本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。

本ヘルプセンターの一部の記事には外部リンクが含まれています。万一リンク切れなどお気づきの点がございましたら、お手数ですが弊社サポート窓口までご連絡ください。

インターネットにアクセスできないAgentを設定する

エージェントまたはリレーがインターネットにアクセスできない場合 (エアギャップエージェント)、トレンドマイクロSmart Protection Networkが提供する一部のセキュリティサービスにアクセスできません。これらのセキュリティサービスは、Deep Security不正プログラム対策およびWebレピュテーションモジュールの完全かつ正常な動作に必要です。

トレンドマイクロSmart Protection Networkセキュリティサービスには、次のものが含まれます:

サービス名 対象機能
スマートスキャンサービス スマートスキャン
Webレピュテーションサービス Webレピュテーション
Global Censusサービス 挙動監視機械学習型検索
Good File Reputationサービス 挙動監視機械学習型検索プロセスメモリ検索
機械学習型検索サービス 機械学習型検索

これらのサービスに加えて、エージェントおよびRelay有効化済みAgentは、Smart Protection Networkの一部ではないが、トレンドマイクロによってホストされ、インターネット経由でアクセスされるコンポーネントであるトレンドマイクロUpdateサーバ (Active Updateとも呼ばれる) へのアクセスが必要です。

エージェントまたはRelay対応エージェントのいずれかがこれらのサービスに到達できない場合、いくつかの解決策があります。

解決策

プロキシを使用する

エージェントまたはRelay対応エージェントがインターネットに接続できない場合、接続可能なプロキシをインストールできます。Deep Security AgentとRelayはプロキシに接続し、そのプロキシがSmart Protection Network内のトレンドマイクロのセキュリティサービスに外部接続します。

プロキシを使用すると、各スマートスキャンまたはWebレピュテーションの要求がインターネット経由でTrend Micro Smart Protection Networkに送信されます。代わりにLAN内のSmart Protection Serverを使用して、これらの要求をネットワーク内に保持し、エクストラネットの帯域幅の使用を削減することを検討してください。

プロキシを使用するには、プロキシの設定を参照してください。

Smart Protection Serverをローカルにインストールする

エージェントおよびRelay対応エージェントがインターネットに接続できない場合、エージェントおよびRelay対応エージェントが接続できるローカルエリアネットワーク (LAN) 内にSmart Protection Serverをインストールすることができます。ローカルのSmart Protection Serverは、インターネット経由で定期的に外部のSmart Protection Networkに接続し、最新のスマートスキャン不正プログラム対策パターンおよびWebレピュテーション情報を取得します。この情報はSmart Protection Serverにキャッシュされ、エージェントおよびRelay対応エージェントによってクエリされます。Smart Protection ServerはエージェントやRelay対応エージェントに更新をプッシュしません。

このソリューションを使用することに決めた場合、次の点に注意してください。

Smart Protection Server をデプロイするには、手動でインストールしてください。詳細については、Smart Protection Server ドキュメントを参照してください。

このシナリオは、エージェントとRelay有効化済みAgentのみがエアギャップされているが、Deep Security Managerがインターネットアクセスまたはプロキシアクセスを持っている場合に適用されます。詳細はポート番号、URL、およびIPアドレスをご参照ください。Deep Security Managerもエアギャップされている場合、トレンドマイクロActive Update Serverからセキュリティアップデートを受け取るためにプロキシを使用する必要があります。あるいは、ソリューション3 隔離されたネットワークでアップデートを取得するを使用してください。

隔離されたネットワークでアップデートを取得する

Deep Security Managerがインターネットに接続されていない孤立したネットワークにあり、エージェントやRelay有効化済みAgentがインターネットに接続できない場合は、インターネットアクセスが可能な非武装地帯 (DMZ)または他のエリアにデータベースとRelay有効化済みAgentを備えた追加のスタンドアロンDeep Security Managerをインストールできます。

すべてのコンポーネントがインストールされると、DMZ内のRelay有効化済みAgentを構成して、インターネット上のUpdateサーバから最新の不正プログラム検索の更新を自動的に取得できます。これらの更新は.zipファイルに抽出され、その後、手動でエアギャップされたRelayにコピーする必要があります。

このソリューションを使用することに決めた場合、次の点に注意してください。

このソリューションを展開するには、次の手順に従ってください:

  1. DMZにDeep Security Managerとその関連データベースをインストールします。これらのインターネットに面したコンポーネントは、DMZマネージャおよびDMZデータベースと呼ぶことができます。
  2. DMZにエージェントをインストールし、Relayとして構成します。このエージェントはDMZ Relayと呼ばれます。Relayの設定に関する情報は、追加のリレーを配信するを参照してください。
    次のものがインストールされました:
    • DMZマネージャ
    • DMZデータベース
    • DMZ Relay
    • エアギャップマネージャ
    • エアギャップデータベース
    • エアギャップRelay
    • 複数のエアギャップAgent
  3. DMZ Relayで、このコマンドを実行して最新の不正プログラムパターンを含む.zipファイルを作成します:
  4. dsa_control -b
    コマンドライン出力には、生成された.zipファイルの名前と場所が表示されます。

  5. .zipファイルをエアギャップされたRelayにコピーしてください。ファイルをRelayのインストールディレクトリに配置してください。
    • 初期設定のディレクトリは、Windowsの場合はC:\Program Files\Trend Micro\Deep Security Agentです。
    • Linuxの場合は/opt/ds_agentです。

    .zipファイルの名前は変更しないでください。

  6. エアギャップManagerで、セキュリティアップデートのダウンロードを開始します。
    1. 上部の [コンピュータ] をクリックします。
    2. コンピュータのリストから、.zipファイルをコピーしたエアギャップRelayを見つけ、右クリックしてセキュリティアップデートをダウンロードを選択します。
      エアギャップRelayは、設定されたアップデートソース (通常はインターネット上のアップデートサーバ) をチェックします。サーバに接続できないため、インストールディレクトリ内の.zipファイルをチェックします。.zipファイルが見つかると、それを抽出してアップデートをインポートします。アップデートは、Relayに接続するように設定されたエアギャップエージェントに配布されます。
    3. 更新がエアギャップRelayにインポートされた後、.zipファイルを削除してください。
  7. 空のギャップのあるリレーを、アップデートサーバではなく自身に接続するように設定します(接続エラーのアラートを防ぐために):
    1. エアギャップManagerにログインします。
    2. 上部の [管理] をクリックします。
    3. 左側で [システム設定] をクリックします。
    4. メインペインで アップデート タブを選択します。
    5. [ プライマリセキュリティアップデートサイトのアップデート元]で、[その他のアップデート元]を選択して、 https://localhost:[port] と入力します。ここで [port] は、セキュリティアップデートのポート番号(初期設定では 4122)です。
    6. [OK] をクリックします。
      エアギャップのあるリレーは、インターネット上のアップデートサーバに接続しようとしなくなりました。
  8. オプションとして、パフォーマンスを向上させるために、トレンドマイクロのセキュリティサービスを使用する機能を無効にする
  9. 定期的に、DMZ Relayの最新の更新プログラムをダウンロードし、それらを圧縮して、エアギャップされたRelayにコピーし、Relayでセキュリティ更新プログラムのダウンロードを開始してください。

これで、 Deep Security Manager、関連するデータベース、およびリレーがDMZに配置され、不正プログラム検索アップデートを取得できます。

このソリューションをアップグレードするには、次の順序でアップグレードを実行してください:

  1. DMZ Manager (データベースソフトウェアのアップグレードも必要な場合はそのデータベースを含む)
  2. DMZ Relay
  3. エアギャップManager (データベースソフトウェアのアップグレードも必要な場合はそのデータベースを含む)
  4. エアギャップRelay
  5. エアギャップAgent

リレーを最初にアップグレードしない場合、セキュリティコンポーネントのアップグレードとソフトウェアのアップグレードにより がに失敗することがあります。

アップグレードの詳細については、Deep Security ManagerをインストールするDeep Security Relay、およびDeep Security Agentのアップグレードを参照してください。

隔離されたネットワークでルールのアップデートを取得する

作成した.zipファイルには、侵入防御、変更監視、およびセキュリティログ監視に使用されるDeep Securityルール更新が含まれています。ただし、それらの更新を個別に取得したい場合は:

  1. DMZ Managerで、[管理]→[アップデート]→[セキュリティ]→[ルール]]の順に選択します。
  2. ルール更新.dsruファイルをクリックし、エクスポートをクリックします。ファイルがローカルにダウンロードされます。
  3. エアギャップマネージャに適用したい各.dsruファイルについてエクスポートを繰り返してください。
  4. .dsruファイルをエアギャップマネージャにコピーしてください。
  5. Air-Gapped Managerで、[管理]→[アップデート]→[セキュリティ]→[ルール]の順に選択します。
  6. インポートをクリックし、.dsruファイルを選択して、次へをクリックします。
  7. マネージャーはファイルを検証し、それに含まれるルールの概要を表示します。 次へをクリックしてください。

    ルールの更新が正常にインポートされたことを示すメッセージが表示されます。

  8. [閉じる] をクリックします。
  9. エアギャップマネージャに適用したい各.dsruファイルについてインポートを繰り返してください。

トレンドマイクロのセキュリティサービスを使用する機能を無効にする

トレンドマイクロのセキュリティサービスを使用する機能を無効にすることができます。これにより、エアギャップエージェントがサービスを問い合わせようとしなくなるため、パフォーマンスが向上します。

トレンドマイクロのセキュリティサービスがないと、不正プログラムの検出レベルが大幅に低下し、ランサムウェアがまったく検出されず、プロセスメモリの検索も影響を受けます。したがって、トレンドマイクロのセキュリティサービスへのアクセスを許可するには、他のソリューションの1つを使用することを強くお勧めします。これが不可能な場合は、パフォーマンスを向上するために機能を無効にする必要があります。

パフォーマンスを向上させるために、Deep Security Managerでセンサスおよびグリッド (Goodファイルレピュテーション) クエリを無効にすることができます。これらを有効のままにしておくと、不要なバックグラウンド処理が大量に発生します。

  • コマンドラインを使用してセンサス クエリを無効にするには、次のコマンドを実行します:

    dsm_c -action changesetting -name settings.configuration.enableCensusQuery -value false

  • UIからセンサスクエリを無効にするには:
    1. コンピュータ > 設定 > 一般 > センサス、良好なファイルレピュテーション、および機械学習型検索サービスのネットワーク設定に移動します。
    2. センサス クエリを有効にするには、いいえを選択します。
  • コマンドラインを使用してグリッドクエリを無効にするには、次のコマンドを実行してください:

    dsm_c -action changesetting -name settings.configuration.enableGridQuery -value false

  • UIからグリッドクエリを無効にするには:
    1. コンピュータ > 設定 > 一般 > センサス、良好なファイルレピュテーション、および機械学習型検索サービスのネットワーク設定に移動します。
    2. 良好なファイルレピュテーションのクエリを有効にするには、いいえを選択します。