本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。

本ヘルプセンターの一部の記事には外部リンクが含まれています。万一リンク切れなどお気づきの点がございましたら、お手数ですが弊社サポート窓口までご連絡ください。

TLS 1.2の強力な暗号化スイートの有効化

強力な暗号化スイートを有効にすることで、Deep Securityコンポーネントとのすべての通信を安全に行えるようになります。悪意のあるユーザーが、弱い暗号化スイートを使用した通信チャネルを介してシステムへの接続を作成できると、その暗号化スイートの既知の脆弱性を悪用して、システムや情報の安全性を脅かすことになります。

このページでは、TLS 1.2の強力な暗号化スイートを使用するように、Deep Security Manager、Deep Security Agent、およびDeep Security Relayをアップデートする方法について説明します。これらの暗号スイートには+ (A+) の詳細評価があり、このページの表にリストされています。

手順1: 環境を確認する

手順2: Deep Securityコンポーネントをアップデートする

手順3: TLS 1.2の強力な暗号化スイートを有効にするためのスクリプトを実行する

手順4: スクリプトの動作を確認する

TLS 1.2の強力な暗号化スイートを無効にする

環境を確認する

強力な暗号化スイートを有効にせず、代わりにDeep SecurityでTLS 1.2を使用する必要がある場合があります。

  • FIPSモードを使用している場合。
  • 環境内のいずれかのコンピュータで、強力な暗号化スイートをサポートしていないWindows Server 2012 R2以前を実行している場合。これらのコンピュータを、強力な暗号化スイートをサポートするWindows Server 2016にアップグレードすることを検討してください。
  • すべてのDeep Securityコンポーネントを12.0以降にアップグレードできない場合。たとえば、12.0エージェントを使用できないOSを使用している場合です。

Deep Securityコンポーネントをアップデートする

すべてのコンポーネントを次の順序でアップデートしてください。そうしないと、AgentはRelayおよびManagerと通信できません。

  1. すべてのManagerインスタンスを12.0以降のバージョンにアップデートします。アップグレード手順については、Deep Security Manager AMIのアップグレードを参照してください。
  2. すべてのRelayを12.0以降にアップデートします。Relayをアップグレードするには、Agentのアップグレードと同じ手順に従います。
    1. Managerに最新のRelayソフトウェアを手動または自動でインポートします。詳細については、 エージェントソフトウェアのインポート を参照してください。
    2. リレーをアップグレードします。 Deep Security Relayのアップグレードを参照してください。
  3. すべてのAgentを12.0以降にアップデートします。Agentをアップグレードするには
    1. Managerに最新のAgentソフトウェアを手動または自動でインポートします。詳細については、 エージェントソフトウェアのインポート を参照してください。
    2.  Deep Security Agentをアップグレードします。 Deep Security Agentのアップグレードを参照してください。

TLS 1.2の強力な暗号化スイートを有効にするためのスクリプトを実行する

  1. https://github.com/deep-security/ops-tools/tree/master/deepsecurity/managerにあるEnableStrongCiphers12.scriptファイルを以下の場所にコピーします。
    • Windowsの場合: <Manager_root>\Scripts
    • Linuxの場合: <Manager_root>/Scripts

    この場合、<Manager_root>は、Managerのインストールディレクトリのパスに置き換えます。初期設定では次のようになっています。

    • C:\Program Files\Trend Micro\Deep Security Manager (Windows)
    • /opt/dsm/ (Linux)

    \Scripts ディレクトリが表示されない場合は、作成してください。

  1. Managerにログインします。
  2. 上部の [管理]をクリックします。
  3. 左側で、[予約タスク] をクリックします。
  4. メイン画面で、[新規] をクリックします。
  5. [新規予約タスクウィザード] が表示されます。
  6. [種類] リストで [スクリプトの実行] を選択します。[1回のみ] を選択します。[次へ] をクリックします。
  7. 日付、時刻、およびタイムゾーンの初期設定を受け入れ、[次へ] をクリックします。
  8. [スクリプト] で、[EnableStrongCiphers.script] を選択します。[次へ] をクリックします。
  9. [名前] には、スクリプトの名前 (たとえば、Enable Strong Cipher Suites) を入力します。[タスクの有効化] が選択されていることを確認します。[[完了] でタスクを実行] をクリックします。[完了] をクリックします。

    スクリプトが実行されます。

  10. Deep Security Managerサービスを再起動します。

    Agent、Relay、およびManagerは、TLS 1.2の強力な暗号化スイートのみを使用して相互に通信を行うようになりました。

スクリプトの動作を確認する

スクリプトの動作と、TLS 1.2の強力な暗号化スイートのみが許可されていることを確認するには、一連のnmapコマンドを実行する必要があります。

nmapを使用してManagerを確認する

次のコマンドを実行します。

nmap --script ssl-enum-ciphers -p 4119 <Manager_FQDN>

出力は次のようになります。強力な暗号化スイートは中段付近で確認できます。

Starting Nmap 7.01 ( https://nmap.org ) at 2018-11-14 09:51 EST

Nmap scan report for <DSM FQDN> (X.X.X.X)

Host is up (0.0049s latency).

PORT STATE SERVICE

4119/tcp open assuria-slm

| ssl-enum-ciphers:

| TLSv1.2:

| ciphers:

| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256k1) - A

| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256k1) - A

| compressors:

| NULL

| cipher preference: client

|_ least strength: A

Nmap done: 1 IP address (1 host up) scanned in 6.82 seconds

nmapを使用してRelayを確認する

次のコマンドを実行します。

nmap --script ssl-enum-ciphers -p 4122 <Relay_FQDN>

出力は次のようになります。強力な暗号化スイートは中段付近に記述されています。

Starting Nmap 7.01 ( https://nmap.org ) at 2018-11-14 09:49 EST

Nmap scan report for <DSR FQDN> (X.X.X.X)

Host is up (0.0045s latency).

PORT STATE SERVICE

4122/tcp open unknown

| ssl-enum-ciphers:

| TLSv1.2:

| ciphers:

| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A

| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A

| compressors:

| NULL

| cipher preference: server

|_ least strength: A

Nmap done: 1 IP address (1 host up) scanned in 31.02 seconds

nmapを使用してAgentを確認する

次のコマンドを実行します。

nmap --script ssl-enum-ciphers -p 4118 <Agent_FQDN>

出力は次のようになります。

Starting Nmap 7.01 ( https://nmap.org ) at 2018-11-14 09:50 EST

Nmap scan report for <DSA FQDN> (X.X.X.X)

Host is up (0.0048s latency).

PORT STATE SERVICE

4118/tcp open netscript

| ssl-enum-ciphers:

| TLSv1.2:

| ciphers:

| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A

| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A

| compressors:

| NULL

| cipher preference: server

|_ least strength: A

Nmap done: 1 IP address (1 host up) scanned in 2.72 seconds

TLS 1.2の強力な暗号化スイートを無効にする

すべてのAgent、Relay、およびManagerをアップグレードする前に誤ってスクリプトを実行してしまった場合には、次の手順に従って以前の状態に戻すことができます。

  1. <Manager_root>にあるconfiguration.propertiesファイルを開き、ciphersで始まる行を削除します。次のような行です。

    ciphers=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

  2. protocols フィールドに値TLSv1TLSv1.1を追加します。プロパティは最終的には次のようになります。

    protocols = TLSv1, TLSv1.1, TLSv1.2

  3. ファイルを保存して、閉じます。
  4. <Manager_root>\jre\lib\security\にあるjava.securityファイルを開き、jdk.tls.disabledAlgorithms から次の2つのプロトコルを削除します。

    TLSv1, TLSv1.1

  5. Deep Security Managerで、次のdsm_cコマンドを実行します。

    dsm_c –action changesetting –name settings.configuration.restrictRelayMinimumTLSProtocol –value TLSv1

    dsm_c –action changesetting –name settings.configuration.enableStrongCiphers –value false

    システムが再度通信できるようになります。TLS 1.2の強力な暗号化スイートを有効にする必要がある場合は、すべてのコンポーネントをアップグレードしてからスクリプトを実行するようにしてください。

Deep Security Managerとの通信の問題が解決しない場合は、次の追加のdsm_cコマンドを実行します。

dsm_c –action changesetting –name settings.configuration.MinimumTLSProtocolNewNode –value TLSv1