セキュリティアップデートの取得と配布

Deep Security環境は、潜在的な脅威を特定するために使用されるセキュリティアップデートによって常に最新状態を維持する必要があります。Deep Security Agent 12.0以降のセキュリティアップデートでは、デジタル署名により、提供元がトレンドマイクロであることと、Agentに送信される間に改ざんされていないことが証明されます。

セキュリティアップデートには次の2種類があります。

  • パターンファイルアップデートは不正プログラム対策モジュールで使用されます。
  • ルールアップデートは次のモジュールによって使用されます。
    • ファイアウォール
    • 侵入防御
    • 変更監視
    • セキュリティログ監視
セキュリティアップデートを設定する前に、Agent、Appliance、およびRelayをインストールして、有効化する必要があります。Deep Security Agentの手動インストールを参照してください。

Trend Microは新しいルールアップデートを毎週火曜日にリリースし、新しい脅威が検出されたときは追加のアップデートをリリースします。最新のアップデートに関する詳細については、トレンドマイクロのセキュリティ情報を参照してください。

セキュリティアップデートを設定するには、次の手順を実行する必要があります。

  1. セキュリティアップデート元および設定を指定する
  2. 不正プログラム対策エンジンのアップデートを設定する
  3. Relay有効化済みAgentをRelayグループにグループ化し、AgentおよびApplianceにRelayグループを割り当て、セキュリティアップデートおよびソフトウェアアップデートのRelay設定を指定する (Relayによるセキュリティとソフトウェアのアップデートの配布を参照)
  4. セキュリティアップデートを実行する
  5. Special case: エアギャップ環境におけるRelay有効化済みAgentでのアップデートを設定する

いつでも、セキュリティアップデートのステータスを確認することができます。

 

ルールアップデートがトレンドマイクロからダウンロードされてから30分以上経過してもコンピュータが更新されていない場合は、アラートが発令されます。
パターンファイルアップデートがトレンドマイクロのアップデートサーバなどアップデート元からダウンロードされてから1時間以上経過してもAgent/Applianceが更新されていない場合は、アラートが発令されます。

セキュリティアップデート元および設定を指定する

  1. [管理]→[システム設定]→[アップデート] の順に選択します。
  2. [セキュリティアップデート元] を設定します。初期設定では、アップデート元はインターネット経由でアクセスするトレンドマイクロのアップデートサーバに設定されています。トレンドマイクロサポートセンターから別途指示があった場合を除き、初期設定をそのまま使用してください。その他のアップデート元がある場合は、そのURLを [その他のアップデート元] ボックスに「http://」または「https://」から入力します。
  3. [セカンダリのアップデート元] でパターンファイルアップデートを設定します。通常、AgentはRelay有効化済みAgentに接続してセキュリティアップデートを取得します。しかし、Deep Security ManagerまたはRelayとの通信が常時確保されていないローミングするコンピュータにAgentがインストールされている場合は、[Relayに接続できない場合、セキュリティアップデート元からの直接ダウンロードをAgent/Applianceに許可] を選択すると、Relayグループを使用できない場合に、上記の手順で指定したアップデート元を使用するようにAgentを設定できます。
  4. 通常は、Deep Security ManagerがAgentまたはApplianceにパターンファイルアップデートのダウンロードを指示します。[Deep Security Managerにアクセスできない場合、セキュリティアップデートの自動ダウンロードをAgent/Applianceに許可] を選択すると、AgentがDeep Security Managerと通信できない場合にも、設定済みのアップデート元からアップデートをダウンロードします。

    コンピュータがManagerにアクセスできず、近くに利用できるサポートサービスがない場合に、問題を含んでいる可能性のあるセキュリティアップデートを導入するというリスクを冒したくないときは、コンピュータでこのオプションの選択を解除することができます。

  5. トレンドマイクロでは、定期的にDeep Securityルールのアップデートを配信しています。[新しいルールアップデートを自動的にポリシーに適用] の設定では、ルールアップデートをDeep Securityのポリシーに自動的に適用するかどうかを決定します。このオプションを選択しない場合は、[管理]→[アップデート]→[セキュリティ] 画面で [ルールをポリシーに適用] ボタンをクリックし、ダウンロードしたルールアップデートをポリシーに手動で適用する必要があります。
    この設定をオフにしている場合は、新しいセキュリティアップデートはダウンロードされるのみで、Managerには適用されません。適用するには、[管理]→[アップデート]→[セキュリティアップデート] で、[すべてのルールアップデートを表示] を開いて手動で適用を実行します。
  6. セキュリティアップデートの実行命令が送信された後、その命令が実行されない場合にアラートが発令されるまでの期間を設定できます。[管理]→[システム設定]→[アラート] をクリックし、[次の期間を超えてアップデートが行われなかった場合にアラートを発令] の値を変更します。

不正プログラム対策エンジンのアップデートを設定する

セキュリティ保護を強化するために、不正プログラム対策エンジンのアップデートを自動化することもできます。デフォルトでは、この設定は無効になっていて、[コンピュータの詳細]→[アップデート]→[高度な脅威検索エンジン][最新版] セクションで「なし」と表示されます。

不正プログラム対策エンジンのアップデートを有効にするには

  1. [コンピュータ] または [ポリシー] に移動し、アップデートするコンピュータまたはポリシーをダブルクリックします。
  2. [設定]→[検索エンジンアップデート] の順に選択します。[不正プログラム対策エンジンを自動的にアップデートする] の横にあるドロップダウンメニューから [はい] を選択します。
Relay自体の保護と、同じRelayグループの検索エンジンアップデート元を最新の状態に保つために、Relayは常に最新の不正プログラム対策エンジンアップデートを受信します。そのため、Relay上でエンジンのアップデートを直接有効または無効にすることはできません。

セキュリティアップデートを実行する

セキュリティアップデートをチェックするには、定期的にチェックを実行する「セキュリティアップデートの確認」予約タスクを設定することをお勧めします。詳細については、Deep Security予約タスクの設定を参照してください。

手動でセキュリティアップデートを開始することもできます。

  • システム全体をアップデートする場合は、[管理]→[アップデート]→[セキュリティ] の順に選択して、[アップデートを確認してダウンロード] ボタンをクリックします。
  • 特定のAgentおよびApplianceでセキュリティアップデートを実行するには、[コンピュータ] に移動して、AgentまたはApplianceを選択し、右クリックして[処理]→[セキュリティアップデートのダウンロード] を選択します。

Special case: エアギャップ環境におけるRelay有効化済みAgentでのアップデートを設定する

一般的な環境では、少なくとも1つのRelay有効化済みAgentを設定し、トレンドマイクロのアップデートサーバからアップデートをダウンロードするように設定できます。残りのAgentやApplianceは、このRelay有効化済みAgentに接続してアップデートをダウンロードします。ただし、Relay有効化済みAgentがインターネット経由でアップデートサーバに接続できない場合は、非武装地帯 (DMZ) でセキュリティアップデートを取得してからエアギャップのRelayにコピーできるようにRelayを設定する必要があります。詳細については、インターネットにアクセスできない エージェントを設定するを参照してください。

セキュリティアップデートのステータスを確認する

[セキュリティアップデートの概要] 画面 ([管理]→[アップデート]→[セキュリティ]) には、セキュリティアップデートの状態が表示されます。

  • トレンドマイクロのアップデートサーバ: Relayがトレンドマイクロのアップデートサーバに接続して、最新のセキュリティアップデートの有無を確認できるかどうかが表示されます。
  • Deep Security: 最後に成功した確認とダウンロードがいつ行われたかと、次回に予定されている確認がいつ行われるかが表示されます。

    [すべてのRelayは同じコンポーネントを保持しています] では、すべてのRelayが前回正常にダウンロードされたパターンファイルアップデートを配布していることが示されます。最新でない場合、通常はトレンドマイクロのアップデートサーバと通信できないことが原因です。これは、Relayが意図的に「エアギャップ環境」にあり、手動でアップデートする必要があるか、またはネットワーク接続に問題があることを示しています。同期されていないRelayがある場合は、そのRelayへのリンクが表示されます。

  • コンピュータ: Relayに格納されているパターンファイルアップデートと比較して、すべてのコンピュータが最新であるかどうかを示します。[パターンファイルをコンピュータに送信] をクリックすると、すべてのコンピュータが割り当てられたRelayから最新のパターンファイルアップデートを取得します。

パターンファイルアップデートの詳細を確認する

[管理]→[アップデート]→[セキュリティ]→[パターンファイル] 画面には、パターンファイルアップデートを構成するコンポーネントのリストが表示されます。このページは、Deep Securityに有効なRelayがある場合のみ表示されます。

  • コンポーネント: アップデートコンポーネントの種類。
  • 対象: このコンポーネントの対象となるDeep Security製品。
  • プラットフォーム: アップデート対象のOS。
  • 現在のバージョン: 現在トレンドマイクロからDeep Securityにダウンロード済みであり、RelayおよびDeep Security Managerによって配布されるアップデート内のコンポーネントのバージョン。
  • 前回のアップデート: 現在ダウンロードされているセキュリティアップデートをトレンドマイクロから取得した日付。
特定のコンピュータで有効なセキュリティアップデートコンポーネントのバージョン番号は、コンピュータエディタの [アップデート] で確認できます。

ルールアップデートの詳細を確認する

[管理]→[アップデート]→[セキュリティ]→[ルール] 画面では、Deep Security Managerのデータベースにダウンロードされた、侵入防御、変更監視、およびセキュリティログ監視の最新ルールのリストを表示します。

この画面からは次の処理を実行できます。

  • ルールアップデートの詳細を表示する: ルールアップデートを選択して [表示] をクリックすると、アップデートに含まれる特定のルールのリストなどの詳細が表示されます。
  • ルールアップデートをロールバックする: お使いの環境で最新のルールアップデートに問題が発生した場合、以前のルールアップデートにロールバックできます。以前のアップデートにロールバックすると、ロールバックの影響を受けるすべてのポリシーが、そのポリシーを使用しているすべてのコンピュータ上でアップデートされます。ロールバックするルールアップデートを選択し、[ロールバック] をクリックします。Deep Security Managerによって生じる変更の概要が生成されるため、ロールバックを確定する前に変更内容を確認できます。
  • 現在のルールセットを再適用する: ルールアップデートが適用されていることを示します。Deep Securityによって保護されているコンピュータにルールアップデートを再適用するには、ルールアップデートを右クリックして [再適用] をクリックします。
  • ルールアップデートをインポートする: ルールアップデートは、「セキュリティアップデートの確認」予約タスクの実行時、または [管理]→[アップデート]→[セキュリティ] 画面で [アップデートを確認してダウンロード] をクリックしたときに、Deep Securityに自動的にインポートされます。ルールアップデートを手動でインポートする必要があるのは、インストール時にトレンドマイクロのアップデートサーバに接続できなかったか、サポートプロバイダから指示された場合のみです。
  • ルールアップデートをエクスポートする: サポート担当者から別途指示があった場合を除き、通常の状況下では、ルールアップデートをエクスポートする必要はありません。
  • ルールアップデートを削除する: [削除] をクリックすると、選択したルールアップデートがDeep Security Managerデータベースから削除されます。

Deep Security Managerのデータベースに保持するルールアップデートの個数は、[管理]→[システム設定]→[ストレージ] タブで設定できます。

コンピュータでRelay機能が有効になっている場合、コンピュータエディタの [セキュリティのアップデート] 画面には、AgentおよびApplianceにRelayが現在配布中のコンポーネントが表示されます。コンピュータで不正プログラム対策モジュールが有効になっている場合は、コンピュータでローカルで有効なパターンファイルも表示されます。また、この画面からセキュリティアップデートをダウンロードしたりロールバックしたりすることもできます。