Deep Security 11のサポートは終了しています。バージョンセレクタ(上記)を使用して、より新しいバージョンのヘルプセンターを表示します。
本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。
本ヘルプセンターの一部の記事には外部リンクが含まれています。リンク切れなどお気づきの点がございましたら、トレンドマイクロサポート窓口までご連絡ください。
FIPS 140-2のサポート
連邦情報処理標準(FIPS)は、暗号化モジュールのための一連の規格です。 FIPSの詳細については、 国立標準技術研究所(NIST)のWebサイトを参照してください。 Deep Security には、FIPS 140-2標準に準拠したモードで暗号化モジュールを実行できるようにする設定が用意されています。 Java暗号モジュール および ネイティブ暗号モジュール(OpenSSL)の認証を取得しました。
FIPS以外のモードとFIPSモードで実行するDeep Securityインストールにはいくつかの違いがあります (FIPSモードでDeep Securityを操作する場合の違いを参照)。
Deep Security Manager SSL証明書を置き換える場合は、置き換えてからFIPSモードを有効にします。FIPSモードの有効化後に証明書を置き換える必要がある場合は、FIPSモードを無効にし、Deep Security ManagerのTLS証明書を変更します。の手順を実行してから、FIPSモードを再び有効にします。
FIPS 140-2モードでDeep Securityを操作するには、次の手順を実行する必要があります。
- FIPSモードでDeep Securityを操作する場合の違いを参照して、必要なDeep Security機能がFIPS 140-2モードで操作する場合に利用可能になるようにします。
- Deep Security ManagerおよびDeep Security AgentがFIPSモードのシステム要件に一致していることを確認します。
- Deep Security ManagerでFIPSモードを有効にする。
- Deep Security ManagerはSSLを使用して外部サービス (Active Directory、vCenter、またはNSX Managerなど) に接続する必要がある場合は、FIPSモードで外部サービスに接続するを参照してください。
- 保護しているコンピュータのOSのFIPSモードを有効にする。
- 保護しているコンピュータでDeep Security AgentのFIPSモードを有効にする
- Deep Security Virtual ApplianceでFIPSモードを有効にする。
- RHEL 7.0 GAなど、Linuxカーネルのいくつかのバージョンでは、FIPSモードを有効にするためにSecure Bootを有効にする必要があります。手順については、Agent向けのLinux Secure Bootのサポートを参照してください。
また、このセクションでは、FIPSモードを無効にする手順についても説明します。
FIPSモードでDeep Securityを操作する場合の違い
次のDeep Security機能は、FIPSモードで操作する場合には使用できません。
- VMware vCloudでホストされる仮想マシンの追加の説明に従った、VMware vCloudでホストされた仮想マシンへの接続。また、[管理]→[システム設定]→[Agent]→[AgentレスによるvCloud保護] 設定も使用できません。
- マルチテナント環境
- ロードバランサ設定 ([管理]→[システム設定]→[詳細]→[ロードバランサ])
- Deep Security Scanner (SAP Netweaverに統合)
- Connected Threat Defense機能
- SAML 2.0を介したIDプロバイダサポート
- SMTPを設定する場合、STARTTLSオプションを使用できません。
FIPSモードのシステム要件
Deep Security Managerの要件
FIPSモードを有効にしたDeep Security Managerの要件は、次の例外を除き、システム要件の記載内容と同じです。
サポートは次のOSに限定されます。
- Red Hat Enterprise Linux 7 (64ビット)
- Windows Server 2016 (64ビット)
- Windows Server 2012または2012 R2 (64ビット)
- Windows Server 2008または2008 R2 (64ビット)
サポートは次のデータベースに限定されます。
- PostgreSQL 9.6 (PostgreSQLデータベースでFIPSモードを使用するを参照)
- Microsoft SQL Server 2016 Enterprise Edition (Microsoft SQL ServerデータベースでFIPSモードを使用するを参照)
- Microsoft SQL Server 2014 Enterprise Edition (Microsoft SQL ServerデータベースでFIPSモードを使用するを参照)
- Microsoft SQL Server 2012 Enterprise Edition (Microsoft SQL ServerデータベースでFIPSモードを使用するを参照)
- Microsoft SQL Server 2008 R2 Enterprise Edition (Microsoft SQL ServerデータベースでFIPSモードを使用するを参照)
- Microsoft SQL Server 2008 Enterprise Edition (Microsoft SQL ServerデータベースでFIPSモードを使用するを参照)
SSL接続でFIPSモードを有効にしていても、Oracle Databaseはサポートされません。
Microsoft SQL Serverの名前付きパイプはサポートされません。
Deep Security Agentの要件
FIPSモードが有効なDeep Security Agentの要件はシステム要件の記載内容と同じです。ただし、次のOSはサポートされます。
- Windows Server 2016 (64ビット)
- Windows Server 2012または2012 R2 (64ビット)
- Windows Server 2008または2008 R2 (64ビット)
- Windows 10 (64ビット)
- Windows 8 (64ビット)
- Windows 7 (64ビット)
- Red Hat Enterprise Linux 7 (64ビット)
- CentOS 7 (64ビット)
Deep Security Virtual Applianceの要件
Virtual ApplianceでFIPSモードをサポートするための要件は、次のとおりです。
- Deep Security Manager 11.0 Update 3以降
- Deep Security Virtual Appliance 10.0または11.0以降
- Deep Security Agent 11.0 for RedHat_EL7以降 (Applianceの組み込みのAgentとして使用されます)
Applianceのシステム要件の詳細については、システム要件を参照してください。
Deep Security ManagerでFIPSモードを有効にする
WindowsでDeep Security ManagerのFIPSモードを有効にする
- Microsoft管理コンソールの [サービス] 画面を使用して「Trend Micro Deep Security Manager」サービスを停止します。
- Windowsコマンドラインで、Deep Security Managerの作業用フォルダ (例: C:\Program Files\Trend Micro\Deep Security Manager) に移動します。
- 次のコマンドを入力してFIPSモードを有効にします。
- Deep Security Managerサービスを再起動します。
dsm_c -action enablefipsmode
LinuxでDeep Security ManagerのFIPSモードを有効にする
- Deep Security Managerコンピュータでコマンドラインを開き、/opt/dsmなどのDeep Security Managerの作業フォルダに移動します。
- 次のコマンドを入力してDeep Security Managerサービスを停止します。
service dsm_s stop
- 次のコマンドを入力してFIPSモードを有効にします。
- 次のコマンドを入力してDeep Security Managerサービスを再起動します。
dsm_c -action enablefipsmode
service dsm_s start
FIPSモードで外部サービスに接続する
Deep Security ManagerをFIPSモードで操作し、SSL接続を使用して外部サービス (Active Directory、vCenter、またはNSX Managerなど) に接続する場合は、外部サービスのSSL証明書をManagerにインポートしてから接続する必要があります。証明書をインポートする手順については、信頼された証明書の管理を参照してください。
Active Directoryからコンピュータをインポートする手順については、Microsoft Active Directoryからのコンピュータグループの追加を参照してください。
ユーザ情報とActive Directoryを同期する手順については、ユーザの作成と管理を参照してください。
VMware vCenterをDeep Security Managerに追加する手順については、Deep Security ManagerがFIPSモードの場合にvCenterを追加するを参照してください。
保護しているコンピュータのOSのFIPSモードを有効にする
WindowsでFIPSモードを有効にする手順については、Microsoftサポートサイト「システム暗号化: 使用して FIPS 準拠アルゴリズムを暗号化、ハッシュ、署名の"Windows XP およびそれ以降のバージョンの Windows のセキュリティ設定の効果」を参照してください。
RHEL 7またはCentOS 7でFIPSモードを有効にする手順については、Red Hatのドキュメント「米連邦政府の標準および規制」および「How can I make RHEL 6 or RHEL 7 FIPS 140-2 compliant?」を参照してください。
保護しているコンピュータでDeep Security AgentのFIPSモードを有効にする
この手順は、Deep Security ManagerでFIPSモードを有効化した後にインストールしたDeep Security 11.0以降のAgentでは必要ありません。この場合、FIPSモードはすでにAgentに対して有効になっています。
Windows AgentのFIPSモードを有効にする
- Windowsシステムのルートフォルダ (C:\Windowsなど) で、ds_agent.iniという名前のファイルを探します。テキストエディタでファイルを開くか、すでにファイルがない場合には新しいファイルを作成します。
- 次の行をファイルに追加します。
FIPSMode=1
- Deep Security Agentサービスを再起動します。
RHEL 7またはCentOS 7 AgentのFIPSモードを有効にする
- /etc/で、ds_agent.confという名前のファイルを探します。テキストエディタでファイルを開くか、すでにファイルがない場合には新しいファイルを作成します。
- 次の行をファイルに追加します。
FIPSMode=1
- Deep Security Agentを再起動します。
SysV initスクリプトの使用:
/etc/init.d/ds_agent restart
systemdコマンドの使用:
systemctl restart ds_agent
Deep Security Virtual ApplianceでFIPSモードを有効にする
- <DSVA_root>/etc/で、ds_agent.confという名前のファイルを探します。テキストエディタでファイルを開くか、すでにファイルがない場合には新しいファイルを作成します。
- 次の行をファイルに追加します。
FIPSMode=1
- コマンドラインからApplianceを再起動します。
SysV initスクリプトの使用:
/etc/init.d/ds_agent restart
systemdコマンドの使用:
systemctl restart ds_agent
PostgreSQLデータベースでFIPSモードを使用する
Deep Security ManagerデータベースとしてPostgreSQLを使用する場合は、
FIPSモードで、キーストアにBCFKSタイプを指定する必要があります。javaの初期設定キーストア (C:\Program Files\Trend Micro\Deep Security Manager\jre\lib\security\cacertsまたは/opt/dsm/jre/lib/security/cacerts) を直接変換する代わりに、初期設定のキーストアを別の場所にコピーし、SSL接続の初期設定のキーストアとして使用します。
- PostgreSQL環境を作成する
- 「server.crt」ファイルをPostgreSQLサーバからコピーし、<Deep Security Managerのインストールフォルダ>に貼り付けます。
- Deep Security Managerをインストールします。
- Deep Security ManagerでFIPSモードを有効にする。
- 初期設定のJava cacertsファイルをDeep Security Managerのルートインストールフォルダにコピーします。
Windowsの場合:
copy "C:\Program Files\Trend Micro\Deep Security Manager\jre\lib\security\cacerts" "C:\Program Files\Trend Micro\Deep Security Manager\cacerts"
Linuxの場合:
cp "/opt/dsm/jre/lib/security/cacerts" "/opt/dsm/cacerts"
- KeystoreファイルをJKSからBCFKSに変換します。次のコマンドにより、Deep Security Managerのインストールフォルダにcacerts.bcfksファイルが作成されます。
Windowsの場合:
cd C:\Program Files\Trend Micro\Deep Security Manager\jre\bin
keytool -importkeystore -srckeystore "C:\Program Files\Trend Micro\Deep Security Manager\cacerts" -srcstoretype JKS -deststoretype BCFKS -destkeystore "C:\Program Files\Trend Micro\Deep Security Manager\cacerts.bcfks" -srcstorepass <changeit> -deststorepass <changeit> -providerpath "C:\Program Files\Trend Micro\Deep Security Manager\jre\lib\ext\ccj-3.0.0.jar" -providerclass com.safelogic.cryptocomply.jcajce.provider.CryptoComplyFipsProvider
Linuxの場合:
cd /opt/dsm/jre/bin
keytool -importkeystore -srckeystore "/opt/dsm/cacerts" -srcstoretype JKS -deststoretype BCFKS -destkeystore "/opt/dsm/cacerts.bcfks" -srcstorepass <changeit> -deststorepass <changeit> -providerpath "/opt/dsm/jre/lib/ext/ccj-3.0.0.jar" -providerclass com.safelogic.cryptocomply.jcajce.provider.CryptoComplyFipsProvider
- 証明書をインポートします ("Deep Security Manager root folder/server.crt")。
Windowsの場合:
cd C:\Program Files\Trend Micro\Deep Security Manager\jre\bin
keytool -import -alias psql -file "C:\Program Files\Trend Micro\Deep Security Manager\server.crt" -keystore "C:\Program Files\Trend Micro\Deep Security Manager\cacerts.bcfks" -storepass <changeit> -provider com.safelogic.cryptocomply.jcajce.provider.CryptoComplyFipsProvider -providerpath "C:\Program Files\Trend Micro\Deep Security Manager\jre\lib\ext\ccj-3.0.0.jar" -storetype BCFKS
Linuxの場合:
cd /opt/dsm/jre/bin
keytool -import -alias psql -file "/opt/dsm/server.crt" -keystore "/opt/dsm/cacerts.bcfks" -storepass <changeit> -provider com.safelogic.cryptocomply.jcajce.provider.CryptoComplyFipsProvider -providerpath "/opt/dsm/jre/lib/ext/ccj-3.0.0.jar" -storetype BCFKS
- Deep Securityインストーラは.vmoptionsファイルを使用してJVMパラメータを割り当てることができます。
Windowsの場合、インストールフォルダにDeep Security Manager.vmoptionsという名前のファイルを作成して、そのファイルに次の文字列を追加します。-Djavax.net.ssl.keyStoreProvider=CCJ
-Djavax.net.ssl.trustStore=C:\Program Files\Trend Micro\Deep Security Manager\cacerts.bcfks
-Djavax.net.ssl.trustStorePassword=<changeit>
-Djavax.net.ssl.keyStoreType=BCFKS
-Djavax.net.ssl.trustStoreType=BCFKS
Linuxの場合、インストールフォルダにdsm_s.vmoptionsという名前のファイルを作成して、そのファイルに次の文字列を追加します。
-Djavax.net.ssl.keyStoreProvider=CCJ
-Djavax.net.ssl.trustStore=/opt/dsm/cacerts.bcfks
-Djavax.net.ssl.trustStorePassword=<changeit>
-Djavax.net.ssl.keyStoreType=BCFKS
-Djavax.net.ssl.trustStoreType=BCFKS
- <Deep Security Managerのディレクトリ>\webclient\webapps\ROOT\WEB-INF\dsm.propertiesファイルをテキストエディタで開いて次の文字列を追加します。
database.PostgreSQL.connectionParameters=ssl=true
- テキストエディタで /opt/postgresql/data/postgresql.confファイルを開いて、次の文字列を追加します。
ssl= on
ssl_cert_file= 'server.crt'
ssl_ksy_file= 'server.key'
- PostgreSQLを再起動してから、Deep Security Managerサービスを再起動します。
- 接続を確認します。
cd /opt/postgresql/bin
./psql -h 127.0.0.1 -Udsm dsm
プロンプトが表示されたら、パスワードを入力します。次のように表示されます。
dsm=> select a.client_addr, a.application_name, a.usename, s.* from pg_stat_ssl s join pg_stat_activity a using (pid) where a.datname='dsm';
Microsoft SQL ServerデータベースでFIPSモードを使用する
Deep Security ManagerデータベースとしてMicrosoft SQL Serverを使用する場合は、FIPSモードを有効化する前に以下の手順に従ってデータベースSSL暗号化を設定する必要があります。
- Deep Security Managerサービスを停止します。
- SQL Server証明書を使用してBCFKSKeystoreファイルを作成します。C:\Program Files\Trend Micro\Deep Security Manager\jre\bin内でキーツールを使用できます。
- 次のコマンドを使用してSQL Server証明書 (C:\sqlserver_cert.cer) を新しいKeystoreファイル (C:\Program Files\Trend Micro\Deep Security Manager\mssql_keystore.bcfks) にインポートします。Deep Security Managerパッケージにccj-3.0.0.jarファイルが含まれない場合は、jarファイルをFIPSページから取得します。
keytool -import -alias mssql -file "C:\sqlserver_cert.cer" -keystore "C:\Program Files\Trend Micro\Deep Security Manager\mssql_keystore.bcfks" -storepass <changeit> -provider com.safelogic.cryptocomply.jcajce.provider.CryptoComplyFipsProvider -providerpath "C:\Program Files\Trend Micro\Deep Security Manager\jre\lib\ext\ccj-3.0.0.jar" -storetype BCFKS
インポートプロセス中に、[はい] を選択してこの証明書を信頼します。
- Keystoreファイルの作成に成功すると、次のコマンドを使用してキーストアに記載された証明書を表示できるようになります。
keytool -list -v -keystore "C:\Program Files\Trend Micro\Deep Security Manager\mssql_keystore.bcfks" -provider com.safelogic.cryptocomply.jcajce.provider.CryptoComplyFipsProvider -providerpath "C:\Program Files\Trend Micro\Deep Security Manager\jre\lib\ext\ccj-3.0.0.jar" -storetype BCFKS -storepass <changeit>
- テキストエディタでC:\Program Files\Trend Micro\Deep Security Manager\webclient\webapps\ROOT\WEB-INF\dsm.propertiesファイルを開き、次の行を追加してSSL/TLSおよびFIPS設定を有効にします。
database.SqlServer.encrypt=true
database.SqlServer.trustServerCertificate=false
database.SqlServer.fips=true
database.SqlServer.trustStorePassword=<changeit>
database.SqlServer.fipsProvider=CCJ
database.SqlServer.trustStoreType=BCFKS
database.SqlServer.trustStore=C\:\\Program Files\\Trend Micro\\Deep Security Manager\\mssql_keystore.bcfks
- 必要に応じて、SQLサーバ/クライアント接続プロトコルを名前付きパイプからTCP/IPに変更することもできます。これにより、Deep Security 10.2へのアップグレード後にFIPSをサポートできるようになります。
- SQL Server構成マネージャで、[SQL Serverネットワーク構成]→[MSSQLSERVER のプロトコル] を選択し、[TCP/IP] を有効にします。
- [SQL Native Client 11.0 の構成]→[クライアント プロトコル] に移動し、[TCP/IP] を有効にします。
- Microsoftから提供される手順に従って、SQL Serverデータベースのインスタンスで暗号化された接続を有効にします。「データベース エンジンへの暗号化接続の有効化」を参照してください。
- dsm.propertiesファイルを編集し、database.sqldserver. driver=MSJDBCおよびdatabase.SqlServer.namedPipe=falseを変更します。
- Deep Security Managerサービスを再起動します。
- Deep Security ManagerでFIPSモードを有効にする。
FIPSモードを無効にする
- Deep Security ManagerのFIPSモードを無効にするには、有効化の際に使用した手順 (Deep Security ManagerでFIPSモードを有効にするを参照) に従いますが、手順3で次のコマンドを使用します。
dsm_c -action disablefipsmode
- Deep Security AgentのFIPSモードを無効にするには、有効化の際に使用した手順 (保護しているコンピュータでDeep Security AgentのFIPSモードを有効にするを参照) に従いますが、FIPSMode=1の代わりにFIPSMode=0を使用します。