本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。

本ヘルプセンターの一部の記事には外部リンクが含まれています。リンク切れなどお気づきの点がございましたら、トレンドマイクロサポート窓口までご連絡ください。

Relayによるセキュリティとソフトウェアのアップデートの配布

Deep Security環境の最大限の保護を実現するには、次の2つのコンポーネントを定期的にアップデートする必要があります。ソフトウェアアップデートDeep Security Agentに新機能と機能強化を追加し、セキュリティアップデートは脅威に対する迅速な保護を提供します。

Deep Security Relayはこれらのアップデートの配布を最適化するために役立ちます。Relayは、他のAgentにソフトウェアアップデートとセキュリティアップデートを配布できるAgentです。Relayには次の機能があります。

  • アップデートトラフィックを形成することにより、WAN帯域幅のコストを削減します。
  • アップデート配布のための冗長性を提供します。

RelayはDeep Security環境に必須の要素です。環境内には、Relayが1つ以上存在している必要があります。

まずRelayの仕組みについて学び、次に使用するRelayの数を決定する方法について学び、最後に1つ以上のRelayを設定する方法について学びます。

必要に応じて、AgentからRelay機能を削除することもできます。

Relayの仕組み

Relayは、WAN接続を介して直接トレンドマイクロのアップデートサーバからセキュリティアップデートをダウンロードし、Deep Security Managerからソフトウェアアップデートをダウンロードします。Relayを使用する場合、セキュリティアップデートとソフトウェアアップデートは、WAN接続を介して一度だけダウンロードする必要があります。その後、Relayはアップデート配布センターとして機能し、Deep Security Managerによって指示されたときに、他のAgentによってセキュリティアップデートとソフトウェアアップデートがダウンロードされます。

Deep Security Managerに接続してアップデートをダウンロードできない場合、RelayはDeep Securityダウンロードセンターから直接アップデートをダウンロードします。

セキュリティアップデートと、Relayによるセキュリティアップデートの配布方法の詳細については、セキュリティアップデートの取得と配布を参照してください。

RelayはRelayグループにまとめられます。Relayをグループにまとめることで、アップデートの負荷が複数のRelayに分散され、Deep Security環境に冗長性が追加されます。

Relayグループは、配布階層の一部にすることもできます。Relayグループの配布階層を作成することで、以下の項目を指定してパフォーマンスと帯域幅の使用をさらに改善できます。

  • AgentがセキュリティアップデートとソフトウェアアップデートをダウンロードするRelayグループ
  • Relayグループがセキュリティアップデートとソフトウェアアップデートを互いにダウンロードする順序

使用するRelayの数を決定する

RelayはDeep Security as a Serviceの一部としてあらかじめ提供されています。Trend Microでは追加のRelayは作成しないことを強くお勧めします。ただし、次の項目に応じて追加のRelayを使用する必要がある場合もあります。

Agentの地域

Agentは、同じ地域のRelayグループからアップデートをダウンロードすることをお勧めします。複数の地域にAgentがある場合、各地域には少なくとも1つのRelayがある独自のRelayグループが必要です。

ネットワーク設定

ネットワーク設定では、AgentのネットワークセグメントとリモートDeep Security Managerまたはトレンドマイクロのアップデートサーバの間に、帯域幅の低いWAN接続、ルータ、ファイアウォール、またはプロキシが含まれる場合があります。これらの設定が原因で、ソフトウェアアップデートとセキュリティアップデートの配布が遅くなるボトルネックが発生する可能性があります。これらの設定の影響を軽減するには、各ネットワークセグメント内にRelayを配置する必要があります。

ネットワーク帯域幅の使用

Agentへのセキュリティアップデートとソフトウェアアップデートのダウンロードにより、ネットワークが集中的に使用される可能性があります。Relayを使用することで、どのようにネットワーク帯域幅を使用してアップデートを配布するかを決定できます。Relayをネットワークセグメント内に配置することで、Relayがそのセグメントのセキュリティアップデートとソフトウェアアップデートの単一のダウンロード元になります。その後、AgentはローカルRelayからアップデートするため、WAN接続からローカル内部接続にアップデートをダウンロードするために必要となる全体の帯域幅が削減されます。

プロキシ接続によるアプリケーションコントロール共有ルールセットの使用

環境内でアプリケーションコントロールルールセットを使用していて、Agentがプロキシ経由で接続する場合、追加のRelayを配置すると、新しいまたはアップデートされたアプリケーションコントロールルールセットをAgentに配布するために役立ちます。詳細については、「Relayを介したアプリケーションコントロールルールセットのインストール」を参照してください。

サイジングの推奨設定

より多くのRelayを有効にする前に、Relayとして有効にするコンピュータがDeep Security AgentおよびRelayのサイジング要件を満たしていることを確認してください。また、ご利用のエージェントでRelay機能がサポートされていることも確認してください (各プラットフォームでサポートされている機能を参照してください)。

ネットワーク上に不要なRelayを配置すると実際にはパフォーマンスが低下するため、必要な数のRelayのみを使用する必要があります。Relayには通常のAgentよりも多くのシステムリソースが必要です。

1つ以上のRelayを設定する

Deep Security as a ServiceのRelayは、「プライマリテナントのRelayグループ」と呼ばれるRelayグループに含まれています。「プライマリテナントのRelayグループ」を使用するには、コンピュータがDeep Security as a Service上の待機ポート番号に接続できることを確認します。

Relayを設定するには、次の手順を実行する必要があります。

  1. 1つ以上のRelayグループを作成する
  2. 1つ以上のRelayを有効にする
  3. AgentをRelayグループに割り当てる
  4. セキュリティアップデートとソフトウェアアップデートのためのRelay設定を指定する

1つ以上のRelayグループを作成する

すべてのRelayは、Relayグループに属する必要があります。Deep Security Managerのインストール中にDeep Security Relayをインストールした場合は、初期設定のRelayグループが自動的に作成されています。追加のRelayグループを作成することもできます。

各Agentは、割り当てられたグループ内のRelayがランダムに並べられたリストから、アップデートのダウンロードを試みます。特定のRelayからの応答がない場合、Agentはアップデートを正常にダウンロードできるまでリストから別のRelayを試します。このリストはAgentごとにランダムなため、アップデートの負荷はグループ内のRelayで均等に共有されます。

  1. [管理]→[アップデート]→[Relayの管理] に進みます。
  2. [Relayの管理] ウィンドウで、[新規Relayグループ...] をクリックします。表示された [Relayグループのプロパティ] 画面で、Relayグループの設定を指定します。
    • Relayグループの [名前] を入力します。
    • [アップデート元] を選択します。このアップデート元により、Relayグループがセキュリティアップデートをどこからダウンロードして配布するかが決まります。アップデート元には、次のいずれかを使用できます。
      • セキュリティアップデート元
        初期設定では、セキュリティアップデート元はトレンドマイクロのアップデートサーバですが、代わりにローカルミラーに設定できます。初期設定のRelayグループは、常にセキュリティアップデート元を使用します。詳細については、セキュリティアップデート元および設定を指定するを参照してください。
      • 親Relayグループ
        すでに他のRelayグループを作成している場合は、そのいずれかをアップデート元として使用するようにRelayグループを設定できます。

      Relayグループのアップデートダウンロード元を選択する際には、コストと速度の要件に最も適したダウンロード元を選択する必要があります。Relayグループが配布階層の一部である場合でも、セキュリティアップデート元からアップデートをダウンロードする方が安価または高速である場合は、必ずしも親グループのRelayからアップデートをダウンロードする必要はありません。

      非常に大規模な環境でのパフォーマンスを向上させるには、複数のRelayグループを作成し、階層内にRelayを配置します。1つ以上の第1レベルのRelayグループがトレンドマイクロのアップデートサーバからアップデートを直接ダウンロードしてから、第2レベルのRelayグループが第1レベルのグループからアップデートをダウンロードします。以降のレベルも同様です。ただし、各グループレベルで待ち時間が追加されるため、Relayグループのレベルが多すぎると、Relayによる帯域幅の最適化よりも合計待ち時間の影響が大きくなり、パフォーマンスが低下する可能性があります。
    • セキュリティアップデート元にアクセスするためにRelayが使用する必要がある、[アップデート元のプロキシ] (ある場合) を選択します。

      Deep Security as a Serviceの初期設定では、プライマリテナントのRelayグループのRelayが使用されます。プライマリテナントのRelayグループが初期設定のRelayグループとして機能し、初期設定のRelayグループはプライマリテナントのDeep Security Managerのアップデート元を使用するため、Deep Security as a Serviceのアップデート元のプロキシを設定することはできません。

      初期設定のRelayグループを除くすべてのRelayグループを、プロキシサーバ経由でセキュリティアップデートをダウンロードするように設定できます。初期設定のRelayグループは、Deep Security Managerと同じプロキシを使用します。プロキシの背後に配置されたAgentの接続および不正プログラム対策およびルールアップデート用にプロキシを設定する (CLI) を参照してください。

      Relayグループがセキュリティアップデート元を使用するように設定されている場合、Relayはこのプロキシを使用します。または、このRelayグループが別のRelayグループからセキュリティアップデートをダウンロードするように設定されている場合、Relayは親Relayグループに接続できない場合を除いてプロキシを使用しないため、セキュリティアップデート元への接続を試みます。

      Deep Security Agentバージョン10.0以前では、プロキシ経由でのRelayへの接続はサポートされていません。プロキシが原因でアプリケーションコントロールルールセットのダウンロードが失敗し、AgentがRelayまたはManager (Deep Security as a Serviceを含む) にアクセスするためにプロキシを必要とする場合は、次のいずれかの手順を実行する必要があります。
  3. Relayグループをさらに作成する必要がある場合は、上記の手順を繰り返します。

1つ以上のRelayを有効にする

  1. [管理]→[アップデート]→[Relayの管理] に進みます。
  2. Relayグループをクリックして選択します。
  3. [Relayの追加...] をクリックします。

  4. [使用可能なAgent] リストからコンピュータを選択し、[Relayを有効にしてグループに追加] をクリックします。検索フィールドを使用してコンピュータのリストをフィルタできます。

    コンピュータがRelayグループに追加され、Relayアイコン () が表示されます。

  5. コンピュータでWindowsファイアウォールまたはiptablesが有効になっている場合は、Relayの待機ポート番号への受信接続を許可するファイアウォールルールも追加します。
  6. Relayをプロキシ経由で接続する必要がある場合は、プロキシを経由してAgent、Appliance、Relayをセキュリティアップデートに接続するを参照してください。

    新たに有効化されたRelayには、セキュリティアップデートの内容を更新するように求める通知がManagerから自動的に送信されます。

AgentをRelayグループに割り当てる

Relayグループには手動でAgentを割り当てることや、イベントベースタスクを設定して自動的にAgentを割り当てることができます。

  1. Deep SecurityManagerで、[コンピュータ] に進みます。
  2. コンピュータを右クリックして、[処理]→[Relayグループの割り当て] の順に選択します。

    複数のコンピュータを割り当てるには、リスト内のコンピュータをShiftキーまたはCtrlキーを押しながらクリックし、[処理]→[Relayグループの割り当て] の順に選択します。

  3. 使用するRelayグループをリストから選択するか、[コンピュータの詳細] 画面の [アップデートのダウンロード元] を使用してRelayグループを選択します。

セキュリティアップデートとソフトウェアアップデートのためのRelay設定を指定する

Deep Security Managerは、[管理]→[システム設定]→[アップデート] 画面で、セキュリティアップデートを実行するためにRelayが使用される方法に影響を与える追加の設定を提供しています。

セキュリティアップデート

  • 8.0および9.0のAgentのアップデートを許可:Windows 2000、AIX、またはSolarisのAgentのサポートが必要な場合は、このオプションを選択します。Deep Security Agent 9.0以前のアップデートはこのバージョンのDeep Security Managerではサポートされていないため、初期設定では、Deep Security Managerはこれらのアップデートをダウンロードしません。
  • すべての地域のパターンファイルをダウンロード: マルチテナントモードで稼働していて、いずれかのテナントが他のリージョンにある場合は、このオプションを選択します。このオプションの選択を解除すると、RelayはDeep Security Managerがインストールされたリージョン (ロケール) のパターンファイルのみをダウンロードして配布します。
  • プライマリテナントのRelayグループを初期設定のRelayグループとして使用:プライマリテナントのRelayグループを使用します。初期設定では、他のテナントは、プライマリテナントのRelayにアクセスできます。この場合、テナントに独自のRelayを設定する必要はありません。他のテナントがプライマリテナントのRelayを共有しないようにするには、このオプションの選択を解除し、他のテナント用の別のRelayを作成します。
    このオプションの選択が解除されている場合、[管理]→[アップデート]→[Relayグループ] の順にクリックすると、Relayグループ名は「プライマリテナントのRelayグループ」ではなく「初期設定のRelayグループ」になります。
    この設定は、マルチテナントモードを有効にしている場合のみ表示されます。

その他のセキュリティアップデートの設定の詳細については、セキュリティアップデートの取得と配布を参照してください。

AgentからRelay機能を削除する

次の場合に、Relay有効化済みAgentからRelay機能を削除できます。

  • 環境内にRelay有効化済みAgentが多すぎるため、通信速度が遅くなった場合。
  • AgentがインストールされているコンピュータがRelay機能のための最小システム要件を満たしていない場合。

Deep Securityは、Deep Security Virtual Applianceで保護された仮想マシンをvMotionにより移行する際に、Relayを使用してデータを保存します。環境内でvMotionを使用して仮想マシンを移行している場合、特定のAgentからRelay機能を削除すると、移行対象の仮想マシンに対する保護が失われ、Virtual Applianceのセキュリティイベントも失われる可能性があります。

  1. [管理]→[アップデート]→[Relayの管理] に進みます。
  2. Relay機能を削除するコンピュータがあるRelayグループの横の矢印をクリックします。
  3. コンピュータをクリックし、[Relayの削除] をクリックします。

    Agentのステータスが「無効化しています」に変わり、Relay機能がAgentから削除されます。

    Relay機能がAgentから削除されるまでに、最大で15分かかる場合があります。Agentがこれよりも大幅に長く「無効化しています」状態になっている場合は、Agentを無効化してから再有効化し、AgentからのRelay機能の削除を完了します。