インターネットにアクセスできないAgentを設定する

エージェントまたはリレーがインターネットにアクセスできない場合 (エアギャップエージェント)、トレンドマイクロSmart Protection Networkが提供する一部のセキュリティサービスにアクセスできません。これらのセキュリティサービスは、Deep Security不正プログラム対策およびWebレピュテーションモジュールの完全かつ正常な動作に必要です。

トレンドマイクロSmart Protection Networkセキュリティサービスには以下が含まれます。

サービス名	対象機能
スマートスキャンサービス	スマートスキャン
Webレピュテーションサービス	Webレピュテーション
Global Censusサービス	挙動監視、機械学習型検索
Good File Reputationサービス	挙動監視、機械学習型検索、プロセスメモリ検索
機械学習型検索サービス	機械学習型検索

これらのサービスに加えて、エージェントとRelay有効化済みAgentは、Smart Protection Networkの一部ではないが、トレンドマイクロによってホストされ、インターネット経由でアクセスされるコンポーネントであるトレンドマイクロUpdateサーバ (Active Updateとも呼ばれる) へのアクセスが必要です。

エージェントまたはRelay対応エージェントのいずれかがこれらのサービスに到達できない場合、いくつかの解決策があります。

解決策

• 解決策1:プロキシを使用する
• 解決策2:Smart Protection Serverをローカルにインストールする
• 解決策3： 隔離されたネットワークでアップデートを取得する
• 解決策4:トレンドマイクロのセキュリティサービスを使用する機能を無効にする

プロキシを使用する

エージェントまたはリレー対応エージェントがインターネットに接続できない場合、接続可能なプロキシをインストールできます。Deep Security AgentとRelayはプロキシに接続し、そのプロキシがSmart Protection Network内のトレンドマイクロのセキュリティサービスに外向きに接続します。

プロキシを使用すると、各スマートスキャンまたはWebレピュテーションの要求がインターネット経由でTrend Micro Smart Protection Networkに送信されます。代わりにLAN内のSmart Protection Serverを使用して、これらの要求をネットワーク内に保持し、エクストラネットの帯域幅の使用を削減することを検討してください。

プロキシを使用するには、プロキシの設定を参照してください。

Smart Protection Serverをローカルにインストールする

エージェントとRelay対応エージェントがインターネットに接続できない場合、エージェントとRelay対応エージェントが接続できるローカルエリアネットワーク (LAN) にSmart Protection Serverをインストールできます。ローカルのSmart Protection Serverは、インターネット経由で定期的にSmart Protection Networkに接続し、最新のスマートスキャン不正プログラム対策パターンとWebレピュテーション情報を取得します。この情報はSmart Protection Serverにキャッシュされ、エージェントとRelay対応エージェントによってクエリされます。Smart Protection Serverは、エージェントやRelay対応エージェントに更新をプッシュしません。

このソリューションを使用することに決めた場合、次の点に注意してください。

• 機能が制限されています。ローカルSmart Protection Serverでは、スマートスキャンとWebレピュテーションモジュールのみがサポートされています。
• プロキシソリューションを使用して、挙動監視、機械学習型検索、およびプロセスメモリスキャンを利用してください。詳細はプロキシを使用するを参照してください。これらの機能を使用しない場合は、クエリの失敗を防ぎ、パフォーマンスを向上させるために無効にする必要があります。手順については、トレンドマイクロのセキュリティサービスを使用する機能を無効にするを参照してください

Smart Protection Server をデプロイするには、手動でインストールしてください。詳細については、Smart Protection Server ドキュメントを参照してください。

このシナリオは、エージェントとRelay有効化済みAgentのみがエアギャップされており、Deep Security Managerがインターネットアクセスまたはプロキシアクセスを持っている場合に適用されます。詳細はポート番号、URL、およびIPアドレスをご参照ください。Deep Security Managerもエアギャップされている場合は、トレンドマイクロActive Updateサーバからセキュリティアップデートを受け取るためにプロキシを使用する必要があります。あるいは、Solution 3 隔離されたネットワークでアップデートを取得するを使用してください。

隔離されたネットワークでアップデートを取得する

Deep Security Managerがインターネットに接続されていない孤立したネットワークにあり、AgentまたはRelay有効化済みAgentがインターネットに接続できない場合は、インターネットアクセスが可能な非武装地帯 (DMZ)または別のエリアにデータベースとRelay有効化済みAgentを備えた追加のスタンドアロンDeep Security Managerをインストールできます。

すべてのコンポーネントがインストールされたら、DMZ内のRelay有効化済みAgentを構成して、インターネット上のUpdateサーバから最新の不正プログラム検索の更新を自動的に取得できるようにします。これらの更新は.zipファイルに抽出され、その後、手動でエアギャップされたRelayにコピーする必要があります。

このソリューションを使用することに決めた場合、次の点に注意してください。

• .zipファイルには従来の (大規模な) 不正プログラムパターンが含まれており、基本的な不正プログラム対策機能を提供します。
• .zipファイルには、侵入防御、変更監視、セキュリティログ監視に使用されるDeep Securityルール更新も含まれています。これらの更新を個別に取得することもできます。隔離されたネットワークでルールのアップデートを取得するを参照してください。
• 以下の高度な不正プログラム対策機能は利用できません: スマートスキャン、挙動監視、機械学習型検索、プロセスメモリスキャン、およびWebレピュテーション。これらの機能にはトレンドマイクロのセキュリティサービスへのアクセスが必要です。
• 高度な不正プログラム対策機能を無効にする必要があります。これらの機能は使用できません。
• 常に最新の不正プログラムパターンを保持するために、エアギャップされたRelay上の.zipファイルを定期的に更新する計画を立ててください。

このソリューションを展開するには、次の手順に従ってください:

1. Deep Security Managerとその関連データベースをDMZにインストールしてください。これらのインターネットに面したコンポーネントは、DMZマネージャおよびDMZデータベースと呼ぶことができます。
2. DMZにエージェントをインストールし、Relayとして設定します。このエージェントはDMZ Relayと呼ばれます。Relayの設定に関する情報は、追加のリレーを配信するを参照してください。
   次がインストールされました:
   • DMZマネージャ
   • DMZデータベース
   • DMZ Relay
   • エアギャップマネージャ
   • エアギャップデータベース
   • エアギャップRelay
   • 複数のエアギャップAgent
3. DMZ Relayで、このコマンドを実行して最新の不正プログラムパターンを含む.zipファイルを作成してください。

dsa_control -b
Command Line出力には、生成された.zipファイルの名前と場所が表示されます。

4. .zipファイルをエアギャップされたRelayにコピーします。ファイルをRelayのインストールディレクトリに配置してください。
   • Windowsでは、デフォルトのディレクトリはC:\Program Files\Trend Micro\Deep Security Agentです。
   • Linuxでは、デフォルトディレクトリは/opt/ds_agentです。

   .zipファイルの名前は変更しないでください。

5. エアギャップManagerで、セキュリティアップデートのダウンロードを開始します。
   1. 上部の [コンピュータ] をクリックします。
   2. コンピュータのリストで、.zipファイルをコピーしたエアギャップRelayを見つけ、右クリックしてセキュリティアップデートをダウンロードを選択します。
      エアギャップRelayは、設定された更新ソース (通常はインターネット上の更新サーバ) を確認します。サーバに接続できないため、インストールディレクトリ内の.zipファイルを確認します。.zipファイルを見つけると、それを抽出して更新をインポートします。更新は、Relayに接続するように設定されたエアギャップエージェントに配信されます。
      
   3. 更新がエアギャップされたRelayにインポートされた後、.zipファイルを削除してください。
6. 空のギャップのあるリレーを、アップデートサーバではなく自身に接続するように設定します(接続エラーのアラートを防ぐために):
   1. エアギャップManagerにログインします。
   2. 上部の [管理] をクリックします。
   3. 左側で [システム設定] をクリックします。
   4. メインペインで アップデート タブを選択します。
   5. [ プライマリセキュリティアップデートサイトのアップデート元]で、[その他のアップデート元]を選択して、 https://localhost:[port] と入力します。ここで [port] は、セキュリティアップデートのポート番号（初期設定では 4122）です。
   6. [OK] をクリックします。
      エアギャップのあるリレーは、インターネット上のアップデートサーバに接続しようとしなくなりました。
7. オプションとして、パフォーマンスを向上させるために、トレンドマイクロのセキュリティサービスを使用する機能を無効にする。
8. 定期的に、DMZ Relayの最新アップデートをダウンロードし、圧縮して、エアギャップされたRelayにコピーし、Relayでセキュリティアップデートのダウンロードを開始してください。

これで、 Deep Security Manager、関連するデータベース、およびリレーがDMZに配置され、不正プログラム検索アップデートを取得できます。

このソリューションをアップグレードするには、次の順序でアップグレードを実行してください:

1. DMZ Manager (データベースソフトウェアのアップグレードも必要な場合はそのデータベースを含む)
2. DMZ Relay
3. エアギャップManager (データベースソフトウェアのアップグレードも必要な場合はそのデータベースを含む)
4. エアギャップRelay
5. エアギャップAgent

リレーを最初にアップグレードしない場合、セキュリティコンポーネントのアップグレードとソフトウェアのアップグレードにより がに失敗することがあります。

アップグレードの詳細については、Deep Security Managerをインストールする、Deep Security Relay、およびDeep Security Agentのアップグレードを参照してください。

隔離されたネットワークでルールのアップデートを取得する

あなたが作成した.zipファイルには、侵入防御、変更監視、セキュリティログ監視に使用されるDeep Securityルールの更新が含まれています。ただし、それらの更新を個別に取得したい場合は:

1. DMZ Managerで、[管理]→[アップデート]→[セキュリティ]→[ルール]]の順に選択します。
2. ルール更新.dsruファイルをクリックし、エクスポートをクリックします。ファイルはローカルにダウンロードされます。
3. エアギャップマネージャに適用したい各.dsruファイルについてエクスポートを繰り返してください。
4. .dsruファイルをエアギャップマネージャにコピーしてください。
5. Air-Gapped Managerで、[管理]→[アップデート]→[セキュリティ]→[ルール]の順に選択します。
6. インポートをクリックし、.dsruファイルを選択して、次へをクリックします。
7. マネージャーはファイルを検証し、それに含まれるルールの概要を表示します。 次へをクリックしてください。

   ルールの更新が正常にインポートされたことを示すメッセージが表示されます。

8. [閉じる] をクリックします。
9. エアギャップマネージャに適用したい各.dsruファイルについてインポートを繰り返してください。

トレンドマイクロのセキュリティサービスを使用する機能を無効にする

トレンドマイクロのセキュリティサービスを使用する機能を無効にすることができます。これにより、エアギャップエージェントがサービスを問い合わせようとしなくなるため、パフォーマンスが向上します。

トレンドマイクロのセキュリティサービスがないと、不正プログラムの検出レベルが大幅に低下し、ランサムウェアがまったく検出されず、プロセスメモリの検索も影響を受けます。したがって、トレンドマイクロのセキュリティサービスへのアクセスを許可するには、他のソリューションの1つを使用することを強くお勧めします。これが不可能な場合は、パフォーマンスを向上するために機能を無効にする必要があります。

• スマートスキャンを無効にするには、次の手順に従います。
  1. コンピュータまたはポリシーエディタ これらの設定は、ポリシーまたは特定のコンピュータについて変更できます。 ポリシーの設定を変更するには、[ポリシー] 画面に移動し、編集するポリシーをダブルクリック (またはポリシーを選択して [詳細] をクリック) します。 コンピュータの設定を変更するには、[コンピュータ] 画面に移動し、編集するコンピュータをダブルクリック (またはコンピュータを選択して [詳細] をクリック) します。を開きます。
  2. 左側で [不正プログラム対策] をクリックします。
  3. メイン画面で [Smart Protection] をクリックします。
  4. スマートスキャンの下で、継承を選択解除 (選択されている場合)、次にオフを選択します。
  5. [保存] をクリックします。
• Webレピュテーションを無効にするには:
  1. コンピュータまたはポリシーエディタ これらの設定は、ポリシーまたは特定のコンピュータについて変更できます。 ポリシーの設定を変更するには、[ポリシー] 画面に移動し、編集するポリシーをダブルクリック (またはポリシーを選択して [詳細] をクリック) します。 コンピュータの設定を変更するには、[コンピュータ] 画面に移動し、編集するコンピュータをダブルクリック (またはコンピュータを選択して [詳細] をクリック) します。を開きます。
  2. 左側で [Webレピュテーション] をクリックします。
  3. メイン画面で [一般] タブが選択されていることを確認します。
  4. 設定リストから、オフを選択します。
  5. [保存] をクリックします。
• スマートフィードバックを無効にするには、次の手順に従います。
  1. Deep Security Managerで、上部にある[ Administration ]をクリックします。
  2. 左側にある [システム設定] をクリックします。
  3. メインペインで、スマートフィードバックタブを選択します。
  4. [トレンドマイクロスマートフィードバックを有効にする (推奨)] を選択解除します。
  5. [保存] をクリックします。
• プロセスメモリスキャンを無効にするには:
  1. Deep Security Managerで、上部の [ポリシー] をクリックします。
  2. 左側で共通オブジェクト > その他を展開し、不正プログラム検索の設定をクリックします。
  3. [リアルタイム] の [検索の種類] で不正プログラム検索設定をダブルクリックします。
  4. [一般] タブの [プロセスメモリ検索] で、[プロセスメモリ内の不正プログラムを検索する] を選択解除します。
  5. [OK] をクリックします。
• 機械学習型検索を無効にするには:
  1. 不正プログラムリアルタイム検索設定がまだ開いていることを確認します。
  2. [一般] タブの [機械学習型検索] で、[機械学習型検索の有効化] を選択解除します。
  3. [OK] をクリックします。
• 挙動監視を無効にするには:
  1. 不正プログラムリアルタイム検索設定がまだ開いていることを確認します。
  2. [一般] タブの [挙動監視] で、挙動監視を有効にするの選択を解除します。
  3. [OK] をクリックします。

パフォーマンスを向上させるために、Deep Security Managerでセンサスとグリッド (Goodファイルレピュテーション) クエリを無効にすることができます。それらを有効にしたままにすると、大量の不要なバックグラウンド処理が行われます。

• コマンドラインを使用してセンサス クエリを無効にするには、次のコマンドを実行します:

  dsm_c -action changesetting -name settings.configuration.enableCensusQuery -value false

• UIからセンサスクエリを無効にするには:
  1. コンピュータ > 設定 > 一般 > センサス、良好なファイルレピュテーション、および機械学習型検索サービスのネットワーク設定に移動します。
  2. Enable Census queryについては、Noを選択してください。

• コマンドラインを使用してグリッドクエリを無効にするには、次のコマンドを実行してください:

  dsm_c -action changesetting -name settings.configuration.enableGridQuery -value false

• UIからグリッドクエリを無効にするには:
  1. コンピュータ > 設定 > 一般 > センサス、良好なファイルレピュテーション、および機械学習型検索サービスのネットワーク設定に移動します。
  2. 良好なファイルレピュテーションのクエリを有効にするには、いいえを選択します。