本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。

本ヘルプセンターの一部の記事には外部リンクが含まれています。万一リンク切れなどお気づきの点がございましたら、お手数ですが弊社サポート窓口までご連絡ください。

Deep SecurityでのTLS 1.2の使用

Deep Security Manager 11.1以降の新規インストールでは、初期設定でTLS 1.2が強制されます。

対応が必要であるかどうかは、以下の表で確認してください。

TLS 1.2のA+評価の強力な暗号化スイートのみを有効にする場合は、TLS 1.2の強力な暗号化スイートの有効化」を参照してください。強力な暗号化スイートを使用すると、互換性の問題が発生することがあります。

 

目的 現在の環境 対応
Deep Security Manager 11.1以上の新規インストール 10.0以降のDeep Security Agent、Relay、Virtual Applianceのみ

なし

初期設定で、TLS 1.2は、すべてのコンポーネント間で使用され、ManagerとRelay上で強制されます。

9.6未満のDeep Security Agent、Relay、Virtual Applianceを含む

(推奨)すべてのコンポーネントを、TLS 1.2をサポートする9.6以上のバージョンにアップグレードしてください。「TLS 1.2を使用するようにコンポーネントをアップグレードする」を参照してください。お使いの環境のセキュリティを強化するための最良の方法です。

古いコンポーネントとの下位互換性を確保するために、初期のTLS 1.0を有効にすることもできます。「初期のTLS (1.0) を有効にする」を参照してください。

Deep Security Manager 11.1以上へのアップグレード 10.0以降のDeep Security Agent、Relay、Virtual Applianceのみ

(推奨)環境のセキュリティを強化するためにTLS 1.2の強制を有効にします。「TLS 1.2を強制する」を参照してください。

何もしないという選択肢もあります。以前の環境にあったTLS設定はすべて維持されます。これまでTLS 1.2を強制する設定になっていた場合は、その設定がアップグレード後も維持されます。逆に、強制する設定を無効にしていた場合も、それらの設定が維持されます。

9.6未満のDeep Security Agent、Relay、Virtual Applianceを含む

(推奨)すぐに対応する必要はありませんが、古いコンポーネントは、TLS 1.2がサポートされる9.6以上にアップグレードし、TLS 1.2を強制することを検討してください。「TLS 1.2を使用するようにコンポーネントをアップグレードする」および「TLS 1.2を強制する」を参照してください。お使いの環境のセキュリティを強化するための最良の方法です。

何もしないという選択肢もあります。以前の環境にあったTLS設定はすべて維持されます。以前TLS 1.0が許可されていた場合は、アップグレード後も許可されます。

このページのトピック:

TLS 1.2とDeep Security Agentの互換性

プラットフォームにインストールされているDeep Security Agent 10.0以降は、TLS 1.2を介してDeep Security Managerと通信します。

また、次のプラットフォームにインストールされたDeep Security Agentバージョン9.6は、TLS 1.2を介してDeep Security Managerと通信します。

  • Windows 2000
  • Linux Debian 6
  • SuSE 10。このプラットフォームのDeep Security Agent 9.6のサポート延長は、2021年5月23日に終了しました。
  • Ubuntu 12.04

TLS 1.2は、次のプラットフォームのDeep Security Agentsバージョン9.0でもサポートされます。

  • AIX。このプラットフォームのDeep Security Agent 9.0のサポート延長は、2020年12月31日に終了しました。
  • Solaris。このプラットフォームのDeep Security Agent 9.0のサポート延長は、2019年12月31日に終了しました。

TLS 1.2のアーキテクチャ

下の図は、Deep SecurityアーキテクチャにおけるTLS通信を示しています。

図1は、TLS 1.2が強制されているときのTLS通信を示しています (新しい11.1以上のDeep Security Manager環境では、これが初期設定となります)。図に示されているとおり、バージョン9.5のAgentも古いサードパーティのアプリケーションも、Deep Security Managerと通信できなくなります。

図2は、TLS 1.2が強制されていない場合のTLS通信を示しています。図に示されているとおり、Deep Security Agent 9.6以降のAgentはTLS 1.2を介してDeep Security Managerと通信できますが、バージョン9.5のAgentは初期のTLSを介して通信します。同様に、新しいサードパーティのアプリケーションではTLS 1.2が使用されていますが、古いアプリケーションでは初期のTLSが使用されています。

図1: TLS 1.2の強制あり

図2: TLS 1.2の強制なし

TLS 1.2を使用するようにコンポーネントをアップグレードする

Deep SecurityコンポーネントでTLS 1.2を使用する場合、個々のコンポーネントでTLS 1.2がサポートされていることを確認してください。

以下の手順に従って、Deep SecurityのコンポーネントがTLS 1.2をサポートしていることを確認し、必要に応じてそれらをアップグレードします。

TLS 1.2を強制して初期のTLSが使用されないようにするには、「TLS 1.2を強制する」を参照してください。

Deep Security Managerを確認してアップグレードする

  • 次のいずれかのバージョンのDeep Security Managerを使用していることを確認します。別のバージョンを使用している場合はアップグレードしてください。
    • ManagerでTLS 1.2を強制する予定がある場合は、Deep Security Manager 10.0 Update 8以降を使用します。TLS 1.2の強制をサポートしているのは、10.0 Update 8以降のManagerのみです。
    • ManagerでTLS 1.2を強制する予定がない場合は、Deep Security Manager 10.0以降を使用します。TLS 1.2通信をサポートしているのは、10.0以降のManagerのみです。
  • アップグレード手順については、「Deep Security Manager AMIのアップグレード」を参照してください。

Deep Security Managerデータベースを確認する

  • Deep Security ManagerデータベースとしてMicrosoft SQL Serverを使用する場合は、データベースでTLS 1.2がサポートされていることを確認し、サポートされていなければ、データベースをアップグレードします。解説については、こちらのMicrosoftのWebサイトを参照してください。
  • PostgreSQLデータベースを使用している場合は、TLS 1.2がサポートされているため、何もする必要はありません。
  • Oracleデータベースを使用している場合は、データベースとManager間の通信でTLSではなく、Oracleのネイティブの暗号化がサポートされているため、何もする必要はありません。
  • 初期設定では、データベース (SQL Server、PostgreSQL、またはOracle) とDeep Security Manager間の通信は暗号化されていません。暗号化は手動で有効にすることができます。

Deep Security Agentを確認する

  • 既存のDeep Security Agentがある場合は、バージョンが10.0以降であることを確認します。TLS 1.2をサポートしているのは、10.0以降のAgentのみです。

アップグレードされていないAgent (10.0より以前のAgent) が残っていると、そのAgentは初期のTLSを介して通信するため、初期のTLSを有効にする必要があります。詳細については、「初期のTLS (1.0) を有効にする」を参照してください。

エージェントをアップグレードするには、 Deep Security Agentのアップグレードを参照してください。

Deep Security Relayを確認する

  • 次のいずれかのバージョンのDeep Security Relayを使用していることを確認します。別のバージョンを使用している場合はアップグレードしてください。
    • RelayでTLS 1.2を強制する予定がある場合は、Deep Security Relay 10.0 Update 8以降を使用します。TLS 1.2の強制をサポートしているのは、10.0 Update 8以降のRelayのみです。
    • RelayでTLS 1.2を強制する予定がない場合は、Deep Security Relay 10.0以降を使用します。TLS 1.2通信をサポートしているのは、10.0以降のRelayのみです。

リレーをアップグレードするには、 Deep Security Relayを参照してください。

TLS 1.2を強制する

このセクションのトピック:

TLS 1.2を強制できるコンポーネント

TLS 1.2を強制できるコンポーネントは次のとおりです。

  • Deep Security Manager
  • Deep Security Relay

TLS 1.2を強制した場合の動作

TLS 1.2を強制すると、ManagerとRelayで初期のTLS接続が許可されなくなり、初期のTLSの使用を試みるアプリケーションは、アクセスが拒否されて正常に機能しなくなります。

TLS 1.2を強制しない場合、ManagerとRelayで初期のTLSに加えてTLS 1.2接続も許可されます。そのため、古いアプリケーションと新しいアプリケーションの両方が接続できます。

初期設定でTLS 1.2が強制されるかどうか

  • Deep Security Manager 11.1以上をアップグレードではなく新規インストールした場合、初期設定でTLS 1.2が強制されます。
  • 既存のDeep Security Managerを11.1以上にアップグレードした場合は、既存のTLS設定が維持されます。つまり、それまでTLSを強制していなかった場合、アップグレード後も強制されません。逆に、強制していた場合は、引き続き強制されます。

TLS 1.2の強制が可能になる場合の条件

TLS 1.2を強制できるのは、Deep Security Agentすべてが、TLS 1.2がサポートされているバージョンである10.0以降にアップグレードされている場合のみです。

Deep Security ManagerでTLS 1.2を強制する

  1. 開始前の準備:
  2. Deep Security Managerコンピュータで、次のdsm_cコマンドを実行します。

    dsm_c -action settlsprotocol -MinimumTLSProtocol ShowValue

    TLSのバージョンが表示されます。それが、現在Deep Security Managerで許可される最小のTLSバージョンとなります。

  3. 次のdsm_cコマンドを実行します。

    dsm_c -action settlsprotocol -MinimumTLSProtocol TLSv1.2

    このコマンドによって、最小TLSバージョンが1.2に設定されます。これでDeep Security ManagerがTLS 1.2接続を許可し、TLS 1.0接続を禁止するようになりました。

    Deep Security Managerサービスが自動的に再開されます。

Deep Security RelayでTLS 1.2を強制する

  1. 開始前の準備:
  2. Relayに関連するポリシーを再送信します。
    1. Deep Security Managerで、[ Computers ]をクリックして、コンピュータのリストでリレーのいずれかを検索します。どのRelayかわからない場合は、上部にある [管理] をクリックします。左側の [アップデート] を展開し、[Relayの管理] をクリックします。メイン画面でRelayグループを展開し、該当するRelayを表示します。
    2. コンピュータのリストでRelayをダブルクリックします。
    3. メイン画面で [処理] タブをクリックします。
    4. [ポリシーの送信] をクリックしてポリシーを再送信します。
    5. 各Relayにポリシーを再送信します。

ManagerのGUIポート (4119) でのみTLS 1.2を強制する

Deep Security ManagerでTLS 1.2を強制するおよびDeep Security RelayでTLS 1.2を強制するで説明したとおり、Deep Security ManagerおよびRelayで完全な強制が不可能な場合にのみ、このセクションを読んでください。

このセクションでは、ポート4119の最小TLSバージョンをTLS 1.2に設定する方法について説明します。ポート4119に接続するアプリケーションは、通常、WebブラウザとDeep Security APIクライアントです。TLS 1.2をサポートしていない古いDeep Securityコンポーネントは引き続き、TLS 1.0を使用してManagerに接続できます (初期設定ではポート4120を使用)。

  1. Deep Security Managerで次のdsm_cコマンドを実行してTLS 1.0を有効にします。

    dsm_c -action settlsprotocol -MinimumTLSProtocol TLSv1

    Deep Security Managerが、古いAgentやアプリケーションからのTLS 1.0接続を許可するようになりました。

  2. ManagerのGUIポート (4119) で初期のTLSを無効にします (すでに無効になっている可能性があります)。
    1. Deep Security Managerのインストールディレクトリのルートにある configuration.properties ファイルを開きます。
    2. serviceName=の下にあるprotocols=設定を探します。

      この設定では、WebブラウザおよびDeep Security APIクライアントのサーバとして動作している場合に、 Deep Security Managerに接続するために使用できるプロトコルを定義します。

    3. protocols=設定がある場合は、ポート4119でTLS 1.2のみが許可されるように、この設定を削除します。
    4. ファイルを保存します。
  3. Deep Security Managerサービスを再起動します。

TLS 1.2の強制をテストする

  1. 初期TLS 1.2を強制したDeep Securityコンポーネントで、次のnmapコマンドを実行します。
  2. nmap --script ssl-enum-ciphers <ds_host> -p <ds_port> -Pn

    指定する項目は次のとおりです。

    • <ds_host>は、ManagerまたはRelayのIPアドレスまたはホスト名に置き換えます。
    • <ds_port>は、TLSが使用されている待機ポートに置き換えます。Managerの場合は4119、Relayの場合は4122、Agentの場合は4118です (Managerからの有効化を使用した場合)。

    この応答ではTLS 1.2のみが表示されます。応答の例は次のとおりです。

    PORT STATE SERVICE

    443/tcp open https

    | ssl-enum-ciphers:

    | | TLSv1.2:

    | ciphers:

    | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A

    | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A

    | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A

    | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A

    | TLS_RSA_WITH_AES_256_GCM_SHA384 (rsa 2048) - A

    | TLS_RSA_WITH_AES_128_GCM_SHA256 (rsa 2048) - A

    | TLS_RSA_WITH_AES_256_CBC_SHA256 (rsa 2048) - A

    | TLS_RSA_WITH_AES_128_CBC_SHA256 (rsa 2048) - A

    | TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A

    | TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A

    | TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C

    | compressors:

初期のTLS (1.0) を有効にする

初期設定では、初期のTLS (1.0) が無効になっています。Deep Security Manager 11.1以上をアップグレードではなく新規インストールした場合で、かつ以下に該当する場合は、自分で有効にする必要があります。

  • 10.0より前のAgentを使用している。この場合、サポートされるのは初期のTLSだけです。お使いのOSで10.0以上のAgentが利用できるかどうかについては、こちらを参照してください。
  • 古いサードパーティコンポーネントを使用していて、Deep Security Managerとの通信に初期のTLSを使用する必要がある。
  • 現在サポート対象外となっている、10.0より前のバージョンのDeep Security Virtual Applianceを使用している。

初期のTLS (1.0) を有効にするには、以下の手順に従います。

Deep Security ManagerとDeep Security RelayでTLS 1.0を有効にする

  1. Deep Security Managerコンピュータで、次のdsm_cコマンドを実行します。

    dsm_c -action settlsprotocol -MinimumTLSProtocol ShowValue

    TLSのバージョンが表示されます。それが、現在Deep Security Managerで許可される最小のTLSバージョンとなります。

  2. 次のdsm_cコマンドを実行します。

    dsm_c -action settlsprotocol -MinimumTLSProtocol TLSv1

    このコマンドによって、最小TLSバージョンが1.0に設定されます。

    Deep Security ManagerでTLS 1.0が再び有効になりました。

    Deep Security Managerサービスが自動的に再開されます。

  3. Relayに関連するポリシーを再送信します。
    1. Deep Security Managerで、[ Computers ]をクリックして、コンピュータのリストでリレーのいずれかを検索します。どのRelayかわからない場合は、上部にある [管理] をクリックします。左側の [アップデート] を展開し、[Relayの管理] をクリックします。メイン画面でRelayグループを展開し、該当するRelayを表示します。
    2. コンピュータのリストでRelayをダブルクリックします。
    3. メイン画面で [処理] タブをクリックします。
    4. [ポリシーの送信] をクリックしてポリシーを再送信します。
    5. 各Relayにポリシーを再送信します。

    RelayでTLS 1.0が再び有効になりました。

ManagerのGUIポートでTLS 1.0を有効にする (4119)

以前ManagerのGUIポート (4119) でのみTLS 1.2を強制しており、今後はそのポートで初期のTLS 1.0を再び有効にしたい場合は、このセクションをお読みください。

  1. Deep Security ManagerとDeep Security RelayでTLS 1.0を有効にする」の手順に従ってください。これにより、GUIポート (4119) でTLS 1.0が再び有効になります。

インストールスクリプトでTLS 1.0を有効にする

Deep Security AgentとDeep Security Relayは、インストールスクリプトを使用してインストールできます。これらのスクリプトに次のように変更を加える必要があります。

  1. インストール先がWindows XP、2003、2008のいずれかである場合は、インストールスクリプトから次の行を削除します。

    #requires -version 4.0

    [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12;

    TLS 1.2ではPowerShell 4.0が必要ですが、Windows XP、2003、2008ではPowerShell 4.0がサポートされません。

  2. インストール先がRed Hat Enterprise Linux 6である場合は、インストールスクリプトから次のタグを削除します。

    --tls1.2

    Red Hat Enterprise Linux 6の初期設定では、TLS 1.2をサポートしないcurl 7.19が使用されます。

  3. それ以外のサポート対象のOSがインストール先である場合は、インストールスクリプトをそのままにしてください。

TLS 1.2が強制されているかどうかを確認する

Deep Security ManagerでTLS 1.2が強制されているかどうかわからない場合は、以下の手順に従って確認してください。

  1. Deep Security Managerコンピュータでコマンドプロンプトを開き、次のdsm_cコマンドを実行します。

    dsm_c -action settlsprotocol -MinimumTLSProtocol ShowValue

    Managerで許可される最小バージョンのTLSプロトコルが表示されます。TLS 1.2と表示された場合は、TLS 1.2が強制されています。TLS 1.0と表示された場合、初期のTLSは許可されていますが、TLS 1.2は強制されていません。

RelayでTLS 1.2が強制されているかどうかを確認するのは、もっと難しくなります。「Deep Security RelayでTLS 1.2を強制する」または「Deep Security ManagerとDeep Security RelayでTLS 1.0を有効にする」に従い、お使いのTLS設定をポリシーを通じてRelayに強制した場合、それらのTLS設定がRelayに適用されます。ポリシーを通じてTLS設定を強制しなかった場合は、Relayの初期設定のTLS設定が適用されます。Relayの初期設定は、そのバージョンによって異なります。11.1以上のRelayを使用している場合は、初期設定でTLS 1.2が強制されます。11.1より前のRelayの初期設定では、TLS 1.2が強制されません。

TLS 1.2の強制後のAgent、Relayのインストールに関するガイドライン

このセクションでは、TLS 1.2を強制した後でAgentおよびRelayをインストールする場合の特別な注意事項について説明します。初期のTLS (1.0) を有効にした場合、特に注意事項はないため、このセクションを読む必要はありません。

このセクションのトピック:

TLS 1.2が強制されているときのAgentおよびRelayのインストールに関するガイドライン

  • 10.0以上のAgentおよびRelayをインストールする必要があります。TLS 1.2をサポートしているのは、10.0以上のAgentとRelayのみです。
  • 9.6以前のAgentまたはRelayをインストールする必要がある場合は、初期のTLS (1.0) を有効にする必要があります。

TLS 1.2の強制後にインストールスクリプトを使用する場合のガイドライン

TLS 1.2が強制されている場合、インストールスクリプトを使用して、10.0以上のAgentとRelayをインストールできます。ここでは、インストールスクリプトを確実に機能させるためのガイドラインを示します。

  1. WindowsコンピュータにAgentまたはRelayをインストールする場合は、TLS 1.2をサポートしているPowerShell 4.0以降を使用します。
  2. LinuxにAgentまたはRelayをインストールする場合は、TLS 1.2をサポートしているcurl 7.34.0以降を使用します。
  3. インストール先がWindows XP、2003、2008のいずれかである場合

    または

    インストール先がRed Hat Enterprise Linux 6である場合

    これらのOSはTLS 1.2をサポートしていないため、初期のTLS (1.0) を有効にするにしたうえで、インストールスクリプトに変更を加える必要があります。