本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。

本ヘルプセンターの一部の記事には外部リンクが含まれています。万一リンク切れなどお気づきの点がございましたら、お手数ですが弊社サポート窓口までご連絡ください。

共有ルールセットとグローバルルールセットを作成するためのAPIの使用

アプリケーションコントロールの概要については、アプリケーションコントロールによるソフトウェアのロックダウンを参照してください。初期設定の手順については、アプリケーションコントロールの設定を参照してください。

自動化センターでDeep Security Manager APIを使用すると、共有ルールセットとグローバルルールを作成できます。1種類のルールセットを使用することも、組み合わせて使用することもできます。詳細については、 共有ルールセットの作成 および グローバルルールの追加を参照してください。

  • ローカルルールセット:コンピュータのソフトウェアインベントリの一部として、またはメンテナンスモードで追加されたルールは、保護対象コンピュータにのみ保存され、Deep Security Managerでは表示されません。Deep Security Managerで設定するルールの許可またはブロックは、Agentに送信され、両方の場所に保存されます。Agentはインベントリ情報をManagerに転送しないため、ローカルルールセットは共有ルールセットよりも優れたパフォーマンスを発揮します。

    Deep Security 10 Agentは、新規のソフトウェアやソフトウェアの変更を判定するために、最初にインストールされていたソフトウェアのSHA-256ハッシュ、ファイルサイズ、パス、およびファイル名を比較します (これらには「ファイルベース」のローカルルールセットが使用されています)。Deep Security 11 (またはそれ以降の) Agentは、ファイルのSHA-256ハッシュおよびファイルサイズのみを比較します (これらには「ハッシュベース」のローカルルールセットが使用されています)。Deep Security 11 (またはそれ以降の) Agentで作成されたルールでは、一意のハッシュおよびファイルサイズのみを比較するので、ソフトウェアファイルの名前変更または移動が実行された場合にも、ルールは引き続き適用されます。そのため、Deep Security 11 (またはそれ以降の) Agentを使用すると、処理の必要なソフトウェア変更の数が削減されます。Deep Security 10 Agentは、Deep Security 11以降にアップグレードしない限り、引き続きファイルベースのローカルルールセットを使用します。Agentをバージョン11以降にアップグレードすると、そのローカルルールセットはハッシュベースのルールを使用するように変換されます。

    同じハッシュ値に対するファイルベースのルールが複数ある場合、それらのルールは1つのハッシュベースのルールに統合されます。統合されるルールが相互に競合する場合 (1つのルールがファイルをブロックし、もう1つがそのファイルを許可する場合)、新しいハッシュベースのルールは「許可」ルールになります。

  • 共有ルールセット:すべてのルールデータをAgentとManagerの両方に同期します (有効な場合はRelayも対象)。これにより、ネットワークとディスクの使用量が増加します。ただし、初期インベントリ検索またはメンテナンスモードのルールを確認する必要がある場合や、設定が同一でなければならない多数のコンピュータで構成されるサーバファームを管理する場合は、共有ルールセットを使用する方が業務を簡素化できることがあります。共有ルールセットは、同じ構成のLAMP Webサーバで構成されるサーバプールや、複数仮想マシンでオートスケーリンググループを構成している場合などに便利です。管理作業の負荷も軽減できます。

    [承認されていないソフトウェアを明示的に許可するまでブロック] が有効で、コンピュータが単に類似しているが同一ではない場合は、共有ルールセットを使用しないでください。最初のコンピュータのルールセットに含まれていない他のコンピュータのすべてのソフトウェアがブロックされてしまいます。重要なファイルが含まれている場合、OSが破損する可能性があります。OSが破損すると、再インストール、バックアップの復元、またはOSの復旧モードの使用が必要になる可能性があります。

    Deep Security 11.1以降を使用して新しい共有ルールセットを作成すると、ハッシュベースのルール(ファイルのハッシュとサイズのみを比較するルール)のみを含めることができます。Deep Security 11.0以前を使用して共有ルールセットを作成した場合は、ファイルベースのルール(ファイルの名前、パス、サイズ、およびハッシュを比較するルール)が含まれます。共有ルールセットを使用するすべてのAgentがDeep Security Agent 11.0以降にアップグレードされるまで、古い共有ルールセットでは引き続きファイルベースのルールが使用されます。すべてのAgentがバージョン11.0以降にアップグレードされると、ハッシュベースのルールを使用するように共有ルールセットが変換されます。

    ルールセットを使用するすべてのAgentがバージョン11.0以降である場合を除き、新しい共有ルールセットを作成しないでください。新しい共有ルールセットはハッシュベースのルールセットであり、10.3以前のAgentとの互換性がありません。10.3以前のAgentでサポートされているのは、ファイルベースのルールセットのみです。

    同じハッシュ値に対するファイルベースのルールが複数ある場合、それらのルールは1つのハッシュベースのルールに統合されます。統合されるルールが相互に競合する場合 (1つのルールがファイルをブロックし、もう1つがそのファイルを許可する場合)、新しいハッシュベースのルールは「許可」ルールになります。

共有ルールを作成するには、オートメーションセンターで 共有ルールセット を作成を参照してください。

  • グローバルルール: 共有ルールセットと同様に、グローバルルールはマネージャによってエージェントに配信されます(リレーが有効な場合は).これにより、ネットワークとディスクの使用量が増加します。ただし、これらのルールセットはグローバルであるため、各ポリシーでの選択の手間を省くことができます。グローバルルールは、Deep Security Managerに表示されるルールセットの一部ではありません。グローバルルールにはブロックルールのみを含めることができ、ルールは許可しません。

    グローバルルールには、 Deep Security エージェント10.2以降が必要です。Managerはそれより古いAgentにはグローバルルールセットを送信しません。グローバルルールセットは、他のすべてのアプリケーションコントロールルールよりも優先されます。また、アプリケーションコントロールが有効になっているすべてのコンピュータに適用されます。グローバルルールのルールは、ファイルのSHA-256ハッシュに基づいています。ソフトウェアファイルのハッシュは一意のため、ファイルパス、ポリシー、コンピュータグループに関係なく、またアプリケーションコントロールによって以前にソフトウェアが検出されているかどうかに関係なく、特定のソフトウェアをあらゆる場所でブロックできます。

    マルチテナント展開では、各テナントにグローバルルールが個別に割り当てられます。すべてのテナントに対してソフトウェアをブロックするには、各テナントに同一のグローバルルールを作成します。

共有ルールを作成するには、オートメーションセンターで グローバルルール を追加を参照してください。

このトピックの内容:

共有ルールセットを作成する

APIを使用して、共有の許可ルールまたはブロックルールを作成し、ルールセットを他のコンピュータに適用できます。これは、同一のコンピュータが複数ある場合 (Webサーバファームで負荷を分散している場合など) に便利です。共有ルールセットはインベントリが完全に一致するコンピュータにのみ適用する必要があります。

  1. APIを使用して、コンピュータの共有の許可ルールとブロックルールを作成します。詳細については、 共有ルールセットの作成を参照してください。共有ルールセットを配信する前に内容を確認する場合は、アプリケーションコントロールルールセットの表示と変更を参照してください。
  2. コンピュータエディタまたはポリシーエディタClosedこれらの設定は、ポリシーまたは特定のコンピュータについて変更できます。 ポリシーの設定を変更するには、[ポリシー] 画面に移動し、編集するポリシーをダブルクリック (またはポリシーを選択して [詳細] をクリック) します。 コンピュータの設定を変更するには、[コンピュータ] 画面に移動し、編集するコンピュータをダブルクリック (またはコンピュータを選択して [詳細] をクリック) します。で、[アプリケーションコントロール] に進みます。
  3. [ルールセット] で、[設定を継承] が選択されていないことを確認してから、[共有ルールセットを使用] を選択します。使用する共有ルールセットを指定します。

    これらの設定は、APIを使用して作成した共有ルールセットがない場合は表示されません。共有ルールセットを作成していない場合、または初期設定をそのまま使用する場合は、各コンピュータには独自の許可およびブロックルールがローカルに使用されます。ローカルルールに対する変更は他のコンピュータには反映されません。

  4. [保存] をクリックします。

    コンピュータのDeep Security Agentが次回Deep Security Managerに接続するときに、Agentによってルールが適用されます。

    ルールセットのアップロードに失敗したことを示すエラーが表示された場合は、AgentとManagerまたはRelay間のネットワークデバイスによって、ハートビートポート番号またはRelayポート番号の通信が許可されていることを確認します。

共有許可およびブロックルールからコンピュータ固有の許可およびブロックルールに切り替える

コンピュータで共有許可またはブロックルールを使用している場合は、ローカルルールを使用するようにで変更できます。アプリケーションコントロールをはじめて有効にしたときと同様に、ファイルシステムに現在インストールされているすべてのソフトウェアが検索され、初期ルールセットが作成されます。

この手順を開始する前に、適切なソフトウェアのみが現在インストールされていることを確認してください。ルールセットを再構築すると、安全性が確認されていないソフトウェアや不正プログラムも含め、現在インストールされているすべてのソフトウェアが許可されます。インストールされているソフトウェアを把握していない場合は、クリーンインストールを実施し、その後でアプリケーションコントロールを有効にするのが最も安全な方法です。

以下の手順は、特定のコンピュータのAgentでローカルルールセットを使用するように設定する手順です。すべてのコンピュータでローカルルールを使用する場合は、代わりに [ポリシー] タブで設定を編集します。

  1. コンピュータエディタClosedコンピュータエディタを開くには、[コンピュータ] 画面に移動し、編集するコンピュータをダブルクリック (またはコンピュータを選択して [詳細] をクリック) します。で、[アプリケーションコントロール] に進みます。
  2. [ルールセット] で、[設定を継承] が選択されている場合は解除し、[最初はインストールされているソフトウェアに基づいてローカルルールセットを使用] を選択します。
  3. [保存] をクリックします。

    変更を確認するには、AgentとDeep Security Managerとの次回接続時に、アプリケーションコントロールルールセットの構築に関するイベントログを確認します。

Relayを介してアプリケーションコントロール共有ルールセットをインストールする

アプリケーションコントロールルールセットを作成または変更するたびに、使用するすべてのコンピュータに配布する必要があります。共有ルールセットはローカルルールセットよりも大きくなります。また、共有ルールセットはさまざまなサーバにも適用されることがあります。ルールセットをManagerから同時に直接ダウンロードすると、負荷が大きくなり、パフォーマンスが低下する可能性があります。グローバルルールセットの注意事項も同じです。

Deep Security Relayを使用すると、この問題を解決できます。(Relayの設定の詳細については、「Relayによるセキュリティとソフトウェアのアップデートの配布」を参照してください。)

マルチテナント環境を使用しているかどうかによって、手順が異なります。

単一テナント環境

[管理]→[システム設定]→[詳細] の順に選択し、[アプリケーションコントロールルールセットをRelayから提供する] を選択します。

ローカルルールセットと共有ルールセット

マルチテナント環境

プライマリテナント (t0) は他のテナント (tN) の設定にアクセスできないため、t0 RelayにはtNアプリケーションコントロールルールセットが設定されません。他のテナント (tN) は独自のRelayグループを作成してから [アプリケーションコントロールルールセットをRelayから提供する] を選択する必要があります。

tNルールセットRelay

Relayと共有ルールセットを使用する際の注意事項

Relayを使用する前に、Relayに使用環境との互換性があることを確認してください。以前にダウンロードされて現在有効になっているルールセットがAgentにない場合、Agentが新しいアプリケーションコントロールルールを受け取らないと、コンピュータがアプリケーションコントロールによって保護されることはありません。アプリケーションコントロールルールセットのダウンロードに失敗した場合は、ルールセットダウンロード失敗イベントが、ManagerおよびAgentで記録されます。

  • プロキシを使用してAgentをManagerに接続する場合は、Relayを使用する必要があります。

    Deep Security Agent 10.0以前では、プロキシ経由でのRelayへの接続がサポートされていませんでした。プロキシが原因でルールセットダウンロードに失敗した場合、およびAgentがRelayまたはManager にアクセスするためのプロキシを必要とする場合は、次のいずれかを実行する必要があります。

  • 共有ルールセットまたはグローバルルールセットを使用している場合は、Relayを使用するとパフォーマンスが向上します。
  • ローカルルールセットを使用している場合は、Relayを使用するとパフォーマンスが低下する可能性があります。
  • プライマリ以外のテナント (tN) が初期設定のプライマリ (t0) Relayグループを使用する場合は、マルチテナント設定でRelayを使用しないでください。