本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。

本ヘルプセンターの一部の記事には外部リンクが含まれています。万一リンク切れなどお気づきの点がございましたら、お手数ですが弊社サポート窓口までご連絡ください。

インターネットにアクセスできない エージェントを設定する

エージェントまたはリレーがインターネットへのアクセス権を持っていない場合（「エアギャップAgent」とも呼ばれます）、 Trend MicroSmart Protection Networkが提供するセキュリティサービスのいくつかにアクセスすることはできません。これらのセキュリティサービスは、 Deep Security不正プログラム対策 および Webレピュテーション の機能を正常に実行するために必要です。

Trend MicroSmart Protection Network のセキュリティサービスは次のとおりです。

サービス名	対象機能
スマートスキャンサービス	スマートスキャン
Webレピュテーションサービス	Webレピュテーション
Global Censusサービス	挙動監視、機械学習型検索
Good File Reputationサービス	挙動監視、機械学習型検索、プロセスメモリ検索
機械学習型検索サービス	機械学習型検索

上記のサービスに加えて、エージェントおよびリレー対応エージェントは、トレンドマイクロのアップデートサーバ（ Smart Protection Networkの一部ではないアクティブなアップデート), とも呼ばれますが、Trendによってホストされるコンポーネントです）にもアクセスする必要があります。マイクロソフトは、インターネットを介してアクセスします。

エージェントまたはリレー対応エージェントのいずれかが上記のサービスにアクセスできない場合は、いくつかの解決方法があります（後述）。

解決策

• 解決策1:プロキシを使用する
• 解決策2:Smart Protection Serverをローカルにインストールする
• 解決策3： 隔離されたネットワークでアップデートを取得する
• 解決策4:トレンドマイクロのセキュリティサービスを使用する機能を無効にする

プロキシを使用する

エージェントまたはリレー対応エージェントがインターネットに接続できない場合は、できるプロキシをインストールできます。Deep Security AgentおよびRelayがプロキシに接続すると、このプロキシはSmart Protection Network内のトレンドマイクロのセキュリティサービスに送信接続します。

プロキシを使用すると、各 スマートスキャン または Webレピュテーション 要求が Smart Protection Networkにインターネット経由で送信されます。代わりにLAN内のSmart Protection Serverを使用して、これらの要求をネットワーク内に保持し、エクストラネットの帯域幅の使用を削減することを検討してください。

プロキシを使用するには、プロキシの背後に配置されたAgentの接続を参照してください。

Smart Protection Serverをローカルにインストールする

エージェントとリレー対応エージェントがインターネットに接続できない場合は、 が に接続できるローカルエリアネットワーク（LAN）に Smart Protection Server をインストールできます。ローカル Smart Protection Server は定期的にインターネット経由で Smart Protection ネットワークに接続し、最新の スマートスキャン不正プログラム対策 パターンファイルと Webレピュテーション 情報を取得します。この情報は、 Smart Protection Server にキャッシュされ、クライアントおよびリレー対応エージェントによって照会されます。 Smart Protection Server では、エージェントまたはリレー対応エージェントにアップデートを適用しません。

この解決策を使用する場合は、次のことに覚えておいてください。

• 機能は制限されています。ローカルの Smart Protection Serverでは、 スマートスキャン および Webレピュテーション 機能のみがサポートされます。
• 挙動監視、機械学習型検索、およびプロセスメモリ検索機能が必要な場合は、プロキシソリューションを使用してください。詳細については、前述のプロキシを使用するを参照してください。これらの機能を使用しない場合は、クエリの失敗を防止して、パフォーマンスを向上させるために、これらの機能を無効にする必要があります。これらの機能を無効にする手順については、トレンドマイクロのセキュリティサービスを使用する機能を無効にするを参照してください。

Smart Protection Serverの配置:

• 手動でインストールします。詳細については、Smart Protection Serverドキュメントを参照してください。
  OR
  
• AgentまたはRelay有効化済みAgentがAWS内にある場合は、トレンドマイクロによって作成されたAWS CloudFormationテンプレートを使用してインストールします。詳細については、AWSでのSmart Protection Serverの配置を参照してください。

上記のシナリオは、 Deep Security Agentとリレー対応エージェントがエアギャップされている場合にのみ適用されますが、 Deep Security Managerには ポート番号、URL、およびIPアドレスで説明されているように、インターネットアクセスまたはプロキシアクセスがあります。Deep Security Managerも空白にされている場合は、Trend Micro Active Update Serverからセキュリティアップデートを受信するためにプロキシを使用する必要があります。または、ソリューション3： 隔離されたネットワークでアップデートを取得するでアップデートを取得します。

隔離されたネットワークでアップデートを取得する

Deep Security Managerがインターネットに接続されていない隔離されたネットワーク内にあり、エージェントまたはリレー対応エージェントもインターネットに接続できない場合は、スタンドアロンのDeep Security Managerにデータベースとリレーを有効にすることができます。 非武装地帯（DMZ） 内のクライアントまたはインターネットアクセスが利用可能なその他のエリア

すべてのコンポーネントをインストールしたら、DMZでリレー対応エージェントを設定して、インターネット上のアップデートサーバから最新の不正プログラム検索アップデートを自動的に取得できます。これらのアップデートは、.zipファイルに解凍してから手動でAir-Gappedリレーにコピーする必要があります。(詳細な手順は以下を参照)。

この解決策を使用する場合は、次のことに覚えておいてください。

• .zipファイルには、伝統的な（大規模な）不正プログラムパターンファイルが含まれており、 不正プログラム対策 機能を利用できます。
• .zipファイルには、 侵入防御, 変更監視および セキュリティログ監視に使用されるディープセキュリティルールの更新も含まれています。これらの更新を個別に取得することもできます（ 隔離されたネットワークでルールのアップデートを取得するでルール更新を取得するを参照）。
• 次の高度な不正プログラム対策機能は使用できません。スマートスキャン、挙動監視、機械学習型検索、プロセスメモリ検索、Webレピュテーション。これらの機能はすべて、トレンドマイクロのセキュリティサービスにアクセスする必要があります。
• では、高度な 不正プログラム対策 の機能 （ソリューション4）を無効にする必要があります。この機能は使用できません。
• エアギャップRelayで.zipファイルを定期的にアップデートして、常に最新の不正プログラムパターンファイルを維持するよう計画する必要があります。

この解決策を導入するには、次の手順に従います (アップグレードの手順については、下記を参照してください)。

1. Deep Security Managerと関連するデータベースをDMZにインストールします。これらのインターネット接続コンポーネントは、「DMZ Manager」および「DMZデータベース'.」と呼ばれます。
2. Deep Security AgentをDMZにインストールして、Relayとして設定します。このAgentのことを「DMZ Relay」と呼びます。Relayの設定方法については、Relayによるセキュリティとソフトウェアのアップデートの配布を参照してください。
   Deep Security次のアイテムがインストールされました。
   • DMZ Manager
   • DMZデータベース
   • DMZ Relay
   • エアギャップManager
   • エアギャップデータベース
   • エアギャップRelay
   • 複数のエアギャップAgent

3. DMZ Relayで、次のコマンドを実行して最新の不正プログラムパターンファイルが含まれる.zipファイルを作成します。

dsa_control -b
コマンドラインの出力に、生成された.zipファイルの名前と場所が表示されます。

4. .zipファイルをair-gapped relayにコピーします。ファイルをリレーのインストールディレクトリに配置します。
   • 初期設定のディレクトリは、Windowsの場合は「C:\Program Files\Trend Micro\Deep Security Agent」、
   • Linuxの場合は、「/opt/ds_agent」です。

   .zipファイルの名前は変更しないでください。

5. エアギャップManagerで、セキュリティアップデートのダウンロードを開始します。
   1. 上部の [コンピュータ] をクリックします。
   2. コンピュータのリストで、.zipファイルをコピーしたAir-gappedリレーを探して右クリックし、[ セキュリティアップデートのダウンロード]を選択します。
      エアギャップ型リレーは、設定されたアップデート元（通常はインターネット上のアップデートサーバ).）をチェックします。このサーバに接続できないため、インストールディレクトリ内の.zipファイルを確認します。.zipファイルを見つけたら、そのファイルを解凍してアップデートをインポートします。アップデートは、リレーに接続するように設定されたエアギャップのあるエージェントに配信されます。
      
   3. エアギャップリレーにアップデートをインポートした後に、.zipファイルを削除します。
6. 空のギャップのあるリレーを、アップデートサーバではなく自身に接続するように設定します（接続エラーのアラートを防ぐために):
   1. エアギャップManagerにログインします。
   2. 上部の [管理] をクリックします。
   3. 左側で [システム設定] をクリックします。
   4. メイン画面で [アップデート] タブをクリックします。
   5. [セキュリティアップデート元] で [その他のアップデート元] を選択し、https://localhost:[port] と入力します。[port] はセキュリティデータベース用に設定したポート番号で、初期設定は4122です。
   6. [OK] をクリックします。
      エアギャップのあるリレーは、インターネット上のアップデートサーバに接続しようとしなくなりました。
7. 任意の要件 (推奨): パフォーマンスを向上するには、トレンドマイクロのセキュリティサービスを使用する機能を無効にする。
8. 定期的に最新のアップデートをDMZリレーにダウンロードし、解凍して空中中継リレーにコピーし、リレーでセキュリティアップデートのダウンロードを開始してください。

これで、不正プログラム検索アップデートの取得元であるDMZに、Deep Security Manager、関連するデータベース、およびRelayが配置されました。

この解決策をアップグレードするには、次の順序で実行します。 

1. DMZ Manager (データベースソフトウェアのアップグレードも必要な場合はそのデータベースを含む)
2. DMZ Relay
3. エアギャップManager (データベースソフトウェアのアップグレードも必要な場合はそのデータベースを含む)
4. エアギャップRelay
5. エアギャップAgent

リレーを最初にアップグレードしない場合、セキュリティコンポーネントのアップグレードとソフトウェアのアップグレードにより がに失敗することがあります。

アップグレードの詳細については、Deep Securityのインストールまたはアップグレード(Managerのアップグレード手順)、 Deep Security Relayのアップグレード、Deep Security Agentのアップグレードを参照してください。

隔離されたネットワークでルールのアップデートを取得する

前のセクションで作成した.zipファイルには、 侵入防御, 変更監視および セキュリティログ監視に使用されるディープセキュリティルールの更新が含まれています。ただし、これらの更新を個別に取得する場合は、次のようにします。

1. DMZ Managerで、[ [管理]→[アップデート]→[セキュリティ]→[ルール]]の順に選択します。
2. ルールアップデート（.dsruファイル）をクリックし、[ エクスポート]をクリックします。ファイルはローカルにダウンロードされます。
3. Air-Gapped Managerに適用する.dsruファイルごとにエクスポートを繰り返します。
4. .dsruファイルをAir-Gapped Managerにコピーします。
5. Air-Gapped Managerで、[ [管理]→[アップデート]→[セキュリティ]→[ルール]]の順に選択します。
6. インポートをクリックし、.dsruファイルを選択して、[ 次へ]をクリックします。
7. マネージャはファイルを検証し、ファイルに含まれるルールの概要を表示します。次へ をクリックします。
8. ルールのアップデートが正常にインポートされたことを示すメッセージが表示されます。閉じる をクリックします。
9. Air-Gapped Managerに適用する.dsruファイルごとにインポートを繰り返します。

トレンドマイクロのセキュリティサービスを使用する機能を無効にする

トレンドマイクロのセキュリティサービスを使用する機能を無効にできます。無効にすると、エアギャップAgentはサービスを照会しなくなるため (失敗するため) パフォーマンスが向上します。

トレンドマイクロのセキュリティサービスを使用しない場合は、不正プログラム検出が大幅にダウングレードされ、ランサムウェアがまったく検出されず、プロセスメモリ検索にも影響を与えます。そのため、トレンドマイクロのセキュリティサービスにアクセスできるように他の解決策のいずれかを使用することを強くお勧めします。これが不可能な場合は、パフォーマンスを向上するために機能を無効にする必要があります。

• スマートスキャンを無効にするには、次の手順に従います。
  1. コンピュータまたはポリシーエディタこれらの設定は、ポリシーまたは特定のコンピュータについて変更できます。 ポリシーの設定を変更するには、[ポリシー] 画面に移動し、編集するポリシーをダブルクリック (またはポリシーを選択して [詳細] をクリック) します。 コンピュータの設定を変更するには、[コンピュータ] 画面に移動し、編集するコンピュータをダブルクリック (またはコンピュータを選択して [詳細] をクリック) します。を開きます。
  2. 左側で [不正プログラム対策] をクリックします。
  3. メイン画面で [Smart Protection] をクリックします。
  4. [スマートスキャン] で [継承] (選択されている場合) を選択解除し、[オフ] を選択します。
  5. [保存] をクリックします。
• Webレピュテーションを無効にするには、次の手順に従います。
  1. コンピュータまたはポリシーエディタこれらの設定は、ポリシーまたは特定のコンピュータについて変更できます。 ポリシーの設定を変更するには、[ポリシー] 画面に移動し、編集するポリシーをダブルクリック (またはポリシーを選択して [詳細] をクリック) します。 コンピュータの設定を変更するには、[コンピュータ] 画面に移動し、編集するコンピュータをダブルクリック (またはコンピュータを選択して [詳細] をクリック) します。を開きます。
  2. 左側で [Webレピュテーション] をクリックします。
  3. メイン画面で [一般] タブが選択されていることを確認します。
  4. [設定] ドロップダウンリストから [オフ] を選択します。
  5. [保存] をクリックします。
• スマートフィードバックを無効にするには、次の手順に従います。
  1. Deep Security Managerで、上部の [管理] をクリックします。
  2. 左側にある [システム設定] をクリックします。
  3. メイン画面で [スマートフィードバック] タブをクリックします。
  4. [トレンドマイクロスマートフィードバックを有効にする (推奨)] を選択解除します。
  5. [保存] をクリックします。
• プロセスメモリ検索を無効にするには、次の手順に従います。
  1. Deep Security Managerで、上部の [ポリシー] をクリックします。
  2. 左側で [共通オブジェクト]→[その他] を展開し、[不正プログラム検索設定] をクリックします。
  3. [リアルタイム] の [検索の種類] で不正プログラム検索設定をダブルクリックします。
  4. [一般] タブの [プロセスメモリ検索] で、[プロセスメモリ内の不正プログラムを検索する] を選択解除します。
  5. [OK] をクリックします。
• 機械学習型検索を無効にするには、次の手順に従います。
  1. 不正プログラムリアルタイム検索設定がまだ開いていることを確認します。
  2. [一般] タブの [機械学習型検索] で、[機械学習型検索の有効化] を選択解除します。
  3. [OK] をクリックします。
• 挙動監視を無効にするには、次の手順に従います。
  1. 不正プログラムリアルタイム検索設定がまだ開いていることを確認します。
  2. [一般] タブの [挙動監視] で、[不審なアクティビティ/不正な変更 (ランサムウェアを含む) を検出する] と [ランサムウェアによって暗号化されたファイルをバックアップおよび復元する] の両方のオプションを選択解除します。
  3. [OK] をクリックします。

また、パフォーマンスの向上が必要な場合は、Deep Security Managerで国勢調査およびグリッドクエリを無効にします。有効にしたままにすると、多くの不要なバックグラウンド処理が実行されます。これらのクエリを無効にするには、次の手順に従います。

1. Censusクエリを無効にします。

dsm_c -action changesetting -name settings.configuration.enableCensusQuery -value false

2. GRIDクエリを無効にします。

dsm_c -action changesetting -name settings.configuration.enableGridQuery -value false