本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。

本ヘルプセンターの一部の記事には外部リンクが含まれています。万一リンク切れなどお気づきの点がございましたら、お手数ですが弊社サポート窓口までご連絡ください。

ソフトウェアパッケージのデジタル署名の確認

Deep Securityをインストールする前に、ソフトウェアZIPパッケージおよびインストーラファイルのデジタル署名を確認する必要があります。デジタル署名が正しいことは、ソフトウェアがTrend Microからのもので、壊れていないか、または改ざんされていないことを示しています。

あなたは:

ソフトウェアのチェックサム、およびセキュリティアップデートおよびDeep Security Agentモジュールのデジタル署名も検証できます。Agentによるアップデートの整合性の検証方法 およびAgent向けのLinux Secure Bootのサポート

ソフトウェアZIPパッケージの署名の確認

Deep Security Agent、 Deep Security Virtual Appliance、 、およびオンラインヘルプは、ZIPパッケージで提供されます。これらのパッケージはデジタル署名されています。ZIPファイルのデジタル署名は、次の方法で確認できます。

Deep Security ManagerにAgentソフトウェアパッケージをダウンロードする または Agentのインストーラをエクスポートするをエクスポートします。

インポートまたはエクスポートすると、マネージャはZIP ファイルのデジタル署名をチェックします。署名が良好な場合、マネージャはインポートまたはエクスポートを続行します。署名が不正の場合、または存在しない場合、マネージャは処理を禁止し、ZIPを削除してイベントをログに記録します。

ファイルの削除およびイベントログの生成には、 Deep Security Managerのビルド12.5.752以降が必要です。

  1. Deep Security Managerにログインします。
  2. 上部の [管理] をクリックします。
  3. 左側で、[アップデート> ソフトウェア> ローカル]を展開します。
  4. デジタル署名を確認するZIPパッケージを見つけてダブルクリックします。(見つからない場合は、ダウンロードしてください.)
  5. ZIPファイルのプロパティページが開き、マネージャがデジタル署名を確認します。署名が良好な場合は、署名フィールドに緑色のチェックマークが表示されます。シグネチャが不良であるか、存在しない場合、マネージャはZIPを削除し、イベントをログに記録します。

    ファイルの削除およびイベントログの生成には、 Deep Security Managerのビルド12.5.752以降が必要です。

jarsigner Javaユーティリティを使用して、 a ZIP上の署名がマネージャから確認できない場合にチェックします。たとえば、マネージャ以外のソースからエージェントの ZIPパッケージ(例:Deep Security Software)を取得した後、 エージェントを手動でインストールする場合を考えてみましょう。このシナリオでは、managerが関与していないため、jarsignerユーティリティを使用します。

jarsignerを使用して署名をチェックするには

  1. お使いのコンピュータに最新のJava Development Kitをインストールしてください。
  2. ZIPをダウンロードします。
  3. JDK内のjarsignerユーティリティを使用して、署名を確認します。コマンドは次のとおりです。

    jarsigner -verify -verbose -certs -strict <ZIP_file>

    例:

    jarsigner -verify -verbose -certs -strict Agent-RedHat_EL7-11.2.0-124.x86_64.zip

  4. エラー (エラーがある場合) と証明書の内容を読んで、署名が信頼できるかどうかを判断します。

インストーラファイル (EXE、MSI、RPM、またはDEBファイル) の署名の確認

Deep Security Agent、Deep Security Manager、およびDeep Security Notifierのインストーラは、RSAを使用してデジタル署名されています。インストーラは、Windows上のEXEまたはMSIファイル、Linux OS上のRPMファイル(Amazon、CloudLinux、Oracle、Red Hat、およびSUSE), )またはDebian上のDEBファイルおよびUbuntu。

以下の手順では、インストーラファイルでデジタル署名を手動で確認する方法について説明します。この確認を自動化したい場合は、これをAgentインストールスクリプトに含めることができます。インストールスクリプトの詳細については、インストールスクリプトを使用したコンピュータの追加と保護を参照してください。

確認するインストーラファイルの種類に対応する指示に従います。

EXEまたはMSIファイルの署名の確認

  1. EXEファイルまたはMSIファイルを右クリックして、[のプロパティ]を選択します。
  2. [デジタル署名] タブをクリックし、署名を確認します。

RPMファイルの署名の確認

あなたはそれが既にインストールされていない場合は、署名をチェックするつもりエージェント上でGnuPGのしてインストールします。このユーティリティにはGPGコマンドラインツールが含まれています。このツールは、署名キーをインポートしてデジタル署名を確認するために必要なツールです。

GnuPGは、ほとんどのLinuxディストリビューションに初期設定でインストールされています。

  1. エージェントのZIPファイルのルートフォルダにある3trend_public.ascファイルを探します。ASCファイルには、デジタル署名の検証に使用できるGPG公開署名キーが含まれています。
  2. (オプション) 任意のハッシュユーティリティを使用して、ASCファイルのSHA-256ハッシュダイジェストを確認します。ハッシュは次のとおりです。 

    c59caa810a9dc9f4ecdf5dc44e3d1c8a6342932ca1c9573745ec9f1a82c118d7

  3. シグネチャをチェックするエージェントコンピュータで、ASCファイルをインポートします。次のコマンドを使用します。

    コマンドでは大文字と小文字が区別されます。

    gpg --import 3trend_public.asc

    次のメッセージが表示されます。

    gpg: directory `/home/build/.gnupg' created

    gpg: new configuration file `/home/build/.gnupg/gpg.conf' created

    gpg: WARNING: options in `/home/build/.gnupg/gpg.conf' are not yet active during this run

    gpg: keyring `/home/build/.gnupg/secring.gpg' created

    gpg: keyring `/home/build/.gnupg/pubring.gpg' created

    gpg: /home/build/.gnupg/trustdb.gpg: trustdb created

    gpg: key E1051CBD: public key "Trend Micro (trend linux sign) <alloftrendetscodesign@trendmicro.com>" imported

    gpg: Total number processed: 1

    gpg: imported: 1 (RSA: 1)

  4. GPGパブリック署名キーをASCファイルからエクスポートします。

    gpg --export -a 'Trend Micro' > RPM-GPG-KEY-CodeSign

  5. GPGパブリック署名鍵をRPMデータベースにインポートします。

    sudo rpm --import RPM-GPG-KEY-CodeSign

  6. GPGパブリック署名キーがインポートされたことを確認します。

    rpm -qa gpg-pubkey*

  7. インポートされたGPG公開鍵のフィンガープリントが表示されます。トレンドマイクロの鍵を次に示します。

    gpg-pubkey-e1051cbd-5b59ac99

    署名鍵がインポートされ、 エージェント RPMファイルのデジタル署名のチェックに使用できます。

RPMファイルの署名を手動で確認するのではなく、次に説明するように、配信スクリプトで署名を確認することもできます。詳細については、インストールスクリプトを使用したコンピュータの追加と保護を参照してください。

次のコマンドを使用します。

rpm -K Agent-PGPCore-<OS agent version>.rpm

例:

rpm -K Agent-PGPCore-RedHat_EL7-11.0.0-950.x86_64.rpm

Agent-PGPCore-<...>.rpmファイルで上記のコマンドを実行してください。(Agent-Core-<...>.rpmで実行すると.)を使用できない)エージェント ZIPでAgent-PGPCore-<...>.rpmファイルが見つからない場合は、新しいZIPを使用する必要があります。具体的には次のとおりです。

  • Deep Security Agent 11.0 Update 15以降のアップデート

    or

  • Deep Security Agent 12 Update 2以降

署名の検証に成功すると、次のメッセージが表示されます。

Agent-PGPCore-RedHat_EL7-11.0.0-950.x86_64.rpm: rsa sha1 (md5) pgp md5 OK

DEBファイルの署名の確認

あなたはそれが既にインストールされていない場合は、署名をチェックするつもりエージェント上でのdpkg-SIGをインストールします。このユーティリティにはGPGコマンドラインツールが含まれています。このツールは、署名キーをインポートしてデジタル署名を確認するために必要なツールです。

  1. エージェントのZIPファイルのルートフォルダにある3trend_public.ascファイルを探します。ASCファイルには、デジタル署名の検証に使用できるGPG公開署名キーが含まれています。
  2. (オプション) 任意のハッシュユーティリティを使用して、ASCファイルのSHA-256ハッシュダイジェストを確認します。ハッシュは次のとおりです。 

    c59caa810a9dc9f4ecdf5dc44e3d1c8a6342932ca1c9573745ec9f1a82c118d7

  3. あなたが署名をチェックするつもりエージェントで、GPGキーリングにASCファイルをインポートします。次のコマンドを使用します。

    gpg --import 3trend_public.asc

    次のメッセージが表示されます。

    gpg: key E1051CBD: public key "Trend Micro (trend linux sign) <alloftrendetscodesign@trendmicro.com>" imported

    gpg: Total number processed: 1

    gpg: imported: 1 (RSA: 1)

  4. (オプション)Trend Micro Key情報を表示します。次のコマンドを使用します。

    gpg --list-keys

    次のようなメッセージが表示されます。

    /home/user01/.gnupg/pubring.gpg

    -------------------------------

    pub 2048R/E1051CBD 2018-07-26 [expires: 2021-07-25]

    uid Trend Micro (trend linux sign) <alloftrendetscodesign@trendmicro.com>

    sub 2048R/202C302E 2018-07-26 [expires: 2021-07-25]

以下で説明するように、手動でDEBファイルの署名を検証する代わりに、配置スクリプトで署名を検証することもできます。詳細については、インストールスクリプトを使用したコンピュータの追加と保護を参照してください。

次のコマンドを入力します。

dpkg-sig --verify <agent_deb_file>

ここで、<agent_deb_file>はエージェントの DEBファイルの名前とパスです。たとえば、次のとおりです。

dpkg-sig --verify Agent-Core-Ubuntu_16.04-12.0.0-563.x86_64.deb

処理メッセージが表示されます。

Processing Agent-Core-Ubuntu_16.04-12.0.0-563.x86_64.deb...

署名が正常に確認されると、次のメッセージが表示されます。

GOODSIG _gpgbuilder CF5EBBC17D8178A7776C1D365B09AD42E1051CBD 1568153778