本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。

本ヘルプセンターの一部の記事には外部リンクが含まれています。万一リンク切れなどお気づきの点がございましたら、お手数ですが弊社サポート窓口までご連絡ください。

共有ルールセットとグローバルルールセットを作成するためのAPIの使用

アプリケーションコントロールの概要については、アプリケーションコントロールを参照してください。初期設定の手順については、アプリケーションコントロールの設定を参照してください。

自動化センターでDeep Security Manager APIを使用すると、共有ルールセットとグローバルルールを作成できます。1種類のルールセットを使用することも、組み合わせて使用することもできます。詳細については、 共有ルールセットの作成 および グローバルルールの追加を参照してください。

  • ローカルルールセット:コンピュータのソフトウェアインベントリの一部として、またはメンテナンスモードで追加されたルールは、保護対象コンピュータにのみ保存され、Deep Security Managerでは表示されません。Deep Security Managerで設定するルールの許可またはブロックは、Agentに送信され、両方の場所に保存されます。Agentはインベントリ情報をManagerに転送しないため、ローカルルールセットは共有ルールセットよりも優れたパフォーマンスを発揮します。

    ソフトウェアが新しくなったのか、変更されたのかを判断するために、Deep Security Agent 10は、初期インストールされているソフトウェアのSHA-256ハッシュ、ファイルサイズ、パス、およびファイル名 (「ファイルベース」ローカルのルールセット) を持つファイルと比較します。Deep Security Agent 11以降では、ファイルのSHA-256ハッシュとファイルサイズのみが比較されます (ハッシュベースのローカルルールセット) が使用されます。Deep Security 11 (およびそれ以降の) Agentで作成されたルールでは、一意のハッシュおよびファイルサイズのみを比較するので、ソフトウェアファイルの名前変更または移動が実行された場合にも、ルールは引き続き適用されます。その結果、Deep Security Agent 11以降を使用すると、処理が必要なソフトウェアの変更数が減少します。Deep Security Agent 10は、Deep Security Agent 11.0以上にバージョンアップされるまで、引き続きファイルベースのローカルルールセットを使用します。アップグレードすると、そのローカルルールセットはハッシュベースのルールを使用するように変換されます。

    同じハッシュ値に対するファイルベースのルールが複数ある場合、それらのルールは1つのハッシュベースのルールに統合されます。統合されるルールが相互に競合する場合 (1つのルールがファイルをブロックし、もう1つがそのファイルを許可する場合)、新しいハッシュベースのルールは「許可」ルールになります。

  • 共有ルールセット:すべてのルールデータをAgentとManagerの両方に同期します (有効な場合はRelayも対象)。これにより、ネットワークとディスクの使用量が増加します。ただし、初期インベントリ検索またはメンテナンスモードのルールを確認する必要がある場合や、設定が同一でなければならない多数のコンピュータで構成されるサーバファームを管理する場合は、共有ルールセットを使用する方が業務を簡素化できることがあります。共有ルールセットは、同じ構成のLAMP Webサーバで構成されるサーバプールや、複数仮想マシンでオートスケーリンググループを構成している場合などに便利です。管理作業の負荷も軽減できます。

    [承認されていないソフトウェアを明示的に許可するまでブロック] が有効で、コンピュータが単に類似しているが同一ではない場合は、共有ルールセットを使用しないでください。最初のコンピュータのルールセットに含まれていない他のコンピュータのすべてのソフトウェアがブロックされてしまいます。重要なファイルが含まれている場合、OSが破損する可能性があります。OSが破損すると、再インストール、バックアップの復元、またはOSの復旧モードの使用が必要になる可能性があります。

    Deep Security Agent 11.1以降を使用して新しい共有ルールセットを作成する場合、ハッシュベースのルール(ファイルのハッシュとサイズのみを比較するルール)のみを含めることができます。Deep Security Agent 11.0以前を使用して共有ルールセットを作成した場合は、ファイルベースのルール(ファイルの名前、パス、サイズ、およびハッシュを比較するルール)が含まれます。共有ルールセットを使用するすべてのAgentがDeep Security Agent 11.0以降にアップグレードされるまで、古い共有ルールセットでは引き続きファイルベースのルールが使用されます。共有ルールセットは、ハッシュベースのルールを使用するように変換されます。

    すべてのエージェントがDeep Security Agent 11.0以上にアップグレードされるまで、新しい共有ルールセットを作成しないでください。新しい共有ルールセットはハッシュベースであり、ファイルベースのルールセットのみをサポートするDeep Security Agent 10.3以前とは互換性がありません。

    同じハッシュ値に対するファイルベースのルールが複数ある場合、それらのルールは1つのハッシュベースのルールに統合されます。統合されるルールが相互に競合する場合 (1つのルールがファイルをブロックし、もう1つがそのファイルを許可する場合)、新しいハッシュベースのルールは「許可」ルールになります。

  • 共有ルールを作成するには、オートメーションセンターで 共有ルールセット を作成を参照してください。

  • グローバルルール: 共有ルールセットと同様に、グローバルルールはマネージャによってエージェントに配信されます(有効な場合はリレーも含まれます)。これにより、ネットワークとディスクの使用量が増加します。ただし、これらのルールセットはグローバルであるため、各ポリシーでの選択の手間を省くことができます。グローバルルールは、Deep Security Managerに表示されるルールセットの一部ではありません。グローバルルールにはブロックルールのみを含めることができ、ルールは許可しません。

    グローバルルールを使用するには、 Deep Security Agent 10.2以降が必要です。 Managerは、古いAgentにはグローバルルールを送信しません。グローバルルールは、他のすべてのアプリケーションコントロールルールよりも優先され、アプリケーションコントロールが有効になっているすべてのコンピュータに適用されます。グローバルルールのルールは、ファイルのMD5、SH-1、またはSHA-256ハッシュに基づいています。ソフトウェアファイルのハッシュは一意であるため、ファイルパス、ポリシー、またはコンピュータグループに関係なく、またアプリケーションコントロールが以前にソフトウェアを検出したかどうかに関係なく、特定のソフトウェアをすべての場所でブロックできます。

    マルチテナント展開では、各テナントにグローバルルールが個別に割り当てられます。すべてのテナントに対してソフトウェアをブロックするには、各テナントに同一のグローバルルールを作成します。

  • グローバルルールを作成するには、オートメーションセンターで グローバルルール を追加を参照してください。

このトピックの内容:

共有ルールセットを作成する

APIを使用して、共有の許可ルールまたはブロックルールを作成し、ルールセットを他のコンピュータに適用できます。これは、同一のコンピュータが複数ある場合 (Webサーバファームで負荷を分散している場合など) に便利です。共有ルールセットはインベントリが完全に一致するコンピュータにのみ適用する必要があります。

  1. APIを使用して、コンピュータの共有の許可ルールとブロックルールを作成します。詳細については、「共有ルールセットを作成する」を参照してください。共有ルールセットを配信する前に内容を確認する場合は、アプリケーションコントロールルールセットの表示と変更を参照してください。
  2. コンピュータエディタまたはポリシーエディタClosedこれらの設定は、ポリシーまたは特定のコンピュータについて変更できます。 ポリシーの設定を変更するには、[ポリシー] 画面に移動し、編集するポリシーをダブルクリック (またはポリシーを選択して [詳細] をクリック) します。 コンピュータの設定を変更するには、[コンピュータ] 画面に移動し、編集するコンピュータをダブルクリック (またはコンピュータを選択して [詳細] をクリック) します。で、[アプリケーションコントロール] に進みます。
  3. [ルールセット] で、[設定を継承] が選択されていないことを確認してから、[共有ルールセットを使用] を選択します。使用する共有ルールセットを指定します。

    これらの設定は、APIを使用して作成した共有ルールセットがない場合は表示されません。共有ルールセットを作成していない場合、または初期設定をそのまま使用する場合は、各コンピュータには独自の許可およびブロックルールがローカルに使用されます。ローカルルールに対する変更は他のコンピュータには反映されません。

  4. [保存] をクリックします。

    次回コンピュータのDeep Security AgentがDeep Security Managerに接続すると、エージェントはそれらのルールを適用します。

    ルールセットのアップロードに失敗したことを示すエラーが表示された場合は、エージェントとマネージャまたはリレー間のネットワークデバイスがハートビートポートまたは ポート番号の中継を許可することを確認します。

共有許可およびブロックルールからコンピュータ固有の許可およびブロックルールに切り替える

コンピュータで現在API経由で作成された共有ルールが許可されている場合は、ローカルルールを使用するように変更できます。アプリケーションコントロールをはじめて有効にしたときと同様に、ファイルシステムに現在インストールされているすべてのソフトウェアが検索され、初期ルールセットが作成されます。

この手順を開始する前に、適切なソフトウェアのみが現在インストールされていることを確認してください。ルールセットを再構築すると、安全性が確認されていないソフトウェアや不正プログラムも含め、現在インストールされているすべてのソフトウェアが許可されます。インストールされているソフトウェアを把握していない場合は、クリーンインストールを実施し、その後でアプリケーションコントロールを有効にするのが最も安全な方法です。

以下の手順は、特定のコンピュータのAgentでローカルルールセットを使用するように設定する手順です。すべてのコンピュータでローカルルールを使用する場合は、代わりに [ポリシー] タブで設定を編集します。

  1. コンピュータエディタClosedコンピュータエディタを開くには、[コンピュータ] 画面に移動し、編集するコンピュータをダブルクリック (またはコンピュータを選択して [詳細] をクリック) します。で、[アプリケーションコントロール] に進みます。
  2. [ルールセット] で、[設定を継承] が選択されている場合は解除し、[最初はインストールされているソフトウェアに基づいてローカルルールセットを使用] を選択します。
  3. [保存] をクリックします。

    変更内容を確認するには、次回エージェントとDeep Security Managerが接続するときに、次の項目を確認します。イベントログメッセージのビルドについてアプリケーションコントロールルールセット

Relayを介してアプリケーションコントロール共有ルールセットをインストールする

アプリケーションコントロールルールセットを作成または変更するたびに、使用するすべてのコンピュータに配布する必要があります。共有ルールセットはローカルルールセットよりも大きくなります。また、共有ルールセットはさまざまなサーバにも適用されることがあります。ルールセットをManagerから同時に直接ダウンロードすると、負荷が大きくなり、パフォーマンスが低下する可能性があります。グローバルルールセットの注意事項も同じです。

Deep Security Relayを使用すると、この問題を解決できます。(Relayの設定の詳細については、「追加のリレーを配信する」を参照してください。)

マルチテナント環境を使用しているかどうかによって、手順が異なります。

単一テナント環境

[管理]→[システム設定]→[詳細] の順に選択し、[アプリケーションコントロールルールセットをRelayから提供する] を選択します。

ローカルルールセットと共有ルールセット

マルチテナント環境

プライマリテナント (t0) は他のテナント (tN) の設定にアクセスできないため、t0 RelayにはtNアプリケーションコントロールルールセットが設定されません。他のテナント (tN) は独自のRelayグループを作成してから [アプリケーションコントロールルールセットをRelayから提供する] を選択する必要があります。

tNルールセットRelay

共有ルールセットを使用するリレーを使用する場合の考慮事項

Relayを使用する前に、Relayに使用環境との互換性があることを確認してください。以前にダウンロードされて現在有効になっているルールセットがAgentにない場合、Agentが新しいアプリケーションコントロールルールを受け取らないと、コンピュータがアプリケーションコントロールによって保護されることはありません。アプリケーションコントロールルールセットのダウンロードに失敗した場合は、ルールセットダウンロード失敗イベントが、ManagerおよびAgentで記録されます。

  • プロキシを使用してAgentをManagerに接続する場合は、Relayを使用する必要があります。

    Deep Security Agent 10.0以前では、クライアントはプロキシ経由でリレーに接続できませんでした。ルールセットのダウンロードにプロキシが原因で失敗した場合、およびクライアントがリレーまたはマネージャにアクセスするためにプロキシを要求する場合は、次のいずれかを実行する必要があります。

  • 共有ルールセットまたはグローバルルールセットを使用している場合は、Relayを使用するとパフォーマンスが向上します。
  • ローカルルールセットを使用している場合は、Relayを使用するとパフォーマンスが低下する可能性があります。
  • プライマリ以外のテナント (tN) が初期設定のプライマリ (t0) Relayグループを使用する場合は、マルチテナント設定でRelayを使用しないでください。