本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。
本ヘルプセンターの一部の記事には外部リンクが含まれています。万一リンク切れなどお気づきの点がございましたら、お手数ですが弊社サポート窓口までご連絡ください。
Relayによるセキュリティとソフトウェアのアップデートの配布
Deep Security環境の最大限の保護を実現するには、次の2つのコンポーネントを定期的にアップデートする必要があります。ソフトウェアのアップデートでは、 Deep Security エージェントに新機能と改善点が追加されました。セキュリティアップデートでは、新しい脅威に対してすぐに保護機能が提供されます。
Deep Security リレーは、これらのアップデートの配信を最適化するのに役立ちます。リレーは、ソフトウェアとセキュリティのアップデートを他のDeep Security AgentおよびVirtual Applianceに配信できるエージェントです。Relayには次の機能があります。
- アップデートトラフィックを形成することにより、WAN帯域幅のコストを削減します。
- アップデート配布のための冗長性を提供します。
リレーは Deep Security 配置の必須部分です。環境内には、Relayが1つ以上存在している必要があります。
まずRelayの仕組みについて学び、次に使用するRelayの数を決定する方法について学び、最後に1つ以上のRelayを設定する方法について学びます。
必要に応じて、AgentからRelay機能を削除することもできます。
Relayの仕組み
Relayは、WAN接続を介して直接トレンドマイクロのアップデートサーバからセキュリティアップデートをダウンロードし、Deep Security Managerからソフトウェアアップデートをダウンロードします。Relayを使用する場合、セキュリティアップデートとソフトウェアアップデートは、WAN接続を介して一度だけダウンロードする必要があります。リレーは、アップデート配信センターとして機能し、セキュリティおよびソフトウェアのアップデートは、マネージャによって指示されると、他のクライアントによってダウンロードされます。
Deep Security Managerに接続してアップデートをダウンロードできない場合、RelayはDeep Securityダウンロードセンターから直接アップデートをダウンロードします。
セキュリティアップデートと、Relayによるセキュリティアップデートの配布方法の詳細については、セキュリティアップデートの取得と配布を参照してください。
RelayはRelayグループにまとめられます。Relayをグループにまとめることで、アップデートの負荷が複数のRelayに分散され、Deep Security環境に冗長性が追加されます。
Relayグループは、配布階層の一部にすることもできます。Relayグループの配布階層を作成することで、以下の項目を指定してパフォーマンスと帯域幅の使用をさらに改善できます。
- AgentがセキュリティアップデートとソフトウェアアップデートをダウンロードするRelayグループ
- Relayグループがセキュリティアップデートとソフトウェアアップデートを互いにダウンロードする順序
使用するRelayの数を決定する
Deep Security環境には少なくとも1つのRelayが必要ですが、Trend Microでは、ベースラインとして、環境に少なくとも2つのRelayを使用することをお勧めします。ただし、次の項目に応じて追加のRelayを使用する必要がある場合もあります。
Agentの地域
Agentは、同じ地域のRelayグループからアップデートをダウンロードすることをお勧めします。複数の地域にAgentがある場合、各地域には少なくとも1つのRelayがある独自のRelayグループが必要です。
ネットワーク設定
ネットワーク設定では、AgentのネットワークセグメントとリモートDeep Security Managerまたはトレンドマイクロのアップデートサーバの間に、帯域幅の低いWAN接続、ルータ、ファイアウォール、またはプロキシが含まれる場合があります。これらの設定が原因で、ソフトウェアアップデートとセキュリティアップデートの配布が遅くなるボトルネックが発生する可能性があります。これらの設定の影響を軽減するには、各ネットワークセグメント内にRelayを配置する必要があります。
ネットワーク帯域幅の使用
Agentへのセキュリティアップデートとソフトウェアアップデートのダウンロードにより、ネットワークが集中的に使用される可能性があります。Relayを使用することで、どのようにネットワーク帯域幅を使用してアップデートを配布するかを決定できます。Relayをネットワークセグメント内に配置することで、Relayがそのセグメントのセキュリティアップデートとソフトウェアアップデートの単一のダウンロード元になります。その後、AgentはローカルRelayからアップデートするため、WAN接続からローカル内部接続にアップデートをダウンロードするために必要となる全体の帯域幅が削減されます。
サイジングの推奨設定
より多くのRelayを有効にする前に、Relayとして有効にするコンピュータがDeep Security AgentおよびRelayのサイジング要件を満たしていることを確認してください。また、ご利用のエージェントでRelay機能がサポートされていることも確認してください (各プラットフォームでサポートされている機能を参照してください)。
ほとんどの環境では、冗長性のために少なくとも2つのRelayを配置することをお勧めします。RelayはDeep Security Managerと同じ場所に配置できます。ただし、前述のように、配置するRelayの数を決定する際には、地理的な位置、ネットワーク設定、およびネットワーク帯域幅などの要素も考慮する必要があります。環境内に (10,000を超える) 多数のAgentがある場合は、Relayを専用のシステムに配置する必要があります。
次の場合も、Relayを追加できます。
- 環境のネットワーク設定が変更された場合。
- アップデートの配布に追加の冗長性を提供する必要がある場合。
1つ以上のRelayを設定する
Relayを設定するには、次の手順を実行する必要があります。
- 1つ以上のRelayグループを作成する。
- 1つ以上のRelayを有効にする。
- AgentをRelayグループに割り当てる。
- セキュリティアップデートとソフトウェアアップデートのためのRelay設定を指定する。
1つ以上のRelayグループを作成する
すべてのRelayは、Relayグループに属する必要があります。Deep Security Managerのインストール中にDeep Security Relayをインストールした場合は、初期設定のRelayグループが自動的に作成されています。追加のRelayグループを作成することもできます。
各Agentは、割り当てられたグループ内のRelayがランダムに並べられたリストから、アップデートのダウンロードを試みます。特定のRelayからの応答がない場合、Agentはアップデートを正常にダウンロードできるまでリストから別のRelayを試します。このリストはAgentごとにランダムなため、アップデートの負荷はグループ内のRelayで均等に共有されます。
- [管理]→[アップデート]→[Relayの管理] に進みます。
- [Relayの管理] ウィンドウで、[新規Relayグループ...] をクリックします。表示された [Relayグループのプロパティ] 画面で、Relayグループの設定を指定します。
- Relayグループの [名前] を入力します。
- [アップデート元] を選択します。このアップデート元により、Relayグループがセキュリティアップデートをどこからダウンロードして配布するかが決まります。アップデート元には、次のいずれかを使用できます。
- セキュリティアップデート元
初期設定では、セキュリティアップデート元はトレンドマイクロのアップデートサーバですが、代わりにローカルミラーに設定できます。初期設定のRelayグループは、常にセキュリティアップデート元を使用します。詳細については、セキュリティアップデート元および設定を指定するを参照してください。 - 親Relayグループ
すでに他のRelayグループを作成している場合は、そのいずれかをアップデート元として使用するようにRelayグループを設定できます。
Relayグループのアップデートダウンロード元を選択する際には、コストと速度の要件に最も適したダウンロード元を選択する必要があります。Relayグループが配布階層の一部である場合でも、セキュリティアップデート元からアップデートをダウンロードする方が安価または高速である場合は、必ずしも親グループのRelayからアップデートをダウンロードする必要はありません。
非常に大規模な環境でのパフォーマンスを向上させるには、複数のRelayグループを作成し、階層内にRelayを配置します。1つ以上の第1レベルのRelayグループがトレンドマイクロのアップデートサーバからアップデートを直接ダウンロードしてから、第2レベルのRelayグループが第1レベルのグループからアップデートをダウンロードします。以降のレベルも同様です。ただし、各グループレベルで待ち時間が追加されるため、Relayグループのレベルが多すぎると、Relayによる帯域幅の最適化よりも合計待ち時間の影響が大きくなり、パフォーマンスが低下する可能性があります。 - セキュリティアップデート元
- セキュリティアップデート元にアクセスするためにRelayが使用する必要がある、[アップデート元のプロキシ] (ある場合) を選択します。
初期設定のRelayグループを除くすべてのRelayグループを、プロキシサーバ経由でセキュリティアップデートをダウンロードするように設定できます。初期設定のRelayグループは、Deep Security Managerと同じプロキシを使用します。 プロキシの背後に配置されたAgentの接続 および 不正プログラム対策およびルールアップデート用にプロキシを設定する (CLI)のプロキシを設定します。
Relayグループがセキュリティアップデート元を使用するように設定されている場合、Relayはこのプロキシを使用します。または、このRelayグループが別のRelayグループからセキュリティアップデートをダウンロードするように設定されている場合、Relayは親Relayグループに接続できない場合を除いてプロキシを使用しないため、セキュリティアップデート元への接続を試みます。
Deep Security Agentバージョン10.0以前では、プロキシ経由でのRelayへの接続はサポートされていません。 アプリケーションコントロールルールセットのダウンロードで がプロキシ経由で失敗し、クライアントがリレーまたはマネージャにアクセスするためにプロキシを必要とする場合は、次のいずれかを実行する必要があります。- Agentのソフトウェアをアップデートして(Deep Security Agentソフトウェアの入手を参照)、プロキシを設定します。
- プロキシをバイパスする。
- アプリケーションコントロール ルールセットがを回避する回避策を設定する
- Relayグループをさらに作成する必要がある場合は、上記の手順を繰り返します。
1つ以上のRelayを有効にする
- [管理]→[アップデート]→[Relayの管理] に進みます。
- Relayグループをクリックして選択します。
-
[Relayの追加...] をクリックします。
-
[使用可能なAgent] リストからコンピュータを選択し、[Relayを有効にしてグループに追加] をクリックします。検索フィールドを使用してコンピュータのリストをフィルタできます。
コンピュータがRelayグループに追加され、Relayアイコン (
) が表示されます。 - コンピュータでWindowsファイアウォールまたはiptablesが有効になっている場合は、Relayの待機ポート番号への受信接続を許可するファイアウォールルールも追加します。
-
Relayをプロキシ経由で接続する必要がある場合は、プロキシを経由してAgent、Appliance、Relayをセキュリティアップデートに接続するを参照してください。
新しくアクティブにされたリレーは、マネージャによってセキュリティアップデートの内容をアップデートするように自動的に通知されます。
AgentをRelayグループに割り当てる
Relayグループには手動でAgentを割り当てることや、イベントベースタスクを設定して自動的にAgentを割り当てることができます。
- Deep SecurityManagerで、[コンピュータ] に進みます。
-
コンピュータを右クリックして、[処理]→[Relayグループの割り当て] の順に選択します。
複数のコンピュータを割り当てるには、リスト内のコンピュータをShiftキーまたはCtrlキーを押しながらクリックし、[処理]→[Relayグループの割り当て] の順に選択します。
- 使用するRelayグループをリストから選択するか、[コンピュータの詳細] 画面の [アップデートのダウンロード元] を使用してRelayグループを選択します。
セキュリティアップデートとソフトウェアアップデートのためのRelay設定を指定する
Deep Security Managerは、[管理]→[システム設定]→[アップデート] 画面で、セキュリティアップデートとソフトウェアアップデートを実行するためにRelayが使用される方法に影響を与える追加の設定を提供しています。
セキュリティアップデート
- サポート対象の8.0および9.0エージェントのアップデートを許可: Deep Security Agent 8.0または9.0のセキュリティアップデートが必要な場合は、このオプションを選択します。初期設定では、 Deep Security Managerは Deep Security Agent 9.0以前のアップデートをダウンロードしません。
8.0および9.0エージェントの使用期限が終了しました。これにより、トレンドマイクロからは、セキュリティアップデート、ソフトウェアアップデート、およびサポートサービスが提供されなくなります。サポートされている8.0および9.0のエージェントの詳細については、), ではなく Deep Security LTSのライフサイクル日を参照してください。
- すべての地域のパターンファイルをダウンロード: マルチテナントモードで稼働していて、いずれかのテナントが他のリージョンにある場合は、このオプションを選択します。このオプションの選択を解除すると、RelayはDeep Security Managerがインストールされたリージョン (ロケール) のパターンファイルのみをダウンロードして配布します。
- プライマリテナント Relay グループを初期 Relay グループとして使用します(割り当てられていないリレー): の場合は、プライマリテナント Relay グループを使用します。初期設定では、他のテナントは、プライマリテナントのRelayにアクセスできます。この場合、テナントに独自のRelayを設定する必要はありません。他のテナントがプライマリテナントのRelayを共有しないようにするには、このオプションの選択を解除し、他のテナント用の別のRelayを作成します。このオプションの選択が解除されている場合、[管理]→[アップデート]→[Relayグループ] の順にクリックすると、Relayグループ名は「プライマリテナントのRelayグループ」ではなく「初期設定のRelayグループ」になります。この設定は、マルチテナントモードを有効にしている場合のみ表示されます。
その他のセキュリティアップデートの設定の詳細については、セキュリティアップデートの取得と配布を参照してください。
ソフトウェアアップデート
- Deep Security Managerにアクセスできない場合、トレンドマイクロのダウンロードセンターからのソフトウェアアップデートのダウンロードをRelayに許可 オプションは、Deep Security Managerをエンタープライズ環境に展開し、クラウド環境でコンピュータを管理している場合に役立ちます。このオプションを有効にしてクラウド内にRelayを設定すると、そのRelayはダウンロードセンターから直接ソフトウェアアップデートを入手できるようになります。ソフトウェアを手動でアップグレードしたり、クラウドからエンタープライズ環境へのポート番号を開いたりする必要はありません。
その他のソフトウェアアップデートの設定の詳細については、アップグレードについてを参照してください。
AgentからRelay機能を削除する
次の場合に、Relay有効化済みAgentからRelay機能を削除できます。
- 環境内にRelay有効化済みAgentが多すぎるため、通信速度が遅くなった場合。
- AgentがインストールされているコンピュータがRelay機能のための最小システム要件を満たしていない場合。
Deep Securityは、Deep Security Virtual Applianceで保護された仮想マシンをvMotionにより移行する際に、Relayを使用してデータを保存します。環境内でvMotionを使用して仮想マシンを移行している場合、特定のAgentからRelay機能を削除すると、移行対象の仮想マシンに対する保護が失われ、Virtual Applianceのセキュリティイベントも失われる可能性があります。
- [管理]→[アップデート]→[Relayの管理] に進みます。
- Relay機能を削除するコンピュータがあるRelayグループの横の矢印をクリックします。
-
コンピュータをクリックし、[Relayの削除] をクリックします。
Agentのステータスが「無効化しています」に変わり、Relay機能がAgentから削除されます。
Relay機能がAgentから削除されるまでに、最大で15分かかる場合があります。Agentがこれよりも大幅に長く「無効化しています」状態になっている場合は、Agentを無効化してから再有効化し、AgentからのRelay機能の削除を完了します。