Deep Security 11のサポートは終了しています。バージョンセレクタ(上記)を使用して、より新しいバージョンのヘルプセンターを表示します。

本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。

本ヘルプセンターの一部の記事には外部リンクが含まれています。リンク切れなどお気づきの点がございましたら、トレンドマイクロサポート窓口までご連絡ください。

インターネットにアクセスできない エージェントを設定する

エージェントまたはリレーがインターネットへのアクセス権を持っていない場合(「エアギャップAgent」とも呼ばれます)、 Trend MicroSmart Protection Networkが提供するセキュリティサービスのいくつかにアクセスできなくなります。これらのセキュリティサービスは、 Deep Security不正プログラム対策 および Webレピュテーション の機能を正常に実行するために必要です。

Trend MicroSmart Protection ネットワークのセキュリティサービスは次のとおりです。

サービス名 対象機能
スマートスキャンサービス スマートスキャン
Webレピュテーションサービス Webレピュテーション
Global Censusサービス 挙動監視機械学習型検索
Good File Reputationサービス 挙動監視機械学習型検索プロセスメモリ検索
機械学習型検索サービス 機械学習型検索

上記のサービスに加えて、 エージェントおよびリレー対応エージェントには、トレンドマイクロのアップデートサーバ(またはSmart Protection Network 、トレンドマイクロがホストし、インターネット経由でアクセスするコンポーネントです。

エージェントまたはリレー対応エージェントのいずれかが上記のサービスにアクセスできない場合は、いくつかの解決方法があります(後述)。

解決策

プロキシを使用する

エージェントまたはリレー対応エージェントがインターネットに接続できない場合は、できるプロキシをインストールできます。Deep Security AgentおよびRelayがプロキシに接続すると、このプロキシはSmart Protection Network内のトレンドマイクロのセキュリティサービスに送信接続します。

プロキシを使用すると、各 スマートスキャン または Webレピュテーション 要求がインターネット経由で Smart Protection ネットワークに送信されます。代わりにLAN内のSmart Protection Serverを使用して、これらの要求をネットワーク内に保持し、エクストラネットの帯域幅の使用を削減することを検討してください。

プロキシを使用するには、プロキシの背後に配置されたAgentの接続を参照してください。

Smart Protection Serverをローカルにインストールする

エージェントとリレー対応エージェントがインターネットに接続できない場合は、 に接続できるローカルエリアネットワーク(LAN)に Smart Protection Server をインストールできます。ローカル Smart Protection Server は定期的にインターネット経由で Smart Protection ネットワークに接続し、最新の スマートスキャン不正プログラム対策 パターンファイルと Webレピュテーション 情報を取得します。この情報は、 Smart Protection Server にキャッシュされ、エージェントおよびリレー対応エージェントによって照会されます。 Smart Protection Server は、更新をエージェントまたはリレー対応エージェントにプッシュしません。

この解決策を使用する場合は、次のことに覚えておいてください。

Smart Protection Serverの配置:

  • 手動でインストールします。詳細については、Smart Protection Serverのドキュメントを参照してください。
    OR
  • AgentまたはRelay有効化済みAgentがAWS内にある場合は、トレンドマイクロによって作成されたAWS CloudFormationテンプレートを使用してインストールします。詳細については、AWSでのSmart Protection Serverの配置を参照してください。

上記のシナリオは、Deep Security Agentとリレー対応エージェントのみがエアギャップされているが、 ポート番号、URL、およびIPアドレスで説明されているように、Deep SecurityManagerがインターネットアクセスまたはプロキシアクセスを持っている場合に適用されます。Deep Security Managerにもエアギャップがある場合は、プロキシを使用してトレンドマイクロのアクティブアップデートサーバからセキュリティアップデートを受信する必要があります。または、ソリューション3: 隔離されたネットワークでアップデートを取得するで更新を取得します。

隔離されたネットワークでアップデートを取得する

Deep Security Managerがインターネットに接続されていない隔離されたネットワーク内にあり、エージェントまたはリレー対応エージェントもインターネットに接続できない場合は、スタンドアロンのDeep Security Managerにデータベースとリレーを有効にすることができます。 非武装地帯 (DMZ) 内のクライアントまたはインターネットアクセスが利用可能なその他のエリア

すべてのコンポーネントをインストールしたら、DMZでリレー対応エージェントを設定して、インターネット上のアップデートサーバから最新の不正プログラム検索アップデートを自動的に取得できます。これらのアップデートは、.zipファイルに解凍してから手動でAir-Gappedリレーにコピーする必要があります。(詳細な手順は以下を参照)。

この解決策を使用する場合は、次のことに覚えておいてください。

この解決策を導入するには、次の手順に従います (アップグレードの手順については、下記を参照してください)。

  1. Deep Security Managerと関連するデータベースをDMZにインストールします。これらのインターネット接続コンポーネントは、「DMZ Manager」および「DMZデータベース'.」と呼ばれます。
  2. Deep Security AgentをDMZにインストールして、Relayとして設定します。このAgentのことを「DMZ Relay」と呼びます。Relayの設定方法については、Relayによるセキュリティとソフトウェアのアップデートの配布を参照してください。

    次のアイテムがインストールされました。
    • DMZ Manager
    • DMZデータベース
    • DMZ Relay
    • エアギャップManager
    • エアギャップデータベース
    • エアギャップRelay
    • 複数のエアギャップAgent
  1. DMZリレーで、次のコマンドを実行して最新の不正プログラムパターンファイルが含まれる.zipファイルを作成します。
  2. dsa_control -b
    コマンドラインの出力に、生成された.zipファイルの名前と場所が表示されます。

  3. .zip ファイルをAir-Gappedリレーにコピーします。ファイルをリレーのインストールディレクトリに配置します。
    • 初期設定のディレクトリは、Windowsの場合は「C:\Program Files\Trend Micro\Deep Security Agent」、
    • Linuxの場合は、「/opt/ds_agent」です。

    .zipファイルの名前は変更しないでください。

  4. エアギャップManagerで、セキュリティアップデートのダウンロードを開始します。
    1. 上部の [コンピュータ] をクリックします。
    2. コンピュータのリストで、.zipファイルをコピーしたAir-gappedリレーを探して右クリックし、[ セキュリティアップデートのダウンロード]を選択します。
      エアギャップ型リレーは、設定されたアップデート元(通常はインターネット上のアップデートサーバ).)をチェックします。このサーバに接続できないため、インストールディレクトリ内の.zipファイルを確認します。.zipファイルを見つけたら、そのファイルを解凍してアップデートをインポートします。アップデートは、リレーに接続するように設定されたエアギャップのあるエージェントに配信されます。
    3. エアギャップリレーにアップデートをインポートした後に、.zipファイルを削除します。
  5. 空のギャップのあるリレーを、アップデートサーバではなく自身に接続するように設定します(接続エラーのアラートを防ぐために):
    1. エアギャップManagerにログインします。
    2. 上部の [管理] をクリックします。
    3. 左側で [システム設定] をクリックします。
    4. メイン画面で [アップデート] タブをクリックします。
    5. [セキュリティアップデート元][その他のアップデート元] を選択し、https://localhost:[port] と入力します。[port]セキュリティデータベース用に設定したポート番号で、初期設定は4122です。
    6. [OK] をクリックします。
      エアギャップのあるリレーは、インターネット上のアップデートサーバに接続しようとしなくなりました。
  6. 任意の要件 (推奨): パフォーマンスを向上するには、トレンドマイクロのセキュリティサービスを使用する機能を無効にする
  7. 定期的に最新のアップデートをDMZリレーにダウンロードし、解凍して空中中継リレーにコピーし、リレーでセキュリティアップデートのダウンロードを開始してください。

これで、不正プログラム検索アップデートの取得元であるDMZに、Deep Security Manager、関連するデータベース、およびRelayが配置されました。

この解決策をアップグレードするには、次の順序で実行します。 

  1. DMZ Manager (データベースソフトウェアのアップグレードも必要な場合はそのデータベースを含む)
  2. DMZ Relay
  3. エアギャップManager (データベースソフトウェアのアップグレードも必要な場合はそのデータベースを含む)
  4. エアギャップRelay
  5. エアギャップAgent

リレーを最初にアップグレードしない場合、セキュリティコンポーネントのアップグレードとソフトウェアのアップグレードにより がに失敗することがあります。

アップグレードの詳細については、 Deep Securityのインストールまたはアップグレード のインストールまたはアップグレード(マネージャのアップグレード手順), および Deep Security Agentのアップデート

隔離されたネットワークでルールのアップデートを取得する

前のセクションで作成した.zipファイルには、 侵入防御、 変更監視、および セキュリティログ監視に使用されるDeep Securityルールアップデートが含まれています。ただし、これらのアップデートを別途入手する場合は、次の手順を実行します。

  1. DMZマネージャで、[管理]→[アップデート]→[セキュリティ]→[ルール]の順に選択します。
  2. ルール更新 (.dsruファイルをクリックして、 エクスポートをクリックします。ファイルはローカルにダウンロードされます。
  3. Air-Gapped Managerに適用する.dsruファイルごとにエクスポートを繰り返します。
  4. .dsruファイルをAir-Gapped Managerにコピーします。
  5. Air-Gapped Managerで、[ 管理]→[アップデート]→[セキュリティ]→[ルール]の順に選択します。
  6. インポートをクリックし、.dsruファイルを選択して、[ 次へ]をクリックします。
  7. マネージャはファイルを検証し、ファイルに含まれるルールの概要を表示します。[Next] をクリックします。
  8. ルールのアップデートが正常にインポートされたことを示すメッセージが表示されます。[閉じる] をクリックします。
  9. Air-Gapped Managerに適用する.dsruファイルごとにインポートを繰り返します。

トレンドマイクロのセキュリティサービスを使用する機能を無効にする

トレンドマイクロのセキュリティサービスを使用する機能を無効にできます。無効にすると、オフラインのAgentはサービスを照会しなくなるため (失敗するため) パフォーマンスが向上します。

  • トレンドマイクロのセキュリティサービスを使用しない場合は、不正プログラム検出が大幅にダウングレードされ、ランサムウェアがまったく検出されず、プロセスメモリ検索にも影響を与えます。そのため、トレンドマイクロのセキュリティサービスにアクセスできるように他の解決策のいずれかを使用することを強くお勧めします。これが不可能な場合は、パフォーマンスを向上するために機能を無効にする必要があります。

また、パフォーマンスの向上が必要な場合は、Deep Security Managerで国勢調査およびグリッドクエリを無効にします。有効にしたままにすると、多くの不要なバックグラウンド処理が実行されます。これらのクエリを無効にするには、次の手順に従います。

  1. Censusクエリを無効にします。

dsm_c -action changesetting -name settings.configuration.enableCensusQuery -value false

  1. GRIDクエリを無効にします。

dsm_c -action changesetting -name settings.configuration.enableGridQuery -value false