本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。

本ヘルプセンターの一部の記事には外部リンクが含まれています。万一リンク切れなどお気づきの点がございましたら、お手数ですが弊社サポート窓口までご連絡ください。

インターネットにアクセスできないエージェントを設定する

エージェントまたはリレーがインターネットにアクセスできない場合(BDAEFGHとも呼ばれる)、トレンドマイクロの Smart Protection Networkが提供するセキュリティサービスのいくつかにアクセスすることはできません。これらのセキュリティサービスは、 Deep Security 不正プログラム対策 および Webレピュテーション 機能の完全な運用に必要です。

Trend Micro Smart Protection Network のセキュリティサービスは次のとおりです。

サービス名 対象機能
スマートスキャンサービス スマートスキャン
Webレピュテーションサービス Webレピュテーション
Global Censusサービス 挙動監視機械学習型検索
Good File Reputationサービス 挙動監視機械学習型検索プロセスメモリ検索
機械学習型検索サービス 機械学習型検索

上記のサービスに加えて、エージェントおよびリレー対応エージェントは、トレンドマイクロのアップデートサーバ(「 Smart Protection Network」に含まれない「Active Update」), とも呼ばれますが、ホストされているコンポーネントです)にアクセスする必要があります。トレンドマイクロがインターネットでアクセスします。

エージェントまたはリレー対応エージェントのいずれかが上記のサービスにアクセスできない場合は、いくつかの解決方法があります(後述)。

解決策

プロキシを使用する

エージェントまたはリレー対応エージェントがインターネットに接続できない場合は、できるプロキシをインストールできます。Deep Security Agentおよびリレーはプロキシに接続し、プロキシは Smart Protection NetworkのTrend Micro Securityサービスに接続します。

プロキシを使用すると、各スマートスキャンまたはWebレピュテーションの要求がインターネット経由でTrend Micro Smart Protection Networkに送信されます。代わりにLAN内のSmart Protection Serverを使用して、これらの要求をネットワーク内に保持し、エクストラネットの帯域幅の使用を削減することを検討してください。

プロキシを使用するには、プロキシの設定を参照してください。

Smart Protection Serverをローカルにインストールする

エージェントおよびリレー対応エージェントがインターネットに接続できない場合は、 に接続できるローカルエリアネットワーク(LAN)にSmart Protection Serverをインストールできます。ローカルのSmart Protection Serverは定期的にインターネット経由でTrend Micro Smart Protection Networkに接続し、最新のスマートスキャン不正プログラムパターンファイルとWebレピュテーション情報を取得します。この情報は、 Smart Protection Server にキャッシュされ、クライアントおよびリレー対応エージェントによって照会されます。 Smart Protection Server では、エージェントまたはリレー対応エージェントにアップデートを適用しません。

この解決策を使用する場合は、次のことに覚えておいてください。

Smart Protection Serverの配置:

  • 手動でインストールします。詳細については、Smart Protection Serverのドキュメントを参照してください。
    OR
  • エージェントまたはリレー対応エージェントがAWS内にある場合は、トレンドマイクロが作成したAWS CloudFormationテンプレートを使用してエージェントをインストールしてください。詳細については、 Smart Protection Server との統合を参照してください。

上記のシナリオは、 Deep Security Agentとリレー対応エージェントがエアギャップされている場合にのみ適用されますが、 Deep Security Managerには ポート番号、URL、およびIPアドレスで説明されているように、インターネットアクセスまたはプロキシアクセスがあります。Deep Security Managerも空白にされている場合は、Trend Micro Active Update Serverからセキュリティアップデートを受信するためにプロキシを使用する必要があります。または、ソリューション3: 隔離されたネットワークでアップデートを取得するでアップデートを取得します。

隔離されたネットワークでアップデートを取得する

Deep Security Managerがインターネットに接続されていない隔離されたネットワーク内にあり、エージェントまたはリレー対応エージェントもインターネットに接続できない場合は、スタンドアロンのDeep Security Managerにデータベースとリレーを有効にすることができます。あなた のエージェントは、ゾーン(DMZ) やインターネット接続が利用可能である別の領域を非武装しました。

すべてのコンポーネントをインストールしたら、DMZでリレー対応エージェントを設定して、インターネット上のアップデートサーバから最新の不正プログラム検索アップデートを自動的に取得できます。これらのアップデートは、.zipファイルに解凍してから手動でAir-Gappedリレーにコピーする必要があります。(詳細な手順は以下を参照)。

この解決策を使用する場合は、次のことに覚えておいてください。

この解決策を導入するには、次の手順に従います (アップグレードの手順については、下記を参照してください)。

  1. Deep Security Managerとその関連データベースをDMZにインストールします。これらのインターネット接続コンポーネントは、「DMZ Manager」と「DMZデータベース」と呼ばれます。
  2. Deep Security AgentをDMZにインストールし、リレーとして設定します。このAgentのことを「DMZ Relay」と呼びます。リレーの設定については、 追加のリレーを配信するによるセキュリティおよびソフトウェアアップデートの配信を参照してください。
    次の項目がインストールされました。
    • DMZ Manager
    • DMZデータベース
    • DMZ Relay
    • エアギャップManager
    • エアギャップデータベース
    • エアギャップRelay
    • 複数のエアギャップAgent
  3. DMZ Relayで、次のコマンドを実行して最新の不正プログラムパターンファイルが含まれる.zipファイルを作成します。
  4. dsa_control -b
    コマンドラインの出力に、生成された.zipファイルの名前と場所が表示されます。

  5. .zipファイルをair-gapped relayにコピーします。ファイルをリレーのインストールディレクトリに配置します。
    • 初期設定のディレクトリは、Windowsの場合は「C:\Program Files\Trend Micro\Deep Security Agent」、
    • Linuxの場合は、「/opt/ds_agent」です。

    .zipファイルの名前は変更しないでください。

  6. エアギャップManagerで、セキュリティアップデートのダウンロードを開始します。
    1. 上部の [コンピュータ] をクリックします。
    2. コンピュータのリストで、.zipファイルをコピーしたAir-gappedリレーを探して右クリックし、[ セキュリティアップデートのダウンロード]を選択します。
      エアギャップリレーは、設定されたアップデート元(通常はインターネット上のアップデートサーバ)をチェックします。このサーバに接続できないため、インストールディレクトリ内の.zipファイルを確認します。.zipファイルを見つけたら、そのファイルを解凍してアップデートをインポートします。アップデートは、リレーに接続するように設定されたエアギャップのあるエージェントに配信されます。
    3. エアギャップリレーにアップデートをインポートした後に、.zipファイルを削除します。
  7. 空のギャップのあるリレーを、アップデートサーバではなく自身に接続するように設定します(接続エラーのアラートを防ぐために):
    1. エアギャップManagerにログインします。
    2. 上部の [管理] をクリックします。
    3. 左側で [システム設定] をクリックします。
    4. メイン画面で [アップデート] タブをクリックします。
    5. [ プライマリセキュリティアップデートサイトのアップデート元]で、[その他のアップデート元]を選択して、 https://localhost:[port] と入力します。ここで [port] は、セキュリティアップデートのポート番号(初期設定では 4122)です。
    6. [OK] をクリックします。
      エアギャップのあるリレーは、インターネット上のアップデートサーバに接続しようとしなくなりました。
  8. 任意の要件 (推奨): パフォーマンスを向上するには、トレンドマイクロのセキュリティサービスを使用する機能を無効にする
  9. 定期的に最新のアップデートをDMZリレーにダウンロードし、解凍して空中中継リレーにコピーし、リレーでセキュリティアップデートのダウンロードを開始してください。

これで、 Deep Security Manager、関連するデータベース、およびリレーがDMZに配置され、不正プログラム検索アップデートを取得できます。

この解決策をアップグレードするには、次の順序で実行します。 

  1. DMZ Manager (データベースソフトウェアのアップグレードも必要な場合はそのデータベースを含む)
  2. DMZ Relay
  3. エアギャップManager (データベースソフトウェアのアップグレードも必要な場合はそのデータベースを含む)
  4. エアギャップRelay
  5. エアギャップAgent

リレーを最初にアップグレードしない場合、セキュリティコンポーネントのアップグレードとソフトウェアのアップグレードにより がに失敗することがあります。

アップグレードの詳細については、 Deep Security Managerをインストールする のインストールまたはアップグレード(マネージャのアップグレード手順),Deep Security Relayおよび Deep Security Agentのアップグレードの場合)を参照してください。

隔離されたネットワークでルールのアップデートを取得する

前のセクションで作成した.zipファイルには、 侵入防御, 変更監視、および セキュリティログ監視に使用されるDeep Securityルールのアップデートは含まれていません。ただし、これらのアップデートを個別に入手する場合は、次の手順を実行します。

  1. DMZ Managerで、[ 管理]→[アップデート]→[セキュリティ]→[ルール]]の順に選択します。
  2. ルールアップデート(.dsruファイル)をクリックし、[ エクスポート]をクリックします。ファイルはローカルにダウンロードされます。
  3. Air-Gapped Managerに適用する.dsruファイルごとにエクスポートを繰り返します。
  4. .dsruファイルをAir-Gapped Managerにコピーします。
  5. Air-Gapped Managerで、[ 管理]→[アップデート]→[セキュリティ]→[ルール]の順に選択します。
  6. インポートをクリックし、.dsruファイルを選択して、[ 次へ]をクリックします。
  7. マネージャはファイルを検証し、ファイルに含まれるルールの概要を表示します。[Next] をクリックします。
  8. ルールのアップデートが正常にインポートされたことを示すメッセージが表示されます。[閉じる] をクリックします。
  9. Air-Gapped Managerに適用する.dsruファイルごとにインポートを繰り返します。

トレンドマイクロのセキュリティサービスを使用する機能を無効にする

トレンドマイクロのセキュリティサービスを使用する機能を無効にすることができます。無効にすると、エアギャップAgentはサービスを照会しなくなるため (失敗するため) パフォーマンスが向上します。

トレンドマイクロのセキュリティサービスがないと、不正プログラムの検出レベルが大幅に低下し、ランサムウェアがまったく検出されず、プロセスメモリの検索も影響を受けます。したがって、トレンドマイクロのセキュリティサービスへのアクセスを許可するには、他のソリューションの1つを使用することを強くお勧めします。これが不可能な場合は、パフォーマンスを向上するために機能を無効にする必要があります。

また、パフォーマンスの向上が必要な場合は、 Deep Security Managerで国勢調査およびグリッドクエリを無効にします。有効にしたままにすると、多くの不要なバックグラウンド処理が実行されます。これらのクエリを無効にするには、次の手順に従います。

  1. Censusクエリを無効にします。

dsm_c -action changesetting -name settings.configuration.enableCensusQuery -value false

  1. GRIDクエリを無効にします。

dsm_c -action changesetting -name settings.configuration.enableGridQuery -value false