Managed Host-based Security Package¶
概要¶
概要¶
Managed Host-based Security Package は、Smart Data Platform/Enterprise Cloud for ERP、Flexible InterConnectに接続されるホスト上(オンプレミス環境、AWSなどで稼働するホスト含む)で利用することができる 統合的なセキュリティ機能 を提供します。
ホスト上のオペレーションシステム(OS)にAgentをインストールしていただき、インターネット上の管理サーバーと接続することで利用することができます。
(以下、Managed Host-based Security Package を本メニューと記載します。)
特徴¶
本メニューは、以下の特長を持つメニューです。
1. ホスト上のセキュリティ対策に必要なセキュリティ機能をオールインワンで提供
ホストのセキュリティ対策に必要な機能をオールインワンで提供します。お客さまは資産を所有することなく、初期投資や最低利用期間なしで必要な時に利用することができます。
● 不正プログラム対策 (ウイルス感染からの防御)
● 侵入防御 (脆弱性を利用した攻撃の検知/防御)
● ホストベースファイアウォール (通信の制御)
● Webレピュテーション (不正なWebサイトへの通信をブロック)
● 変更監視 (ファイルやレジストリなどの変更を監視)
● セキュリティログ監視 (重要なセキュリティイベントの可視化)
● アプリケーションコントロール (アプリケーションの監視)
2. セルフオペレーションによる即時設定変更
お客さまにて Smart Data Platform ポータルの セキュリティコントロールパネル を操作いただくことで、設定変更をオンラインで行うことが可能です。
3. 管理サーバー設備は弊社マネージドサービスによる安心・安全運用
グローバルレベルのセキュリティ運用体制を持つセキュリティオペレーションセンター(SOC)が、本メニューで提供する管理サーバーの運用監視を行います。
利用できる機能¶
機能一覧¶
本メニューは、以下の機能を提供します。
| 機能 | 概要 | 説明 |
|---|---|---|
| 1. 不正プログラム対策 | 不正プログラムの検出 | トレンドマイクロ社提供の不正プログラム対策用パターンファイルや検索エンジンを利用して、マルウエアを利用した悪意のある人物からの攻撃を検出します。 |
| パターンファイル更新 | お客さまが設定された日時を開始時間として、未更新の不正プログラム対策用のパターンファイルを更新致します。(更新時刻は、アップデート開始タスク発行時刻であり、開始される時刻は、Agent(Deep Security Agent)側の処理状況によって異なります。) | |
| スケジュールスキャン | お客さまが設定された日時を開始時間として、不正プログラムのスキャンを実施致します。(開始時刻は、スキャン開始タスク発行時刻であり、開始される時刻は、Agent側の処理状況によって異なります。) | |
| 2. 侵入防御 | ホストベースのパケット監査 | OSやミドルウェア・アプリケーションなどのネットワークを利用した脆弱性に対する既知、および不明な攻撃からシステムを保護します。侵入検知/侵入防御機能(IDS/IPS機能)により、不審な通信を制御します。 |
| スケジュールスキャン | お客さまが設定された日時を開始時間として、サーバーに導入しているアプリケーションの状態確認を行うスキャンを実施します。適用ルールの可否判定を行い、必要に応じて、ルール適用を自動的に実施します。また、お客さまにて確認して頂き、ルールの必要性が簡単に確認出来ます。(スキャン時刻は、スキャン開始タスク発行時刻であり、開始される時刻は、AGENT側の処理状況によって異なります。) | |
| ルール更新 | トレンドマイクロ社提供のルールアップデートを利用して、マルウエアや悪意のある人物からの攻撃パケットを検出するルールを提供致します。基本スケジュールとして月2回の更新が行われますが、状況に合わせて更新がトレンドマイクロより行われます。ルールの更新は、自動更新が基本ですが、設定によっては手動更新が可能です。 | |
| 3. ホストベースファイアウォール | ホストベースの通信制御 | L4レベルまでの通信制御機能(IP,ポート単位での通信制御)を利用してシステムを保護します。 |
| 4. Webレピュテーション | マルウエアのダウンロード制御 | Webアクセスを行う際に、トレンドマイクロ社で収集された情報を基に、アクセス先を評価します。評価結果によっては、アクセスをブロックします。これにより、不正プログラムの侵入やマルウエアのバージョンアップなどの脅威を防ぐ事が可能です。 |
| 5. 変更監視 | 変更監視 | 指定されたファイルやレジストリなどを監視し、変更があった場合にアラートを発令させます。ルールに基づかない不正な変更の監視に利用することができ、改ざん検知などにも応用することができます。 |
| スケジュールスキャン | お客さまが設定された日時を開始時間として、監視対象となるレジストリやファイルの状態確認を行うスキャンを実施します。このスキャン後がベースラインとなり、この状態から変更されたファイルやレジストリがアラート対象となります。(スキャン時刻は、スキャン開始タスク発行時刻であり、開始される時刻は、Agent側の処理状況によって異なります。) | |
| 6. セキュリティログ監視 | ログ監視 | 各種ログの監視を行い、予め決められた閾値を超えたイベントが確認された場合、アラートを発令させます。例えば、Windowsイベントログに短い間に複数のログイン失敗のイベントが上がった場合にアラートを上げるなどの対応が可能です。 |
| 7. アプリケーションコントロール | アプリケーションの監視 | インストールされているソフトウェアのインベントリが検索され、初期ベースラインが作成されます。そのベースラインからの変更を検知し、設定(検知・防御)に沿って、変更されるアプリケーションの制御を行います。 |
| 8. コントロールパネル | Smart Data Platform ポータルの セキュリティコントロールパネル から申し込みや各機能の設定を行う機能です。 |
注釈
- Managed Host-based Security Packageをご利用のお客様は、Operation画面でデバイスコントロールが表示されますが、サポート範囲外です。
各機能の説明¶
本メニューで提供する機能について説明します。
1. 不正プログラム対策¶
ホストがマルウエア感染することを防止します。
マルウエアがホストに侵入しようとした際に検出するリアルタイム検索や、お客さまの指定された日時で設定したタスクにより検索を行うスケジュール検索により、ホストをマルウエア感染から保護します。
不正プログラム対策 機能では、主に以下の機能を提供します。
| 項目 | 説明 |
|---|---|
| 機能設定 | 機能のオン(有効)、オフ(無効)の選択が可能です。 |
| 検索の種類 | 検索のタイミングは、以下の種類があります。
● リアルタイム検索
ファイルに対して操作が行われるたびに検索します。
● 手動検索
任意のタイミングで検索することが可能です。
● 予約検索
指定された日時に自動的に検索が実行されます。
|
| 検索設定 | 検索を行うディレクトリ、ファイルを指定します。 |
| 検索除外設定 | 検索を除外するディレクトリ、ファイル、およびファイル拡張子の指定が可能です。 |
| 処理 | 不正プログラムが検出された場合の処理を選択します。
● トレンドマイクロ推奨
実行する処理を自動的に決定します。
● カスタム処理
実行する処理を任意に指定します。
実行する処理の種類は、以下の通りです。
● 放置
感染ファイルには何も行わず、ログに記録します。
● 駆除
感染ファイルから感染部分だけを除去します。
● 削除
感染ファイルごと削除します。
● アクセス拒否(リアルタイム検索のみ)
感染ファイルを操作しようとすると、すぐにその処理をブロックします。
● 隔離
ホスト上の隔離ディレクトリにファイルを移動します。
|
| スマートスキャン | ローカル上の最小限のパターンファイルと、インターネット上にあるトレンドマイクロ社サーバーの完全なパターンファイルを利用して、危険の有無を判定します。 |
| 検索の制限 | 検索するファイルの最大サイズを指定することが可能です。(このサイズを超えるファイルは検索されません。) |
注釈
- トレンドマイクロの推奨処理は、個々の不正プログラムの検出を適切に処理するように、アクションは継続的に調整されます。トレンドマイクロの推奨処理検索はウイルスパターンのアップデートと同時にアップデートされます。
- 手動検索または予約検索で「アクセス拒否」オプションが選択された不正プロクラム検索設定が使用されている場合、「放置」処理が適用されます。
- スマートスキャンがオンの場合、ローカル上のサイズが小さなパターンファイルで検査し、「危険の可能性あり」とみなされたファイルは、インターネット上のトレンドマイクロ社サーバーにアクセスして、サーバー上の完全なパターンファイルと照合して、危険の有無を判定します。この方法では、ローカルのパターンファイルのサイズが小さく抑えられ、Agentで必要なアップデートのサイズおよび数も削減されます。
- 検索の制限の値に0を設定すると、最大サイズがないことを意味し、すべてのファイルが検索されます。
- 不正プログラム対策の手動検索では、AgentによるNotifierからの手動検索実行が表示されますが、サポート範囲外です。
2. 侵入防御¶
仮想パッチ(脆弱性ルール)によって、悪意のある人物による脆弱性を突いた攻撃からサーバーを保護します。
Windows、Linux、Solaris など主要なサーバーOS や、Apache、BIND、Microsoft SQL Server、Oracle など 100 以上のアプリケーションの脆弱性に対応しています。
Microsoft 社が、毎月第 2 火曜日(UTC)にリリースする Windows アップデートに対しては、トレンドマイクロ社より該当 Windows アップデートに対応したルールが直接配信されます。
このルールを適用することで、Windows 系 OS に対する最新の脆弱性を保護することが可能です。
全てのルールは、防御モード(パケットを破棄するモード)と、検出モード(イベントのみをログに記録しトラフィックは通過させるモード)を選択することが可能です。
侵入防御 機能では、主に以下の機能を提供します。
| 項目 | 説明 |
|---|---|
| 機能設定 | 機能のオン(有効)、オフ(無効)の選択が可能です。 |
| 動作設定 (インライン) | 攻撃パケットを検出した場合の動作は、以下の選択が可能です。
● 防御:攻撃パケットを遮断します。IPS モードとして動作します。基本的には検知した全通信を遮断しますが、一部ルールによっては検知のみの動作を行うルールもあります。
● 検知:攻撃パケットを検知します。ただし、一部遮断する通信があります。
|
| 動作設定(TAP) | 攻撃パケットを検知します。IDS モードとして動作するため、通信の遮断を行いません。また、TAP を選択した場合には、ホストベースファイアウォール機能を利用することができません。 |
| ルール設定 | 現在割り当てられている侵入防御ルールの表示、ルールの割り当て/解除、ルールの作成/削除が可能です。 |
| 推奨設定 | 推奨される侵入防御ルールを検索することが可能です。自動適用を設定した場合、推奨ルールが自動的に割り当てられ、不要なルールは自動的に外されます。 |
注釈
- 本機能が有効な状態でも、ソフトウェア自体の潜在的な問題は残ったままとなります。また、本機能はネットワーク経由の脆弱性に対する通信を検出するため、ローカル上で完結する攻撃手段や、ネットワーク経由であっても具体的な攻撃手法等の情報が確立されていない脆弱性への対応は困難です。正式なメーカー対応パッチの適用と併用して、本機能をご利用ください。
- 動作設定において、防御を選択した場合、全てのルールが遮断されるものではなく、一部ルールによっては検知のみのものも含まれます。
- 正常パケットを止めてしまうなどの誤検知が懸念される場合は、初めは検知モードで導入し、アプリケーションの動作が確認されてから防御モードにする方法で、安全に導入することが可能です。侵入防御の基本動作として、「インライン」モードか「TAP」モードが選択できます。インラインモードを利用する場合は、ルールの検知モードとして「防御」「検知」のモードが選択できます。TAP モードの場合は、検知のみ利用可能となります。
イメージ図
3. ホストベースファイアウォール¶
IP アドレス、MAC アドレス、ポートのフィルタリングをホストごとに細かく設定できます。
ネットワークごとのポリシー作成も可能です。
TCP、UDP、 ICMP の各プロトコル、IP、ARP などの各フレームに対応します。
例えば、Windows ファイアウォールなどを使って、個別にホスト毎に行っていた設定も、管理サーバーを通じて、ホストの種類毎、設置しているセグメント毎にポリシーを儲けて一括設定、集中管理することができます。
もちろん、ホスト毎に設定をカスタマイズすることも可能です。
ホストベースファイアウォール 機能では、主に以下の機能を提供します。
| 項目 | 説明 |
|---|---|
| 機能設定 | 機能のオン(有効)、オフ(無効)の選択が可能です。 |
| ステートフル設定 | ステートフルインスペクションとして動作させることが可能です。 |
| フレーム種類 | IP / ARP / REVARP / 任意指定のフレーム番号 |
| 指定可能な通信元/通信先 | 単一IPアドレス / サブネット指定 / アドレス範囲 / 複数IPアドレス / IPアドレスリスト / 単一MACアドレス / 複数MACアドレス / MACアドレスリスト |
| 通信方向 | 送信 / 受信 |
| プロトコル | ICMP / IGMP / GGP / TCP / PUP / UDP / IDP / ND / RAW / TCP+UDP / 任意指定のプロトコル番号 |
| フィルタアクション | ● Allow :ルールと一致するトラフィックの通過を許可します。
● Bypass :ルールと一致するトラフィックの通過を許可(バイパス)します。侵入防御およびホストベースファイアウォール機能での検査を行いません。
● Deny :ルールと一致するトラフィックの通信を破棄します。
● Force Allow :他のルールで拒否されるトラフィックの通過を強制的に許可します。侵入防御の検査を行います。
|
| 優先度 | 0[最低]~4[最高] |
注釈
- ホストに有効な許可ルールがない場合、拒否ルールでブロックされていないかぎり、すべてのトラフィックが許可されます。有効な許可ルールが受信/送信に関わらず、1つでも設定された場合、許可ルールの条件を満たしていないかぎり、それぞれの方向で許可されたもの以外の通信は全て拒否されます。
- ルール設定の優先度は、ルールが適用される順序を決定します。ルール処理に「強制的に許可」、「拒否」を選択した場合、0[最低]〜4[最高]の優先度が設定できます(「許可」ルールでは0のみが設定できます。)。優先度の低いルールよりも先に優先度の高いルールが適用されます。例えば、ポート80の受信を強制的に許可する優先度2のルールが適用されるより前に、ポート80の受信を拒否する優先度3のルールが適用され、パケットを破棄します。
- バイパスもしくは強制的に許可を利用しているルールと同じ条件で、優先度が上位にある別の許可・拒否ポリシールールが存在する場合は、上位ルールで処理されるため、バイパスされません。バイパスさせる場合は、許可・拒否ルールよりも優先度を高く設定する必要があります。
- バイパスルールを適用する通信は、双方向(受信・送信)のバイパスを設定する必要があります。
- 強制的に許可ルールを適用する通信は、双方向(受信・送信)の強制的に許可を設定する必要があります。
- 1台以上のホストに割り当てられたファイアウォールルール、またはポリシーの一部であるホストファイアウォールルールは削除できません。
イメージ図
4. Webレピュテーション¶
従来型のパターンファイル機能を強化する為に、トレンドマイクロ社の脅威情報収集ネットワークによって収集したさまざまな情報と Trend Micro Smart Protection Network(SPN)を利用して、最新の脅威に対応します。
Web サイトにアクセスする通信が発生した際に、Trend Micro Smart Protection Network(SPN)の不正サイト情報を参照してアクセス制御を行います。
Web レピュテーション機能は、 Managed Host-based Security Package の利用が必須となります。
Webレピュテーション 機能では、主に以下の機能を提供します。
| 項目 | 説明 |
|---|---|
| 機能設定 | 機能のオン(有効)、オフ(無効)の選択が可能です。 |
| セキュリティレベル設定 | 既知の不正なWebアドレスまたはその疑いがあるWebアドレスは、次のリスクレベルに分類されます。
● 危険
不正、脅威の既知の発信源であると確認されたページ
● 非常に不審
不正、脅威の発信源である可能性が疑われたページ
● 不審
スパムメールに関連付けられている、または感染している可能性のあるページ
高、中、低のいずれかのセキュリティレベルを選択し、どのリスクレベルのURLをブロックするか決定します。
● 高:危険/非常に不審/不審 をブロック
● 中:危険/非常に不審 をブロック
● 低:危険 をブロック
|
| 除外設定 | 許可するURL、ブロックするURLが指定可能です。 |
注釈
- セキュリティレベルによって、URLへのアクセスを許可するかブロックするかが決定されます。例えば、セキュリティレベルを[低]に設定すると、Webの脅威であることが判明済みのURLのみをブロックします。セキュリティレベルを[中]や[高]に上げるほど、Webの脅威の検出率が向上しますが、誤判定の可能性も増加します。
- 除外設定で、[許可]リストは[ブロック]リストよりも優先されます。[許可]リスト内のエントリと一致するURLは、[ブロック]リストと照合されません。
イメージ図
5. 変更監視¶
予め指定したファイルやレジストリ、ファイル権限、ポートなどを監視し、変更があった場合に管理者に通知する機能です。
例えば、ファイルのサイズを監視することで、不正な侵入者がアクセスログを隠ぺいするためにログの一部を削除するなどの行為を行った際に、アラートが発令されます。
変更監視 機能では、主に以下の機能を提供します。
| 項目 | 説明 |
|---|---|
| 機能設定 | 機能のオン(有効)、オフ(無効)の選択が可能です。 |
| ベースライン構築 | 変更監視 の比較対象となる元の状態を記録します。 |
| 検索設定 | 適用されたルールの設定内容とベースラインの情報をもとに変更を検出します。
● リアルタイム検索
指定された変更をリアルタイムで検索します。
● 手動検索
任意のタイミングで検索することが可能です。
● 予約検索
指定された日時に自動的に検索が実行されます。
|
| ルール設定 | 現在割り当てられている 変更監視 ルールの表示、ルールの割り当て/解除、ルールの作成/削除が可能です。
変更監視 ルールの作成は、インストール済みのソフトウェア、実行中のサービス、プロセス、ファイル、ディレクトリ、待機中のポート、レジストリキー、およびレジストリ値の検索が可能です。
|
| 推奨設定 | 推奨される 変更監視 ルールを検索することが可能です。自動適用を設定した場合、推奨ルールが自動的に割り当てられ、不要なルールは自動的に外されます。 |
注釈
- 前回の検索後に、監視対象の項目に対して複数回の変更が行われた場合は、最新の変更のみが検出されます。
- 本機能をご利用になる場合、利用するホストの設定内容や監視対象となる情報の精査が必要です。適切な設定値を利用せずに監視を行った場合、ログの大量発生や危険性の高いイベントの見落としにつながり、本機能利用の有効性が低下する場合があります。設定値の検討や対象となる監視項目の検討は、ホストの環境構築や設計を行った担当者への相談をお願いします。
6. セキュリティログ監視¶
Windows のイベントログやアプリケーションのログを監視し、予めきめられた閾値を超えた場合にアラートが発令されます。
例えば、Windows イベントログに短い間に複数のログイン失敗のイベントが上がった場合などに管理者に即知らせることができます。
セキュリティログ監視 機能では、主に以下の機能を提供します。
| 項目 | 説明 |
|---|---|
| 機能設定 | 機能のオン(有効)、オフ(無効)の選択が可能です。
セキュリティログ監視は、リアルタイムで監視します。
|
| ルール設定 | 現在割り当てられている セキュリティログ監視 ルールの表示、ルールの割り当て/解除、ルールの作成/削除が可能です。
セキュリティログ監視 ルールの作成は、ファイルパスや検索条件を指定して作成することが可能です。
|
| 推奨設定 | 推奨される セキュリティログ監視 ルールを検索することが可能です。自動適用を設定した場合、推奨ルールが自動的に割り当てられ、不要なルールは自動的に外されます。 |
注釈
- 一部のセキュリティログ監視ルールは、正常に機能するため、ホスト上での設定を必要とします。このようなルールをホストに割り当てるか、ルールが自動的に割り当てられると、設定が必要であることを通知するアラートが発令されます。
- 本機能をご利用になる場合、利用するホストの設定内容や監視対象となる情報の精査が必要です。適切な設定値を利用せずに監視を行った場合、ログの大量発生や危険性の高いイベントの見落としにつながり、本機能利用の有効性が低下する場合があります。設定値の検討や対象となる監視項目の検討は、ホストの環境構築や設計を行った担当者への相談をお願いします。
イメージ図
7. アプリケーションコントロール¶
アプリケーションコントロールでは、次のような実行可能ファイルに対する変更が検出されます。
・ ユーザーによる不要なソフトウェアのインストール
・ PHP ページ、Python スクリプト、または Java アプリケーションの追加
・ 予定されていない自動アップデート
・ ゼロデイのランサムウェア
変更が検出されたら、必要に応じてコンピューターをロックダウンし、承認されていないソフトウェアをブロックできます。
アプリケーションコントロール 機能では、主に以下の機能を提供します。
| 項目 | 検知モード | 説明 |
|---|---|---|
| 施行 | 明示的に許可するまでブロック | ベースラインから変更されたアプリケーションが確認された場合、アプリケーションを許可するまでブロックします。 |
| 明示的にブロックするまで許可 | ベースラインから変更されたアプリケーションが確認された場合、そのアプリケーションは許可されます。管理者によって、個別にブロック判定をする必要があります。 | |
| メンテナンスモード | メンテナンスモード期間中に検出された変更を基本的に許可します。メンテナンスモード終了後は、施工で設定されたモードで動作します。 |
注釈
- 本機能をご利用になる場合、利用するホストのアプリケーションの実行状態を確認する必要があります。適切な設定値を利用せずに機能の有効化を行った場合、アプリケーションの動作を停止させる場合や、正常な処理を行えず、システム処理の低下につながる場合があります。設定値の検討や対象となるアプリケーションの判断は、ホストの環境構築や設計を行った担当者への相談をお願いします。
イメージ図
8. コントロールパネル¶
コントロールパネル 機能では、主に以下の操作が可能です。
詳細は、Smart Data Platform チュートリアルを参照してください。
| 項目 | 説明 |
|---|---|
| オーダー | セキュリティメニューの申し込みが可能です。 |
| オペレーション | 本メニューの設定/管理を行うことが可能です |
● オーダー/Order
オーダーから操作可能な項目は、以下の通りです。
| 項目 | 説明 |
|---|---|
| 新規 | 新規に利用を開始します。 |
| 機能変更 | 利用メニューを変更することが可能です。 |
| 数量変更 | 本メニューの数量を変更することが可能です。 |
| 解約 | 本メニューの全ての利用を終了します。 |
● オペレーション/Operation
オペレーションから操作可能な主な項目は、以下の通りです。
| 項目 | 説明 |
|---|---|
| コンピュータ | 各種セキュリティ機能の設定を実施することが可能です。 |
| ポリシー | ルールや設定をまとめて定義し、複数のコンピュータに同じ設定を割り当てることが可能です。 |
| アラート | 管理者への注意喚起が必要な事象が発生した場合にアラートが発令されます。 |
| レポート | 各種レポートを出力することが可能です。 |
| 管理 | 予約タスクの設定(例えば、セキュリティアップデートや予約検索などのスケジュール化)、パターンファイルやルールの管理などを行うことが可能です。 |
注釈
- セキュリティコントロールパネル 上で閲覧可能な本メニューに関するログの期間は、4週間です。取得ログの完全性を保証するものではありません。必要に応じて、お客さまにて定期的にログをエクスポートするなどの対応をお願いします。
- 複数のリージョン/テナントで利用される本メニューを一元管理(ホスト型セキュリティのOperation画面を1つで管理)されたい場合は、1つのリージョン/テナントで本メニューをお申し込みいただき、利用される総数量分をオーダーの上、ご利用ください。(ただし、料金情報もオーダーされたテナントにて表示されます。)
メニュー¶
申し込み方法¶
Smart Data Platform をご契約いただいたお客さまは、本メニューを申し込むことが可能です。
申し込み種別、申し込み方法、納期は、以下の通りです。
| 申込種別 | 内容 | 申込方法 | 納期 |
|---|---|---|---|
| 新規 | 初回申し込み | Smart Data Platform ポータル の セキュリティコントロールパネル 経由で、お客さま自身の操作により申し込み | 即時 |
| 機能変更 | 利用メニューの変更 | 同上 | 同上 |
| 数量変更 | 利用数量の変更 | 同上 | 同上 |
| 解約 | 利用廃止 | 同上 | 同上 |
注釈
- Smart Data Platform の1テナントに対して、ホスト型セキュリティのいずれか1つのメニューをご利用いただくことが可能です。
- Managed Anti-Virus
- Managed Virtual Patch
- Managed Host-based Security Package
- 1回のオーダー処理が完了するまで、次のオーダーを行うことはできません。
- 機能変更(メニュー変更)は、現在利用されているメニューの数量全てを、他のホスト型セキュリティのメニューへ変更するオーダーです。
- Managed Host-based Security Package → Managed Anti-Virus
- Managed Host-based Security Package → Managed Virtual Patch
- 解約される場合は、Agentと管理サーバーとの接続を切断の上、Agentのアンインストールを実施された後に、オーダーにて解約処理してください。
- 解約後 2週間以内は、同一テナント上でホスト型セキュリティのメニューを新規利用することはできません。
ご利用条件¶
デバイス要件¶
Agentシステム要件¶
本サービスを利用するためにはホストへの Agent のインストールが必要です。
Agentをインストールする際、下記システム要件を満たす必要があります。
| 項目 | 内容 |
|---|---|
| メモリー | 1GB以上
|
| ディスク容量 | 500MB以上
|
| [1] | Relay機能…トレンドマイクロ社サーバーからパターンファイルやルールなどをダウンロードし、Agentをインストールしたホストに配信する機能 |
Deep Security Notifier システム要件¶
Deep Security Notifier は、AgentのInstall時に同時にインストールされる、Windows 系 OS 向けに用意された Agent の状態をデスクトップ上に表示する Windows アプリケーションです。
これにより、簡易的な機能の有効・無効状態の確認や保持しているパターンファイルの状態、マルウエア検知時の通知を確認する事ができます。
| 項目 | 内容 |
|---|---|
| メモリー | 3MB |
| ディスク容量 | 1MB |
対象 OS(Microsoft Windows)¶
Windows 10 22H2 (32/64-bit)
Windows 11 (64bit)
Windows Server 2012 (64bit)
Windows Server 2012 R2 (64bit)
Windows Server 2012 R2 Hyper-V
Windows Server Core 2012 (64bit)
Windows Server Core 2012 R2 (64bit)
Windows Server 2016 (64bit)
Windows Server 2016 RS3 (64bit)
Windows Server 2019 Version 1809 (64bit)
Windows Server 2022 (64bit)
注釈
- エディションが指定されていない Windows 製品は、エディションに関係なくベンダーのサポート範囲で動作を保証します。
- システム要件に記載されていない Service Pack などでも、要件に記載されているものより 新しいバージョンは、ベンダーのサポート範囲で動作を保証します。詳細は こちら をご確認ください。
- Relay機能は上記OSの64bit OSで動作可能です。
- ベンダーのサポート範囲 OS であっても以下の環境はサポート範囲外となります。
- Windows Server 2008/2012 (Server Core)
- Microsoft Virtual Server 2005 R2 SP1
- ホストで利用するAgent のライフサイクルは、トレンドマイクロ社のサポート仕様に準拠します。また、Agentのライフサイクルは、OS ベンダーが定めるサポート期間に基づいてサポートされます。詳細は下記のトレンドマイクロ社のサポートページをご確認ください。
- 2023年10月以降に本サービスから提供されたWindows OS対応のAgentをご利用する場合、Windows OSの最小バージョン要件を満たす必要があります。詳細は下記のトレンドマイクロ社のサポートページをご確認ください。
対象 OS(Linux系)¶
Red Hat 6 (32/64 bit)
Red Hat 7、8、9 (64 bit)
CentOS 6、7、 8 (32/64 bit)
SUSE 15 (64bit)
Ubuntu Linux 18.04、20.04、22.04 (64bit)
Oracle Linux 6 RedHat/Unbreakable Kernel (32/64 bit)
Oracle Linux 7 RedHat/Unbreakable Kernel (64 bit)
Oracle Linux 8 (64-bit)
Oracle Linux 9 (64-bit)
CloudLinux 7 (64bit)
Cloud Linux 8 (64-bit)
Amazon Red Hat 7 EC2 (64bit)
Amazon SUSE 12 EC2 (64bit)
Amazon Ubuntu 16.04 LTS (64bit)
Rocky Linux 8、9 (64bit)
注釈
- Linux 版 Agent では、ご利用のカーネルもサポート範囲である必要があります。サポートするカーネルバージョンについては、 チュートリアル「Linux系OSのカーネル対応」 および 製品 Q&A をご参照ください。
- インストールしていただく Agent のバージョン、インストール先 OS の種類によって、ご利用いただける機能が異なります。 製品 Q&A をご参照ください。
- Amazon Web Services や Microsoft Azure などのクラウド環境上の OS への導入については、 製品 Q&A をご参照ください。
- Deep Security ではマルチバイト文字コードを UTF-8 のみサポートしております。Linux / UNIX 環境では OS のロケールを UTF-8(ja_JP.UTF-8 など)に設定する必要があります。詳細は、 製品 Q&A をご参照ください。
- Relay機能は上記OSの64bit OSで動作可能です。
- 一部の OS に関しては、ベンダーサポート範囲であっても提供できないものもあります。一部OSの詳細につきましては、Smart Data Platform チケットシステムでご相談ください。
- RHEL8、CentOS8、Ubuntu18.04のセキュアブートを有効にした状態でのDeep Security Agent動作はサポートされていません。予めセキュアブートを無効にしてください。Deep Security Agentのセキュアブートサポートについては、 製品 Q&A をご参照ください。
- CentOS8はスクリプトによるインストールは実施できません。Agentの手動インストールを実施後、有効化の実施をお願いします。
- ホストで利用するAgent のライフサイクルは、トレンドマイクロ社のサポート仕様に準拠します。また、Agentのライフサイクルは、OS ベンダーが定めるサポート期間に基づいてサポートされます。詳細は下記のトレンドマイクロ社のサポートページをご確認ください。
通信要件¶
Agent通信要件¶
本メニューのAgentの通信要件は、以下の通りです。
- ホストにインストールされたAgentは、インターネット経由で管理サーバーと接続する必要があります。同様に、一部の機能利用時にトレンドマイクロ社のサーバーと接続する必要があります。
- ファイアウォールなどの環境がある場合は、適切に設定を実施してください。
- 管理サーバーおよびトレンドマイクロ社サーバーと通信するために、名前解決が必要です。Agentをインストールするホスト上で名前解決ができるよう設定してください。
- インターネットに直接通信できないホストで本メニューを利用される場合は、Proxyサーバーなどを経由して通信するよう設計してください。また、Proxyサーバー経由で利用される環境の場合、Relay機能を有効にしたホストをお客さま環境内に準備する必要があります。(AgentをインストールしたホストでRelay機能を有効化することが可能です。)
- AgentがRelayと通信する場合、Agentがインストールされたホスト上で、Relay機能を有効にしたホストの名前解決ができるよう設定してください。
- ご利用環境の管理デバイス数が 5 台を超える環境やインターネットへの通信量を抑えたい環境においても、内部 配信サーバー(Deep Security Relay Server) を準備いただく事を推奨します。ご利用環境の管理デバイス数が20台を超える環境では内部 配信サーバー(Deep Security Relay Server) を準備いただく事が必須となります。
| 通信内容 | 宛先(通信先) | 宛先ポート番号 |
|---|---|---|
| 管理サーバーとの接続 |
|
TCP 80、443 |
Relay機能を有効にしたホストとの接続
※ お客さま環境内に準備された場合
|
|
TCP 4122 |
以下の一覧に記載される機能は、トレンドマイクロ社が公開しているサーバーにアクセスすることが必須となっております。そのため、Agent がインターネットを経由して トレンドマイクロ社公開サーバーにポート80および443でアクセスできる環境を準備ください。
・ Web レピュテーション
・ Census(挙動監視)
・ 機械学習型検索
トレンドマイクロ社サーバーとの通信
※参考
| 機能 | 宛先URL |
|---|---|
Download Center or web server
- Hosts software.
|
files.trendmicro.com |
Smart Protection Network
- Certified Safe Software Service (CSSS)
|
|
Smart Protection Network
- Global Census Service
- Used for behavior monitoring, and predictive machine learning.
|
|
Smart Protection Network
- Good File Reputation Service
- Used for behavior monitoring, predictive machine learning, and process memory scans.
|
|
Smart Protection Network
- Smart Scan Service
|
|
Smart Protection Network
- predictive machine learning
- Used for predictive machine learning.
|
|
Update Server (also called Active Update)
- Hosts security updates.
|
|
上記FQDNは今後変更の可能性があるため、下記リンクをご参照ください。
メール通信要件¶
本メニューのメール通知の通信要件は、以下の通りです。
- メール通知を行いたい場合は、セキュリティコントロールパネル からお客さま管理のSMTPサーバーを指定する必要があります。ご利用されるSMTPサーバーにて、接続制限を実施されている場合は、以下のアドレス帯からの接続を許可してください。
- 管理サーバーアドレス帯:210.161.150.240~248
- お客さまのSMTPサーバーの待ち受けポート番号は、以下の指定が可能です。
- tcp 25または587
料金¶
月額費用¶
本メニューは、利用時間にかかわらず、月額定額料金です。
月の途中でメニュー変更または数量変更された場合は、その料金月に利用したメニューおよび数量に基づく月額料金を比較して、最も高い料金を月額料金として適用します。
サービス提供の品質¶
サポート範囲¶
管理サーバー¶
本メニューの管理サーバーにて提供する機能および設備は、サポート範囲内となります。
Agent¶
ホスト上にインストールされたAgentの動作や仕様に関して、利用許諾内容の範囲内でサポートを行います。
(利用許諾内容は、Agentのインストール時に表示されます。)
注釈
- 以下の項目については、サポート範囲外となります。
- 設定値や運用方法などコンサルティングが必要な問い合わせ。
- OS や仮想化環境、ネットワークなど Agent 以外の部分に関する問題。
- 監視や設定変更作業。
- マルウエア感染、悪意のある人物からの攻撃などの結果発生したホストでのインシデントに対する調査や対応。
- コンテナ技術を利用する仮想環境(Dockerなど)。Docker 環境でご利用になった場合、なんらかの理由によりお客さまシステムが停止する可能性があります。
注釈
- OS の仕様や設定、環境依存に起因する問題の場合には、不具合に対する解決策や回避策を提示できない場合があります。
運用¶
本メニューは、Smart Data Platform に標準で定められた運用品質に準じます。
注釈
- 本メニューに関するサービスのメンテナンスは全リージョン同時に実施されます。
管理サーバー¶
本メニューは、管理サーバーにおける以下の運用を実施します。
| 項目 | 説明 |
|---|---|
| セキュリティパッチ適用 | 影響度に応じてセキュリティパッチを適用 |
| プロダクトライフサイクル管理 | バージョンアップ作業の実施 |
| 監視・保守 | 稼働監視および故障対応の実施 |
デバイス管理(ホスト)¶
ホストの管理には、Agentを導入する必要があります。Agent の導入は、お客さま作業となります。また、お客さま自身で 管理コンソール から該当 Agent に関する各種設定を実施することで、Agentのセキュリティ機能が有効となり脅威からの保護が開始されます。Agent のステータスや設定管理は、お客さまにて実施して頂きます。
本サービスは、セキュリティオペレーションセンター(SOC) からホストへの監視は行われません。お客さま自身が、本サービスで提供される 管理コンソール 上でのイベント確認や、管理コンソール 上で設定できるイベント通知機能を利用した監視を実施してください。
セキュリティイベント
ホスト上で検知されたセキュリティイベントは、管理コンソール 上で確認できます。ホストに導入された Agent にて出力される各機能に関するイベントは 管理サーバーへ転送されて発生時刻や検知したイベント名、処理内容が表示されます。管理サーバーのイベント通知機能により、通知対象や通知先、対象イベントの条件を設定することで、お客さまにイベントを通知することも可能です。
システムイベント
ホスト上で検知されたシステムイベントは、管理コンソール 上で確認できます。ホストに導入された Agent が実施した各種処理結果は、管理サーバーへ転送されます。各種処理とはセキュリティアップデート結果や、各種スキャン結果、 Agent のエラーなどの情報となり、管理サーバーにて発生時刻やイベント名、処理状態を確認することができます。管理サーバーのイベント通知機能により、通知対象や通知先などの条件を設定することで、お客さまにイベントを通知することも可能です。
障害切り分け
ホストとインターネット接続可能となるネットワークまでの境界で発生する障害に関しては、お客さまにて対応を実施していただきます。各種機能の動作や他製品との競合と思われる問題に関しては、機能や製品の有効無効などを実施して頂き、お客さまで切り分けをお願いします。 トレンドマイクロ社公開の各種マニュアルやサポートページ、管理コンソール からアクセス可能となるオンラインヘルプを確認して、調査を行ってください。これらサイトを利用しても解決できない場合、問合せをお願いします。対応できる内容は、製品に関する内容のみとなります。ご利用中の OS やネットワークに関する質問など、サービスおよび製品に関する内容以外のお問合せには対応できませんので予めご了承ください。
セキュリティ更新管理
ホストのセキュリティ更新管理は、管理コンソール 上で実施できます。ホストに導入された Agent で出力されるシステム系イベントの内容とアラートの表示によりセキュリティ更新状況を確認できます。また、イベント通知機能により、通知条件や通知先などの条件を設定すれば、お客さまの必要に応じた更新管理イベントをメール自動通知することも可能です。
製品アップデート
ホストで利用する Agentのアップデートは、お客さまで実施して頂きます。また、定期的なアップデートを実施し、常に最新のバージョンをご利用ください。
Agent の最新プログラムの適用は、管理コンソール からの操作でアップデート実施可能です。また、管理コンソール からインストーラを入手して、アップデートする事も可能です。
管理サーバーグループで利用している 管理サーバー配信サーバーのアップデートは セキュリティオペレーションセンター(SOC) で実施致します。このアップデートは、セキュリティオペレーションセンター(SOC) での評価・検証を行った上でスケジュールされます。その為、お客さまで望まれているバージョンの 管理サーバー/配信サーバーが利用できるとは限りません。
注釈
- ホストで利用するAgent のライフサイクルは、トレンドマイクロ社のサポート仕様に準拠します。サポート期間を確認の上で、Agent のアップデートやホストの OS アップデートを実施してください。
セキュリティ インシデント レポート¶
ホストのセキュリティインシデントレポートは、管理コンソール 上で作成可能です。機能ごとのレポートを作成する事で、ホストの状況が確認できます。タスク機能とイベント通知機能の連携により、お客さまが設定した日時でのレポート自動作成とメールによる送信も可能です。
制約事項¶
本メニューの制約事項は、以下の通りです
共通¶
- Agentをインストールするには、対象のホストに管理者としてログインする必要があります。
- Agentをインストールするホストは、NTPなどで時刻同期を行ってください。時刻の同期がとれていない場合、Agentの有効化に失敗する場合があります。
- インストール・アンインストール時や、各種モジュールの更新を行う際に、OS の再駆動が必要になる場合があります。このような場合、再起動の必要を伝えるアラートが 管理コンソール に表示されますので、すみやかに OS 再起動の実施をお願いします。
- モジュールの入れ替えや切り替えを行う必要がある場合、一時的な通信断(瞬断)が発生する場合があります。
- Webレピュテーション、ファイアウォール、侵入防御の機能を有効化した場合は、対象ホストにネットワークドライバがインストールされるため瞬断が発生します。詳細は、製品 Q&A を参照してください。
- Agentは、4118ポートを使用します。このポート番号は変更不可のため、Agentをインストールするホストでは他のアプリケーションと重複しないことを確認の上、利用してください。
- Agentがインストールされたホストにおいて、トレンドマイクロ社以外の製品との競合テストなどを含めた動作テストは実施していません。そのため、個別のソフトウェアとの共存についての回答はできかねます。お客さまの環境において動作確認をお願いします。また、他のトレンドマイクロ社製品との共存についても、詳細な条件がございます。詳しくは、トレンドマイクロ製品・他社製品と共存した場合の動作について を参照してください。
- AgentがProxyサーバー経由で管理サーバーと接続する場合、ProxyサーバーにおいてHTTPのCONNECTメソッド:80ポートの利用を可能にしてください。
- 本メニューでは、以下のようなケースの場合に、当社の判断にて利用を制限もしくは停止する場合があります。
- お客さまの利用が、他のお客さまの利用に影響を及ぼす場合
- お客さまの利用が、申し込み利用数と実際の利用数が一致しない場合 など
- 本メニューが提供する各機能やログについて、完全性、正確性、お客さまへの利用目的への適合性を有していることについて保証するものではありません。また、機能を構成するソフトウェアの開発元または販売元より提供されるパターンファイルやルールなどの妥当性を保証するものではありません。
- 本メニューの機能を構成する機器の開発元または販売元に、以下の情報を提供する場合があります。
- 本メニューの提供を通じて得られた設定情報
- 本メニューの機能によって得られた情報
- 本メニューの機能とお客さま環境との相性により起こり得る不具合、またはお客さまが弊社指定以外の操作を行った場合に発生する不具合については、その回復の保証はできません。
- SELinux を有効にした環境で Agent を利用した場合、iptables のルールが初期化される可能性があります。本事象を回避する目的も含め、SELinux のポリシー作成方法などについては一切サポートすることができません。SELinux が有効な環境であっても Agent のサポートは実施しますが、SELinux が原因となる問題についてはソリューションを提供できかねる場合があることをご了承ください。 詳細は こちら をご参照ください。
不正プログラム対策 の制限事項¶
- 不正プログラム対策では、以下のファイルは検査対象外です。
- パスワードによって保護されたファイル
- サポートされていない形式で圧縮されたファイル
- 壊れたファイル
- 暗号化されたファイル
- 最大6回以上圧縮されたファイル
- 解凍後のサイズが設定値を超えるファイル
- 以下の用途のサーバーは、適切に設定しない場合、ホストのパフォーマンスが低下する可能性があります。適切に検索除外設定されることをお勧めします。
- ネットワーク上のディレクトリをマウントしているサーバー
- データベースやActive Directoryなど、頻繁にI/Oが発生するサーバー
- ビッグデータを扱うサーバー
- メールサーバー(POPサーバー、IMAPサーバーなど)
侵入防御 および ホストベースファイアウォール の制限事項¶
- 侵入防御のインラインモードの場合、「検知」「防御」 の選択に関わらず、サーバーの通信状況によっては以下の通信を遮断する場合があります。「メモリーの割り当て失敗」イベントが発生する場合は、同時接続数を増加させる事で、通信の評価をするために必要なホスト上のメモリーリソース消費量が増えるため、十分な検証の上、設定をチューニングしてください。
- TCPの最大接続数:30,000(初期値)
- UDPの最大接続数:30,000(初期値)
- RFCに準拠しない通信や不正な操作が疑われる通信の場合、通信を遮断する場合があります。
- IPヘッダが無い場合
- 送信元および送信先IPが同じ場合
- URIに使用できない文字が使用されている場合
- 分離記号「/」が多い(100以上)場合
- ルートの上に「../../」が使われている場合 など
- ホストベースファイアウォール機能には、コンピューターが送受信している通知内容をログとして保存する設定(ログのみ)があります。本設定を利用する場合、大量のログ情報を記録するため、管理サーバーのリソースを圧迫する状態となります。そのため、本設定の利用はサービス仕様上禁止とさせて頂きます。
- 暗号化された通信は検査対象外です。
- 適用されるルールに紐付く「アプリケーションの種類」は、監査対象となる単一ポートに対して8種類(送受信別)を超えた場合にルールの更新が行えない状態となります。この状態になると、Agentは最新ルールを適用できないため、新しい脅威に対応することができません。各メーカー提供のパッチを適用(本各対処の実施)するか、侵入防御で適用されているルール数の割り当てを解除するなどの対応を実施してください。
- 以下の用途のサーバーは、お客さまにおいて適切な評価と設定値の検討を行った上でご利用ください。
- 通信量の多いサーバー(大規模な Web サーバー、DNS サーバー、AD サーバー、メールサーバー、ファイル(ストレージ)サーバーなど)
- リアルタイム性を要求されるサーバー(VoIPサーバー、ストリーミングサーバーなど)
- 1台のホスト上で複数のホストベースファイアウォール機能を有効にした際に、お互いの機能が競合し、予期しない動作を引き起こす可能性があります。このため、OS標準のホストベースファイアウォール機能について、以下のように自動的に無効化されます。
- Windows版のインストールおよびアップグレード時に、Windowsファイアウォールを無効化することはありませんが、ホストベースファイアウォール機能を有効化し、かつ1つ以上のホストベースファイアウォールルールが割り当てられた際に無効化します。(その後、ホストベースファイアウォール機能をオフにすると、Windowsファイアウォールが有効化されます。)
- Linux版のインストール中にLinuxのiptablesが無効になることはありませんが、ホストベースファイアウォール、あるいは侵入防御機能を有効化した場合、iptablesが無効になります。Agentを無効化した場合には、iptablesは有効化され設定も元に戻ります。
- ルール処理には、「ログのみ」がありますが、通常時は設定しないでください。「ログのみ」は、ホストが送受信している通信内容をログとして保存する設定ですが、大量のログ情報を記録するため、管理サーバーおよびホストのリソースを圧迫する恐れがあります。そのため、「ログのみ」の設定は、故障時の切り分けなど調査目的の利用以外は設定しないでください。
- 優先度に関係なく、許可ルールを一つでも作成すると、設定した許可ルール以外の通信は強制的に拒否(暗黙の拒否)されます。このため、許可ルールを利用する場合、十分に通信要件の洗い出しを行い必要となるルールを作成します。
- バイパス・強制的に許可の処理を利用する場合は、許可・拒否ルールよりも優先度が上位に設定される必要があります。許可・拒否ルールの優先度が上位に存在すると、バイパス・強制的に許可が有効にならない場合があります。なお、ホストベースファイアウォール機能でバイパス・強制的に許可のみを利用する場合、「暗黙の拒否」は動作しません。このルールを作成する場合、必ず送受信用のルールを作成してください。
- バイパスは、制限をさせたくない通信に対して利用します。バイパスルールの対象となる通信は、侵入防御、ホストベースファイアウォール機能での制限はかける事はできません。ただし、バイパスを利用しているルールと同じ条件で、優先度が上位になる別の許可・拒否ルールが存在する場合は、その上位ルールで処理が行われるためにバイパス処理はされません。よって、バイパスさせる必要がある通信は、許可・拒否ルールよりも優先度を高く設定し、他のルールによる影響を受けないように処理させる必要があります。なお、バイパスルールを適用する通信は、双方向(受信・送信)のバイパスを設定する必要があります。
- 強制的に許可は、ホストベースファイアウォール機能・ステートフル機能を利用せずに通信させたい場合に利用します。強制的に許可ルールの対象となる通信に対しては、侵入防御機能を動作させることができます。ただし、強制的に許可を利用しているルールと同じ条件で、優先度が上位になる別の許可・拒否ルールが存在する場合は、その上位ルールで処理が行われるために強制的に許可処理はされません。よって、強制的に許可させる必要がある通信は、許可・拒否ルールよりも優先度を高く設定し、他のルールによる影響を受けないように処理させる必要があります。なお、強制的に許可ルールを適用する通信は、双方向(受信・送信)の強制的に許可を設定する必要があります。
アプリケーションコントロール の制限事項¶
- すべてのファイルを監視する変更監視とは異なり、アプリケーションコントロールでは調査時と変更時に確認する対象はソフトウェアファイルのみです。
- Linux の.so ライブラリ
- Java の.jar ファイルと.class ファイル
- PHP、Python、シェルスクリプト
- 実行権限がない場合でも、次にあげる拡張子を持つファイルはソフトウェアとして検出されます。
- class / jar / war / ear / php / py / pyc / pyo / pyz