本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。
本ヘルプセンターの一部の記事には外部リンクが含まれています。万一リンク切れなどお気づきの点がございましたら、お手数ですが弊社サポート窓口までご連絡ください。
インターネットにアクセスできないAgentを設定する
エージェントまたはリレーがインターネットにアクセスできない場合 (エアギャップエージェント)、トレンドマイクロSmart Protection Networkが提供する一部のセキュリティサービスにアクセスできません。これらのセキュリティサービスは、Deep Security不正プログラム対策およびWebレピュテーションモジュールの完全かつ正常な動作に必要です。
トレンドマイクロSmart Protection Networkセキュリティサービスには、次のものが含まれます:
サービス名 | 対象機能 |
スマートスキャンサービス | スマートスキャン |
Webレピュテーションサービス | Webレピュテーション |
Global Censusサービス | 挙動監視、機械学習型検索 |
Good File Reputationサービス | 挙動監視、機械学習型検索、プロセスメモリ検索 |
機械学習型検索サービス | 機械学習型検索 |
これらのサービスに加えて、エージェントおよびRelay有効化済みAgentは、Smart Protection Networkの一部ではないが、トレンドマイクロによってホストされ、インターネット経由でアクセスされるコンポーネントであるトレンドマイクロUpdateサーバ (Active Updateとも呼ばれる) へのアクセスが必要です。
エージェントまたはRelay対応エージェントのいずれかがこれらのサービスに到達できない場合、いくつかの解決策があります。
解決策
- 解決策1:プロキシを使用する
- 解決策2:Smart Protection Serverをローカルにインストールする
- 解決策3: 隔離されたネットワークでアップデートを取得する
- 解決策4:トレンドマイクロのセキュリティサービスを使用する機能を無効にする
プロキシを使用する
エージェントまたはRelay対応エージェントがインターネットに接続できない場合、接続可能なプロキシをインストールできます。Deep Security AgentとRelayはプロキシに接続し、そのプロキシがSmart Protection Network内のトレンドマイクロのセキュリティサービスに外部接続します。
プロキシを使用すると、各スマートスキャンまたはWebレピュテーションの要求がインターネット経由でTrend Micro Smart Protection Networkに送信されます。代わりにLAN内のSmart Protection Serverを使用して、これらの要求をネットワーク内に保持し、エクストラネットの帯域幅の使用を削減することを検討してください。
プロキシを使用するには、プロキシの設定を参照してください。
Smart Protection Serverをローカルにインストールする
エージェントおよびRelay対応エージェントがインターネットに接続できない場合、エージェントおよびRelay対応エージェントが接続できるローカルエリアネットワーク (LAN) 内にSmart Protection Serverをインストールすることができます。ローカルのSmart Protection Serverは、インターネット経由で定期的に外部のSmart Protection Networkに接続し、最新のスマートスキャン不正プログラム対策パターンおよびWebレピュテーション情報を取得します。この情報はSmart Protection Serverにキャッシュされ、エージェントおよびRelay対応エージェントによってクエリされます。Smart Protection ServerはエージェントやRelay対応エージェントに更新をプッシュしません。
このソリューションを使用することに決めた場合、次の点に注意してください。
- 機能は制限されています。ローカルのSmart Protection Serverでサポートされるのは、スマートスキャンモジュールとWebレピュテーションモジュールのみです。
- 挙動監視、機械学習型検索、およびプロセスメモリスキャンが必要な場合は、プロキシソリューションを使用してください。詳細については、プロキシを使用するを参照してください。これらの機能を使用しない場合は、クエリの失敗を防ぎ、パフォーマンスを向上させるために無効にする必要があります。手順については、トレンドマイクロのセキュリティサービスを使用する機能を無効にするを参照してください
Smart Protection Server をデプロイするには、手動でインストールしてください。詳細については、Smart Protection Server ドキュメントを参照してください。
このシナリオは、エージェントとRelay有効化済みAgentのみがエアギャップされているが、Deep Security Managerがインターネットアクセスまたはプロキシアクセスを持っている場合に適用されます。詳細はポート番号、URL、およびIPアドレスをご参照ください。Deep Security Managerもエアギャップされている場合、トレンドマイクロActive Update Serverからセキュリティアップデートを受け取るためにプロキシを使用する必要があります。あるいは、ソリューション3 隔離されたネットワークでアップデートを取得するを使用してください。
隔離されたネットワークでアップデートを取得する
Deep Security Managerがインターネットに接続されていない孤立したネットワークにあり、エージェントやRelay有効化済みAgentがインターネットに接続できない場合は、インターネットアクセスが可能な非武装地帯 (DMZ)または他のエリアにデータベースとRelay有効化済みAgentを備えた追加のスタンドアロンDeep Security Managerをインストールできます。
すべてのコンポーネントがインストールされると、DMZ内のRelay有効化済みAgentを構成して、インターネット上のUpdateサーバから最新の不正プログラム検索の更新を自動的に取得できます。これらの更新は.zip
ファイルに抽出され、その後、手動でエアギャップされたRelayにコピーする必要があります。
このソリューションを使用することに決めた場合、次の点に注意してください。
.zip
ファイルには従来の (大規模な) 不正プログラムパターンが含まれており、基本的な不正プログラム対策機能を提供します。.zip
ファイルには、侵入防御、変更監視、セキュリティログ監視に使用されるDeep Securityルールの更新も含まれています。これらの更新を個別に取得することもできます。隔離されたネットワークでルールのアップデートを取得するを参照してください。- 次の高度な不正プログラム対策機能は利用できません: スマートスキャン、挙動監視、機械学習型検索、プロセスメモリスキャン、およびWebレピュテーション。これらの機能を使用するにはトレンドマイクロのセキュリティサービスへのアクセスが必要です。
- 高度な不正プログラム対策機能を無効にする必要があります。これらの機能は使用できません。
- エアギャップされたRelayで
.zip
ファイルを定期的に更新する計画を立てて、常に最新の不正プログラムパターンを保持するようにしてください。
このソリューションを展開するには、次の手順に従ってください:
- DMZにDeep Security Managerとその関連データベースをインストールします。これらのインターネットに面したコンポーネントは、DMZマネージャおよびDMZデータベースと呼ぶことができます。
- DMZにエージェントをインストールし、Relayとして構成します。このエージェントはDMZ Relayと呼ばれます。Relayの設定に関する情報は、追加のリレーを配信するを参照してください。
次のものがインストールされました:- DMZマネージャ
- DMZデータベース
- DMZ Relay
- エアギャップマネージャ
- エアギャップデータベース
- エアギャップRelay
- 複数のエアギャップAgent
- DMZ Relayで、このコマンドを実行して最新の不正プログラムパターンを含む
.zip
ファイルを作成します: .zip
ファイルをエアギャップされたRelayにコピーしてください。ファイルをRelayのインストールディレクトリに配置してください。- 初期設定のディレクトリは、Windowsの場合はC:\Program Files\Trend Micro\Deep Security Agentです。
- Linuxの場合は/opt/ds_agentです。
.zipファイルの名前は変更しないでください。
- エアギャップManagerで、セキュリティアップデートのダウンロードを開始します。
- 上部の [コンピュータ] をクリックします。
- コンピュータのリストから、
.zip
ファイルをコピーしたエアギャップRelayを見つけ、右クリックしてセキュリティアップデートをダウンロードを選択します。
エアギャップRelayは、設定されたアップデートソース (通常はインターネット上のアップデートサーバ) をチェックします。サーバに接続できないため、インストールディレクトリ内の.zip
ファイルをチェックします。.zip
ファイルが見つかると、それを抽出してアップデートをインポートします。アップデートは、Relayに接続するように設定されたエアギャップエージェントに配布されます。 - 更新がエアギャップRelayにインポートされた後、
.zip
ファイルを削除してください。
- 空のギャップのあるリレーを、アップデートサーバではなく自身に接続するように設定します(接続エラーのアラートを防ぐために):
- エアギャップManagerにログインします。
- 上部の [管理] をクリックします。
- 左側で [システム設定] をクリックします。
- メインペインで アップデート タブを選択します。
- [ プライマリセキュリティアップデートサイトのアップデート元]で、[その他のアップデート元]を選択して、 https://localhost:[port] と入力します。ここで [port] は、セキュリティアップデートのポート番号(初期設定では 4122)です。
- [OK] をクリックします。
エアギャップのあるリレーは、インターネット上のアップデートサーバに接続しようとしなくなりました。
- オプションとして、パフォーマンスを向上させるために、トレンドマイクロのセキュリティサービスを使用する機能を無効にする。
- 定期的に、DMZ Relayの最新の更新プログラムをダウンロードし、それらを圧縮して、エアギャップされたRelayにコピーし、Relayでセキュリティ更新プログラムのダウンロードを開始してください。
dsa_control -b
コマンドライン出力には、生成された.zip
ファイルの名前と場所が表示されます。
これで、 Deep Security Manager、関連するデータベース、およびリレーがDMZに配置され、不正プログラム検索アップデートを取得できます。
このソリューションをアップグレードするには、次の順序でアップグレードを実行してください:
- DMZ Manager (データベースソフトウェアのアップグレードも必要な場合はそのデータベースを含む)
- DMZ Relay
- エアギャップManager (データベースソフトウェアのアップグレードも必要な場合はそのデータベースを含む)
- エアギャップRelay
- エアギャップAgent
リレーを最初にアップグレードしない場合、セキュリティコンポーネントのアップグレードとソフトウェアのアップグレードにより がに失敗することがあります。
アップグレードの詳細については、
隔離されたネットワークでルールのアップデートを取得する
作成した.zip
ファイルには、侵入防御、変更監視、およびセキュリティログ監視に使用されるDeep Securityルール更新が含まれています。ただし、それらの更新を個別に取得したい場合は:
- DMZ Managerで、[管理]→[アップデート]→[セキュリティ]→[ルール]]の順に選択します。
- ルール更新
.dsru
ファイルをクリックし、エクスポートをクリックします。ファイルがローカルにダウンロードされます。 - エアギャップマネージャに適用したい各
.dsru
ファイルについてエクスポートを繰り返してください。 .dsru
ファイルをエアギャップマネージャにコピーしてください。- Air-Gapped Managerで、[管理]→[アップデート]→[セキュリティ]→[ルール]の順に選択します。
- インポートをクリックし、
.dsru
ファイルを選択して、次へをクリックします。 - マネージャーはファイルを検証し、それに含まれるルールの概要を表示します。 次へをクリックしてください。
ルールの更新が正常にインポートされたことを示すメッセージが表示されます。
- [閉じる] をクリックします。
- エアギャップマネージャに適用したい各
.dsru
ファイルについてインポートを繰り返してください。
トレンドマイクロのセキュリティサービスを使用する機能を無効にする
トレンドマイクロのセキュリティサービスを使用する機能を無効にすることができます。これにより、エアギャップエージェントがサービスを問い合わせようとしなくなるため、パフォーマンスが向上します。
トレンドマイクロのセキュリティサービスがないと、不正プログラムの検出レベルが大幅に低下し、ランサムウェアがまったく検出されず、プロセスメモリの検索も影響を受けます。したがって、トレンドマイクロのセキュリティサービスへのアクセスを許可するには、他のソリューションの1つを使用することを強くお勧めします。これが不可能な場合は、パフォーマンスを向上するために機能を無効にする必要があります。
- スマートスキャンを無効にするには、次の手順に従います。
- コンピュータまたはポリシーエディタ
これらの設定は、ポリシーまたは特定のコンピュータについて変更できます。 ポリシーの設定を変更するには、[ポリシー] 画面に移動し、編集するポリシーをダブルクリック (またはポリシーを選択して [詳細] をクリック) します。 コンピュータの設定を変更するには、[コンピュータ] 画面に移動し、編集するコンピュータをダブルクリック (またはコンピュータを選択して [詳細] をクリック) します。を開きます。
- 左側で [不正プログラム対策] をクリックします。
- メイン画面で [Smart Protection] をクリックします。
- スマートスキャンの下で、継承の選択を解除 (選択されている場合)、次にオフを選択します。
- [保存] をクリックします。
- コンピュータまたはポリシーエディタ
- Webレピュテーションを無効にするには:
- コンピュータまたはポリシーエディタ
これらの設定は、ポリシーまたは特定のコンピュータについて変更できます。 ポリシーの設定を変更するには、[ポリシー] 画面に移動し、編集するポリシーをダブルクリック (またはポリシーを選択して [詳細] をクリック) します。 コンピュータの設定を変更するには、[コンピュータ] 画面に移動し、編集するコンピュータをダブルクリック (またはコンピュータを選択して [詳細] をクリック) します。を開きます。
- 左側で [Webレピュテーション] をクリックします。
- メイン画面で [一般] タブが選択されていることを確認します。
- 設定リストから、オフを選択します。
- [保存] をクリックします。
- コンピュータまたはポリシーエディタ
- スマートフィードバックを無効にするには、次の手順に従います。
- Deep Security Managerで、上部にある[ Administration ]をクリックします。
- 左側にある [システム設定] をクリックします。
- メインペインで、スマートフィードバックタブを選択します。
- [トレンドマイクロスマートフィードバックを有効にする (推奨)] を選択解除します。
- [保存] をクリックします。
- プロセスメモリスキャンを無効にするには:
- Deep Security Managerで、上部の [ポリシー] をクリックします。
- 左側で共通オブジェクト > その他を展開し、不正プログラム検索の設定をクリックします。
- [リアルタイム] の [検索の種類] で不正プログラム検索設定をダブルクリックします。
- [一般] タブの [プロセスメモリ検索] で、[プロセスメモリ内の不正プログラムを検索する] を選択解除します。
- [OK] をクリックします。
- 機械学習型検索を無効にするには:
- 不正プログラムリアルタイム検索設定がまだ開いていることを確認します。
- [一般] タブの [機械学習型検索] で、[機械学習型検索の有効化] を選択解除します。
- [OK] をクリックします。
- 挙動監視を無効にするには:
- 不正プログラムリアルタイム検索設定がまだ開いていることを確認します。
- [一般] タブの [挙動監視] で、挙動監視を有効にするの選択を解除します。
- [OK] をクリックします。
パフォーマンスを向上させるために、Deep Security Managerでセンサスおよびグリッド (Goodファイルレピュテーション) クエリを無効にすることができます。これらを有効のままにしておくと、不要なバックグラウンド処理が大量に発生します。
- コマンドラインを使用してセンサス クエリを無効にするには、次のコマンドを実行します:
dsm_c -action changesetting -name settings.configuration.enableCensusQuery -value false
- UIからセンサスクエリを無効にするには:
- コンピュータ > 設定 > 一般 > センサス、良好なファイルレピュテーション、および機械学習型検索サービスのネットワーク設定に移動します。
- センサス クエリを有効にするには、いいえを選択します。
- コマンドラインを使用してグリッドクエリを無効にするには、次のコマンドを実行してください:
dsm_c -action changesetting -name settings.configuration.enableGridQuery -value false
- UIからグリッドクエリを無効にするには:
- コンピュータ > 設定 > 一般 > センサス、良好なファイルレピュテーション、および機械学習型検索サービスのネットワーク設定に移動します。
- 良好なファイルレピュテーションのクエリを有効にするには、いいえを選択します。