本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。

本ヘルプセンターの一部の記事には外部リンクが含まれています。万一リンク切れなどお気づきの点がございましたら、お手数ですが弊社サポート窓口までご連絡ください。

Applianceのインストール (NSX-T)

アプライアンスを配信する前にのタスクを完了したら、NSX-T Data Centerにアプライアンスを配信する準備が整いました。以下の手順に従ってください。

NSX Data Center for vSphere (NSX-V) へのインストールについては、Applianceのインストール (NSX-V)を参照してください。

• 手順1: Deep Security ManagerにApplianceパッケージをインポートする
• 手順2: ファブリック設定を準備する
• 手順3: Deep Security ManagerにvCenterを追加する
• 手順4: Deep Security Virtual ApplianceをNSX-Tにインストールする
• 手順5: エンドポイント保護を設定する
• 手順6: NSX-Tで有効化を準備する
• 手順7: 有効化とポリシーの割り当てを開始する
• 手順8: 仮想マシンが有効化されて、ポリシーが割り当てられていることを確認する
• 次の手順 (新しい仮想マシンを追加する方法)

新しいOSの脆弱性から保護するためにDeep Security Virtual Applianceのアップグレードすることもできます。

手順1: Deep Security ManagerにApplianceパッケージをインポートする

次の手順を実行し、Deep Security Virtual ApplianceをダウンロードしてDeep Security Managerにインポートします。

1. Deep Security Managerコンピュータで、https://help.deepsecurity.trendmicro.com/ja-jp/software.htmlのソフトウェアページに移動します。
2. 最新のDeep Security Virtual Applianceパッケージをコンピュータにダウンロードします。
3. Deep Security Managerで、[管理]→[アップデート]→[ソフトウェア]→[ローカル] に進みます。
4. [インポート] をクリックして、パッケージをDeep Security Managerにアップロードします。

   Applianceのパッケージをインポートすると、Applianceの仮想マシンのOSと互換性のあるDeep Security Agentソフトウェアを、Deep Security Managerが自動的にダウンロードします。このAgentソフトウェアは、[管理]→[アップデート]→[ソフトウェア]→[ローカル] に表示されます。Applianceをインストールすると、組み込みのAgentソフトウェアは、初期設定で [ローカルソフトウェア] 内の最新の互換バージョンに自動的にアップグレードされます。[管理]→[システム設定]→[アップデート]タブ→[Virtual Applianceの配置] をクリックすると、自動アップグレードのバージョンを変更できます。

   Deep Security Virtual Applianceのパッケージのバージョンを [ローカルソフトウェア] に複数表示することも可能です。新しいDeep Security Virtual Applianceをインストールした場合は、常に最新バージョンが選択されます。
   

5. オプションで、Microsoft Windowsを実行するゲスト仮想マシンの場合は、Deep Security Notifierをダウンロードすることもできます。Notifierは、Deep Securityシステムイベントのメッセージをシステムトレイに表示するコンポーネントです。詳細については、Deep Security Notifierのインストールを参照してください。

手順2: ファブリック設定を準備する

最初に、NSX-T Managerを使用してvCenterを追加します。

1. vCenterとESXiサーバが管理用に設定されていることを確認します。
2. NSX-T Managerで、上部にある [System] をクリックしてから、左側で [Fabric]→[Compute Managers] の順にクリックします。
3. [+ADD] をクリックします。
4. [New Compute Manager] ダイアログボックスが表示されます。
5. vCenterの情報をフィールドに入力します。次に例を示します。

   

6. [ADD] をクリックします。vCenterが追加されます。

   

7. vCenterの [Registration Status] が [Registered] で、[Connection Status] が [Up] であることを確認します。

   これで、vCenterの追加が完了しました。

次に、Deep Security転送ゾーンを設定します（まだ設定していない場合）。

1. NSX-T Managerで、[Fabric]→[Transport Zones] の順に進み、[+ADD] をクリックして、Virtual Appliance用のトランスポートゾーンを作成します。
2. [New Transport Zone] ダイアログボックスが表示されます。

   

3. フィールドに入力します。[Host Membership Criteria] および [Traffic Type] には任意の値を設定してください。上記の例では、[Standard (For all hosts)] および [Overlay] が選択されています。
4. [ADD] をクリックします。

   トランスポートゾーンが作成されます。

次に、Deep Securityトランスポートノードプロファイルを作成します（まだ作成していない場合）。

1. NSX-T Managerで、左側にある [Profiles] をクリックしてから、メイン画面で、[Transport Node Profiles] をクリックします。

   [Add Transport Node Profile] ダイアログボックスが表示されます。

   

2. 上記の画像に示されているように、フィールドに入力します。Deep Securityのトランスポートゾーンが [Selected] 列に移動していることを確認します。
3. ダイアログボックスの上部で [N-VDS] をクリックし、次のようにフィールドに入力します。
   • [N-VDS Name] には、[DSVA] またはDeep Securityトランスポートゾーンを作成したときに指定した名前を選択します。
   • [NIOC Profile] には、[nsx-default-nioc-hostswitch-profile] を選択します。
   • [Uplink Profile] には、[nsx-default-uplink-hostswitch-profile] を選択します。
   • [LLDP Profile] には、[LLDP [Send Packet Enabled]] を選択します。
   • [IP Assignment] には、[Use IP Pool] または [Use DHCP] を選択します。必要な方を使用します。
   • [IP Pool] が表示されている場合は､[OR Create and Use a new IP Pool] をクリックし、名前 がdsva-ip-poolのIPプールを作成して、それを [IP Pool] の値として使用します。
   • [Physical NICs] が表示されている場合は、物理NICを追加します。たとえば、[uplink-1] にvmnic2を使用します。

それぞれの値の詳細を確認するには、ダイアログボックスの上部にあるをクリックします。

ダイアログボックスは次のようになります。



4. [General] タブおよび [N-VDS] タブに入力した後、[ADD] をクリックします。

   Deep Security Transport Node Profileという名前のトランスポートノードプロファイルが作成されます。

次に、Deep Security転送ノードプロファイルをクラスタに適用します（まだ実行していない場合）。

1. [Fabric]→[Nodes] の順にクリックし、メイン画面で [Host Transport Nodes] をクリックします。
2. [Managed by] ドロップダウンリストで、先ほど追加したvCenterを選択します。この例では、vCenterは10.201.111.111です。

   

3. Deep Security Virtual Applianceで保護する仮想マシンが含まれているクラスタを選択します。クラスタが2つ以上ある場合は、Deep Security Virtual Applianceで保護するクラスタをすべて選択します。
4. [CONFIGURE NSX] をクリックします。
5. [Select Deployment Profile] ドロップダウンリストから、[Deep Security Profile] またはDeep Securityトランスポートノードプロファイルに該当するものを選択します。

   

6. [SAVE] をクリックします。

   次の処理が行われます。

   • Deep Securityトランスポートノードプロファイルがクラスタに適用されます。
   • プロファイルの適用中に、「NSX Install in Progress」というメッセージが表示される場合があります。
   • 操作が完了すると、各ノードの [Configuration Status] が [Success] に変更され、[Node Status] が [Up] に変更されます。ESXiサーバが複数ある場合は、そのすべてが [Success] および [Up] としてマークされる必要があります。

   

これで、NSX-T Managerでファブリック設定の準備ができました。

手順3: Deep Security ManagerにvCenterを追加する

VMware vCenterの追加に記載されている手順に従って、Deep Security ManagerにvCenterを追加します。

完了後:

• ゲスト仮想マシンがDeep Security Managerに表示されます。
• Trend Micro Deep SecurityサービスがNSX-Tに登録されます。

手順4: Deep Security Virtual ApplianceをNSX-Tにインストールする

Deep Security Virtual Applianceはクラスタごとにインストールする必要があります。

1. NSX-T Managerで、[System] をクリックしてから、[Service Deployments] を選択します。

   

2. [Partner Service] ドロップダウンリストから、[Trend Micro Deep Security] を選択します。Trend Micro Deep Securityサービスは、Deep Security ManagerでvCenterを追加したときに登録されています。
3. [DEPLOY SERVICE] をクリックします。
4. 以下のようにフィールドに入力します。
   • [Service Deployment Name] に、名前を入力します。クラスタが複数ある場合は、インストール先となるクラスタの名前が含まれた名前にすることを検討してください。インストール先となるクラスタは、同じページの [Cluster] 見出しの下のリストに表示されます。例: DSVA Cluster 1。
   • [Compute Manager] には、先ほど追加したvCenterを選択します。この例では、vCenterは10.201.111.111です。
   • [Cluster] には、先ほど設定したクラスタを選択します。Trend Micro Deep Securityサービスが、このクラスタのすべてのESXiサーバにインストールされます。クラスタが複数ある場合、ここでは1つだけ選択します。別のクラスタを選択するために後でこの手順に戻ることもできます。
   • [Data Store] には、お使いの環境に適したオプションを選択します。この例では、[Specified on Host] を選択しています。
   • [Networks] では、[Set] と [Edit Details] のいずれか使用できる方をクリックし、[ens0 - MANAGEMENT] を設定します。ネットワークをホストまたはDVPGに指定し、ネットワークタイプ→DHCPまたは静的IP プールを選択します。[SAVE] をクリックします。

     ホスト</g> または <g id="1">DVPG</g> で <g id="0">Specifiedが表示または選択できない場合は、この <g id="2">knowledge baseページ</g> を参照して回避策を参照してください。

   • [Deployment Specification] には、[Deep Security - Medium] を選択します。
   • [Deployment Template] には、[EPP_Attributes_For_OVF_Env_Vars] を選択します。

     サービスのインストールの詳細は次のようになります。

   

5. [SAVE] をクリックします。

   サービスのインストールが開始されます。

   

   NSX-T Managerの [Status] 列に、[In Progress] と表示されます。

6. 完了するまで待ちます。インストールが完了すると、[Status] が [Up] に変更されます。

   割り当てたクラスタにESXiサーバが複数ある場合は、Trend Micro Deep Securityサービスが各ESXiサーバにインストールされます。サービスには区別できるように次のようなラベルが付けられます。

   • Trend Micro_Deep Security (1) (1つ目のESXiサーバの場合)
   • Trend Micro_Deep Security (2) (2つ目のESXiサーバの場合)

     などです。

7. (オプション) vSphere ClientからvCenterにアクセスしてインストールのステータスを確認します。vSphere Clientにはさらに詳しく進行状況が表示されます。[Status] が [Complete] に変更されるまで待ちます。

   下の画像で、Trend Micro Deep Securityサービスが2つ、左側にリスト表示されているのがわかります。クラスタにESXiサーバが2つあるため、サービスが2つインストールされました。

   

8. 上部にある [Computers] をクリックし、Trend Micro Deep SecurityサービスがインストールされたvCenterを左側で展開して、配置が完了していることをDeep Security Managerで確認します。

   

   [Virtual Machines]→[Datacenter]→[ESX Agents] の下に、Deep Security Virtual Applianceというプラットフォームと共にTrend Micro_Deep Security (1) が表示されます。クラスタ内のESXiサーバごとにVirtual Applianceが1つあるのを確認できます。

9. クラスタごとに、手順4: Deep Security Virtual ApplianceをNSX-Tにインストールするのすべての手順を繰り返します。

   Deep Security Managerに仮想マシンが表示されますが、仮想マシンはこの時点では保護されていません。

手順5: エンドポイント保護を設定する

エンドポイント保護の設定は、Deep Security Virtual Applianceで既存の仮想マシンを保護するために必要です。

まず、Deep Security Virtual Applianceで保護する仮想マシンが含まれるグループを作成します。

1. NSX-T Managerで、上部にある [Inventory] をクリックし、左側で [Groups] をクリックします。
2. [ADD GROUP] をクリックして、Deep Security Virtual Applianceで保護される仮想マシンが含まれるグループを作成します。以下のようにフィールドに入力します。
   • [Name] には、グループの名前を入力します。例: DSVA-Protection-Group。
   • [Domain] では、[default] を選択するか、[Inventory]→[Domains] の下に新しいドメインを作成します。
   • [Compute Members] では、[Set Members] をクリックしてグループに含める仮想マシンを選択します。

   以下の手順では、メンバーを追加する最も簡単な方法を説明します。[Membership Criteria] などを使用する、より複雑な方法については、NSX-Tのドキュメントを参照してください。

3. 上部にある [Members (0)] をクリックし、[VirtualMachine (selected: 0)] を選択します。
4. 仮想マシンが表示されていない場合は、下部の [Refresh] をクリックします。
5. グループに追加するゲストVMを選択します。選択した仮想マシンは、Deep Security Virtual Applianceによって保護されます。

   [メンバーの選択] ダイアログボックスが次のようになり、ゲストVMが選択され、 Trend Micro_Deep Securityの が選択解除されました。仮想アプライアンスを保護する必要がないためです。

   

6. 上部付近にある [Members] タブで仮想マシンの数を確認します。上記の例では、仮想マシンの数は1つです。
7. [APPLY] をクリックします。

   [ADD GROUP] ページには、更新された数が表示されます。

   

8. [SAVE] をクリックします。

   これでメンバーが含まれたグループを追加することができました。

次に、Deep Security Virtual Applianceのサービスプロファイルを設定します。

1. NSX-T Managerで、上部にある [Security] をクリックし、左側の [Endpoint Protection] をクリックします。
2. メイン画面で、[SERVICE PROFILES] をクリックします。
3. [Partner Service] ドロップダウンリストから、[Trend Micro Deep Security] を選択します (選択されていない場合)。
4. [ADD SERVICE PROFILE] をクリックし、次のようにフィールドに入力します。
   • [Service Profile Name] フィールドでは、名前を指定します。例: DSVA-Service-Profile
   • [Service Profile Description] では、説明を入力します。例: Deep Security Service Profile
   • [Vendor Template] では、[Default (EBT)] を選択します。このテンプレートは、Trend Micro Deep Securityサービスと同時にロードされました。

     [ADD SERVICE PROFILE] ページの表示内容は、次のようになります。

     

5. [SAVE] をクリックします。
6. [RULES] に切り替えて、[+ ADD POLICY] をクリックします。
7. [Name] 列で、[New Policy] セル内をクリックして名前を変更します。名前の例: DSVA-Policy
8. [DSVA-Policy] の横にあるチェックボックスをオンにし、[+ ADD RULE] をクリックします。[DSVA-Policy] の下にルールが表示されます。

9. ルールに名前を付けて、対応するグループとサービスプロファイルを選択します。たとえば、ルールにDSVA-Ruleという名前を付け、[DSVA-Protection-Group] と [DSVA-Service-Profile] を選択します。これで、DSVA-Protection-Groupの仮想マシンとDSVA-Service-Profileで指定したDefault (EBT) テンプレートとのマッピングが完了しました。

   ポリシーは次のようになります。 

   

10. [PUBLISH] をクリックして、ポリシーとルールの作成を終了します。

    これで、NSX-Tでエンドポイント保護の設定が完了しました。仮想マシンは現時点では保護されていません。

手順6: NSX-Tで有効化を準備する

次のステップでは、 Deep Securityで既存のVMをアクティベートします。アクティベーション方法の詳細については、次の表を参照してください。次の表を参照して、 方法1: 「コンピュータの作成」イベントベースタスクを作成するのプロシージャを確認してください。 方法1: 「コンピュータの作成」イベントベースタスクを作成する を作成します（これは、NSX-Tの配置でサポートされる唯一のメソッドです）。

Deep Security Virtual Appliance環境
	NSX for vSphere (NSX-V) 6.3.x～6.4.x			NSX for vSphere（NSX-V）6.4.x					NSX-T 2.4.x、2.5.x
方法	標準 または NSX for vShield Endpoint (無料)	詳細	Enterprise	NSX Data Center Standard	NSX Data Center Professional	NSX Data Center Advanced	NSX Data Center Enterprise Plus	NSX Data Center for Remote Office Branch Office	NSX Data Center Standard	NSX Data Center Professional	NSX Data Center Advanced	NSX Data Center Enterprise Plus	NSX Data Center for Remote Office Branch Office
方法1: 「コンピュータの作成」イベントベースタスクを作成する。 詳細を表示 この方法では、 が新しく作成する が、自動的に有効化され、ポリシーが割り当てられます。	✔	✔	✔	✔	✔	✔	✔	✔	✔	✔	✔	✔	✔
方法2: 「NSXセキュリティグループの変更」イベントベースタスクを作成する。 詳細を表示 この方法では、仮想マシンを指定されたNSXセキュリティグループに移動すると、新規および既存の仮想マシンが自動的に有効化され、ポリシーが割り当てられます	X	✔1	✔1	X	X	✔1	✔1	✔1	X	X	X	X	X
方法3: Deep SecurityポリシーとNSXを同期する。 詳細を表示 この方法では、指定されたNSXセキュリティグループに移動されると、新しいVMと既存のVMがアクティブ化され、ポリシーが割り当てられます。詳細を表示この方法では、仮想マシンを指定されたNSXセキュリティグループに移動すると、新規および既存の仮想マシンが有効化され、ポリシーが割り当てられます。これは方法2と類似していますが、方法2とは異なり、VMware UIを介してDeep Securityポリシーが割り当てられます。	X	✔1	✔1	X	X	✔1	✔1	✔1	X	X	X	X	X

¹ VMwareのNetwork Introspection Serviceが必要です。

方法1: 「コンピュータの作成」イベントベースタスクを作成する

次の手順はタスクベースです。イベントベースタスクに関する詳細については、NSX環境での自動ポリシー管理を参照してください。

1. Deep Security Managerで、上部の [管理] をクリックします。
2. 左側で、[イベントベースタスク] をクリックします。
3. メイン画面で、[新規] をクリックします。
4. [イベント] ドロップダウンリストから [コンピュータの作成 (システムによる)] を選択します。[コンピュータの作成 (システムによる)] イベントタイプは、新しい仮想マシンを作成するとトリガされます。

   [次へ] をクリックします。

5. [コンピュータの有効化] を選択して5分に設定します。
6. [ポリシーの割り当て] を選択し、Windows Server 2016など、ドロップダウンリストからポリシーを選択します。矢印をクリックすると、子ポリシーを表示できます。[次へ] をクリックします。
7. イベントベースタスクがトリガされたときに制限する条件を指定します。次の条件を追加します。

   [vCenter名] が<ご使用のvCenter名>と一致する

8. イベントベースタスクがトリガされたときにさらに制限する条件を追加します。たとえば、すべてのWindows仮想マシンに接頭語「Windows」を含めるという命名規則を仮想マシンに使用している場合は、次のように設定します。

   [コンピュータ名] がWindows*と一致する

   [次へ] をクリックします。

9. [名前] フィールドで、Activate Windows Server 2016など、割り当てたポリシーを反映させるタスクの名前を入力します。
10. [タスクの有効化] を選択して [完了] をクリックします。
11. 割り当て時に計画したDeep Securityポリシーごとに追加のイベントベースタスクを作成します。イベントベースタスクのイベントタイプには [コンピュータの作成 (システムによる)] を指定し、コンピュータを有効化してポリシーの割り当てを実行できるように設定する必要があります。

    新しく作成した仮想マシンを有効化してポリシーを割り当てられるようにイベントベースタスクを設定しました。仮想マシンが作成されるとすぐに、[コンピュータの作成 (システムによる)] イベントベースタスクのすべてがレビューされます。タスクの条件が一致すると、タスクがトリガされます。また、仮想マシンが有効化され、関連するポリシーが割り当てられます。

手順7: 有効化とポリシーの割り当てを開始する

次に、ポリシーを手動で有効化して既存の仮想マシンに割り当てる必要があります。

1. Deep Security Managerに移動して、上部の [コンピュータ] をクリックし、左側でvCenterをクリックします。ゲスト仮想マシンが右側に表示されます。
2. <Shift> キーを押しながら仮想マシンのセットをクリックし、そのセットを右クリックして [Actions]→[Assign Policy] の順に選択します。ポリシーを選択して [OK] をクリックします。Deep Securityのポリシーが仮想マシンに割り当てられます。
3. <Shift> キーを押しながら同じ仮想マシンのセットをクリックし、そのセットを右クリックして [Actions]→[Activate/Reactivate] の順に選択します。仮想マシンがDeep Security Managerで有効化されます。これで、仮想マシンが保護された状態になりました。
4. 既存の仮想マシンをさらに保護する場合は、このセクションの手順を繰り返して、ポリシーを割り当てて仮想マシンを有効化します。

手順8: 仮想マシンが有効化されて、ポリシーが割り当てられていることを確認する

Deep Security Managerの仮想マシンが有効化され、ポリシーが割り当てられていることを確認します。

1. Deep Security Managerで、上部の [コンピュータ] をクリックします。
2. 左側で、[コンピュータ]→[<ご使用のvCenter>]→[仮想マシン] を選択します。
3. [タスク] 列および [ステータス] 列を確認します。(列が表示されていない場合は、上部で [列] をクリックして追加します)。[タスク] 列に [有効化中] と表示され、仮想マシンのステータスが [非管理対象 (不明)] から [非管理対象 (Agentなし)] や [管理対象 (オンライン)] に変わります。仮想マシンのステータスが [VMware Toolsがインストールされていない] になることがありますが、これは一時的です。
4. [ポリシー] 列をチェックして、Deep Securityポリシーが正しく割り当てられていることを確認します。

これで、Deep Security Virtual Applianceがインストールされ、仮想マシンが保護されます。

次の手順 (新しい仮想マシンを追加する方法)

新しい仮想マシンをシステムに追加してDeep Securityで保護するには、新しい仮想マシンをvCenterに作成します。これにより、[コンピュータの作成 (システムによる)] イベントベースタスクが開始し、新しい仮想マシンの有効化およびポリシーの割り当てが行われます。これで、新しい仮想マシンがDeep Securityで保護されるようになります。