内に配置され、送受信トラフィックは厳密に制御されます。
- 正しい管理者権限を持つ許可されたユーザのみがマネージャコンピュータにアクセスできます。
- 許可されたユーザのみがクライアントおよび中継コンピュータにアクセスできます(これらのユーザがそれらのコンピュータに対して管理者権限を持っている場合)。
- 信頼できる安全なドメインネームサーバ(DNS)サービスとNTP(Network Time Protocol)サービスが提供されます。
- VMware仮想インフラストラクチャ(ESXiサーバ、vCenter、vShield Manager、NSX Manager)は十分に強力であり、盗難から保護されます。
- Deep Security Virtual Applianceの管理インタフェースは、隔離された内部専用ネットワーク上に存在します(アクセス制限).
- Deep Security Virtual Applianceは 不正プログラム対策 のみを提供します。 侵入防御 (IPS), などの他のモジュールが必要な場合は、Deep Security Agentおよびアプライアンスを複合モードで使用します。Agentレスによる保護またはコンバインモードの保護の選択を参照してください。
- ドメインネームサーバ(DNS)の応答時間は妥当です。Deep Security 11.0には、DNS応答時間が非常に遅い場合に不正プログラムを検出しないようにする既知の問題があります。
日本語のShift JIS(Shift_JIS)文字エンコードの使用は、Common Criteria設定ではサポートされていません。
このトピックの残りの手順では、コモンクライテリア準拠の設定にするために必要な、初期のインストールと設定に対する変更について説明します。
手順2: FIPSモードを有効にする
Deep SecurityをFIPS 140-2モードで操作できるように設定する必要があります。手順については、FIPS 140-2のサポートを参照してください。手順、制限、要件が多数あります。たとえば、Deep Security Scanner(SAP Netweaverとの統合)はサポートされていません。すべてのFIPSの手順、制限、および要件が適用されます。
FIPS 140-2のサポート ページで説明されているタスクの完了に加えて、次の項目も実行する必要があります。
- TLSをSQL Serverのバージョン1.2に制限します。詳細については、 https://support.microsoft.com/kb/3135244 を参照してください。
- 保護されているOSに対してFIPSモードを有効にします。WindowsでFIPSモードを有効にする手順については、 Microsoft社の次の記事「」を参照してください。
手順3: 不正アクセスを防ぐためにDeep Securityを強化する
脆弱性の対象領域を削減し、不正アクセスを防ぐために、Deep Securityのコンポーネントを強化する必要があります。システムを強化するには、次のリンクに従ってください。FIPSモードの設定時に、これらのタスクのいくつかはすでに完了している可能性があります。
必須の強化タスク:
- Deep Security Managerとデータベース間の通信の暗号化
- Deep Securityデータベースを強化してください - SQL Serverを使用している場合は、 this articleを参照してください。
- Deep Security ManagerのTLS証明書を変更します。
- Agentを使用したDeep Security Managerの保護
- セキュリティ関連の既知の問題を回避するには、 Deep Security Software ページのリリースノートを参照してください。
オプションの強化タスク:
- 特定のManagerへのDeep Security Agentのバインド
- Agentセルフプロテクションの有効化または無効化 を有効または無効にします(オプションで有効にします)。
手順4: 強固なパスワードポリシーを適用する
強固なパスワードポリシーを適用する必要があります。詳細については、ユーザパスワードルールの適用を参照してください。ポリシーは、少なくとも次の特徴を備えている必要があります。
- [ユーザパスワードの最小文字数] は初期設定の8文字以上にする必要がある
- [ログオン失敗の許容回数 (ロックアウト前)] は初期設定の5回以下にする必要があります
手順5:APIを無効にする
次のように、SOAPおよびステータス監視APIを無効にする必要があります。
- Deep Security Managerで、[管理]→[システム設定]→[詳細] の順にクリックします。
- [SOAP WebサービスAPI] セクションで、[無効] を選択します。
- [ステータス監視API] セクションで、[無効] を選択します。
- [保存] をクリックします。
手順6:「フルアクセスなしAPI」の役割を作成する
Deep Security Managerには、SOAP、REST、およびステータス監視APIへのアクセスを許可するようにハードコードされたフルアクセスの役割が組み込まれています。この役割は、APIアクセスが許可されていないため、CC EAL2 +の認証を取得した設定では使用しないでください。代わりに、[フルアクセス]の役割の複製を作成し、その役割のAPIアクセスを無効にする必要があります。この記事では、この役割を Full Access No API の役割と呼びます。後で Full Access No API の役割を[フルアクセス]の役割ではなくユーザに割り当てることができます。
Full Access No API ロールを作成するには
- Deep Security Managerで、上部にある[ Administration]をクリックします。
- 左側で、 [ユーザ管理]→[役割] []の順に展開します。
- メイン画面で、 Full Access ]の役割を右クリックし、[ Duplicate]を選択します。
- 重複した役割を右クリックし、[ プロパティ] []を選択します。
- 役割の名前を Full Access No API または別のわかりやすい名前に変更します。
- [ WebサービスAPIへのアクセスを許可 チェックボックスをオフにします。これにより、APIへのアクセスが無効になります。
- [OK] をクリックします。
Full Access No API ロールが作成されました。
手順7:「フルアクセスなしAPI」および監査担当者の役割を持つユーザを設定する
次の2人のユーザがDeep Security Managerに登録されていることを確認してください。
- 1人目のユーザは、 手順6:「フルアクセスなしAPI」の役割を作成するを作成します。このユーザは、Deep Securityの管理と設定に加え、新しいDeep Security AgentおよびDeep Security Virtual Applianceの有効化を行います。
- 2番目のユーザにはAuditorの役割を設定する必要があります。この役割の[ WebサービスAPIへのアクセスを許可 チェックボックスをオフにしてください。このユーザは、システム情報やFull Accessユーザによる変更を確認することができます。
ユーザの作成の詳細については、 ユーザを個別に追加または編集するを追加または編集します。
既存のユーザがいる場合は、どのユーザがフルアクセスの役割を持っているかを確認し、 Full Access No API の役割を再割り当てする必要があります。
- 役割 ペインで、 Full Access ロールを右クリックし、[ プロパティ] []を選択します。
- [割り当て対象] タブをクリックします。
- いずれかのユーザが表示されている場合は、いずれかのユーザをクリックしてプロパティを表示します。
- [ 役割 ドロップダウンリストで、 Full Access No API の役割を選択します。
- 保存 を保存]をクリックし、次に を閉じます。
- 引き続き Full Access No API の役割を[フルアクセス]の役割を持つ各ユーザに割り当てます。
手順8:アラートのメール通知を設定する
すべての通知の送信先となるメールアドレスを設定する必要があります。アラートのメール通知を設定するを参照してください。初期設定では、Deep Security Managerから各アラートのメール通知が送信されます。初期設定のアラート通知はどれも無効にしないでください。
次の手順(認定された設定で動作)
手順1:Deep Securityをインストールする から 手順8:アラートのメール通知を設定する、Deep SecurityはCC EAL2 +になります。
認定に準拠した設定でDeep Securityを使用するには、必ず次のことを確認してください。
- マスター管理 (MasterAdmin) アカウントを使用しない
このアカウント (初期設定ではMasterAdmin) は、Deep Security Managerのインストール時に作成されています。このアカウントは今後使用しないでください。このアカウントは 削除するか、バックアップの目的でのみ保持することができます。進行中の管理と設定のタスクには、別のアカウントを使用します。
- Deep Security Managerのコマンドラインインタフェース (dsm_c) を使用しない
このインタフェースはManagerの初期のインストールと設定では許可されていますが、CC EAL2+認定に準拠した設定には含まれていないため、それ以降は使用しないでください。
- Deep Security Agentのコマンドラインインタフェース (dsa_controlおよびdsa_query) を使用しない
これらのインタフェースはAgentの初期のインストールと設定では許可されていますが、CC EAL2+認定に準拠した設定には含まれていないため、それ以降は使用しないでください。
- フルアクセスの役割の使用を停止する
この役割により、APIへのアクセスが許可されます。これは、CC EAL2 +で認証された設定では許可されません。フルアクセス権限を持つ新しいユーザを作成する場合は、代わりに Full Access No API の役割を割り当ててください。 手順6:「フルアクセスなしAPI」の役割を作成するを作成します。
- 新しい役割を作成する際に、[ WebサービスAPIへのアクセスを許可 チェックボックスがオフになっていることを確認します。
前述のとおり、CC EAL2 +認定の設定ではAPIへのアクセスが許可されないため、新しい役割でこれらのAPIへのアクセスが許可されないようにする必要があります。
- 通常の操作中はDeep Security Virtual Applianceをシャットダウンしません。
アプライアンスが不明な理由でオフラインに見える場合は、常に原因を調査してください。