Managed Virtual Patch

本ページはDeepSecurity9.6バージョンについてのサービス説明です。

DeepSecurity9.6は2020/09/30にEoLを迎えておりますのでエージェントのバージョンアップをお願いいたします。

エージェントのバージョンアップ方法は こちら をご参照ください。

新バージョン(Deep Security20.0)についての説明は こちら をご参照ください。

概要

概要

Managed Virtual Patch は、Smart Data Platform/Enterprise Cloud for ERP、Flexible InterConnectに接続されるホスト上（オンプレミス環境、AWSなどで稼働するホスト含む）で利用することができる 侵入防御機能およびファイアウォール機能 を提供します。

ホスト上のオペレーションシステム（OS）にAgentをインストールしていただき、インターネット上の管理サーバーと接続することで利用することができます。

（以下、Managed Virtual Patch を本メニューと記載します。）

特長

本メニューは、以下の特長を持つメニューです。

1. 脆弱性を利用した攻撃などからホストを保護

   OSやアプリケーションの脆弱性に対する攻撃からホストを保護します。お客さまがOSやアプリケーションの本格的な対処を実施されるまでの間、ホストが脆弱性に対する攻撃にさらされないようにします。お客さまは資産を所有することなく、初期投資や最低利用期間なしで必要な時に利用することができます。
2. セルフオペレーションによる即時設定変更

   お客さまにて Smart Data Platform ポータルの セキュリティコントロールパネル を操作いただくことで、設定変更をオンラインで行うことが可能です。
3. 管理サーバー設備は弊社マネージドサービスによる安心・安全運用

   グローバルレベルのセキュリティ運用体制を持つセキュリティオペレーションセンター（SOC）が、本メニューで提供する管理サーバーの運用監視を行います。

利用できる機能

機能一覧

本メニューは、以下の機能を提供します。

機能	説明
1. 侵入防御	仮想パッチ（脆弱性ルール）によって、脆弱性に対する攻撃からホストを保護します。対応している脆弱性は、Windows、Linuxなど主要なサーバOSや、Apache、BIND、Microsoft SQL Server、Oracleなど100以上のアプリケーションに対応しています。
2. ファイアウォール	IPアドレスやMACアドレス、プロトコルなどを指定してホストの通信制御を行う機能です。
3. コントロールパネル	Smart Data Platform ポータルの セキュリティコントロールパネル から申し込みや各機能の設定を行う機能です。

各機能の説明

本メニューで提供する機能について説明します。

1. 侵入防御

侵入防御 機能では、主に以下の機能を提供します。

項目	説明
機能設定	機能のオン（有効）、オフ（無効）の選択が可能です。
動作設定	攻撃パケットを検出した場合の動作は、以下の選択が可能です。 ● 防御：攻撃パケットを破棄 ● 検知：攻撃パケットの検知のみ、破棄しない
ルール設定	現在割り当てられている侵入防御ルールの表示、ルールの割り当て/解除、ルールの作成/削除が可能です。
推奨設定	推奨される侵入防御ルールを検索することが可能です。自動適用を設定した場合、推奨ルールが自動的に割り当てられ、不要なルールは自動的に外されます。

注釈

• 本機能が有効な状態でも、ソフトウェア自体の潜在的な問題は残ったままとなります。また、本機能はネットワーク経由の脆弱性に対する通信を検出するため、ローカル上で完結する攻撃手段や、ネットワーク経由であっても具体的な攻撃手法等の情報が確立されていない脆弱性への対応は困難です。正式なメーカー対応パッチの適用と併用して、本機能をご利用ください。

• 動作設定において、防御を選択した場合、全てのルールが遮断されるものではなく、一部ルールによっては検知のみのものも含まれます。

2. ファイアウォール

ファイアウォール 機能では、主に以下の機能を提供します。

項目	説明
機能設定	機能のオン（有効）、オフ（無効）の選択が可能です。
ステートフル設定	ステートフルインスペクションとして動作させることが可能です。
ルール設定	現在割り当てられているファイアウォールルールの表示、ルールの割り当て/解除、ルールの作成/削除が可能です。 ルールに指定可能な項目の概要は、以下の通りです。 ● 処理（許可、バイパス、拒否、強制的に許可） ● 優先度（0[最低]〜4[最高]） ● パケット方向（受信/送信） ● フレームの種類（IP、ARPなど） ● プロトコル（ICMP、TCP、UDP、TCP+UDPなど） ● パケット送信元（IPアドレス、MACアドレス） ● パケット送信先（IPアドレス、MACアドレス） 処理の内容は、以下の通りです。 ● 許可 ルールと一致するトラフィックの通過を許可します。 ● バイパス ルールと一致するトラフィックの通過を許可（バイパス）します。侵入防御およびファイアウォール機能での検査を行いません。ステートフル機能が動作しないため、双方向（受信・送信）のバイパスルールを設定する必要があります。 ● 拒否 ルールと一致するトラフィックの通信を破棄します。 ● 強制的に許可 他のルールで拒否されるトラフィックの通過を強制的に許可します。侵入防御の検査を行います。

注釈

• ホストに有効な許可ルールがない場合、拒否ルールでブロックされていないかぎり、すべてのトラフィックが許可されます。有効な許可ルールが受信/送信に関わらず、1つでも設定された場合、許可ルールの条件を満たしていないかぎり、それぞれの方向で許可されたもの以外の通信は全て拒否されます。

• ルール設定の優先度は、ルールが適用される順序を決定します。ルール処理に「強制的に許可」、「拒否」を選択した場合、0[最低]〜4[最高]の優先度が設定できます（「許可」ルールでは0のみが設定できます。）。優先度の低いルールよりも先に優先度の高いルールが適用されます。例えば、ポート80の受信を強制的に許可する優先度2のルールが適用されるより前に、ポート80の受信を拒否する優先度3のルールが適用され、パケットを破棄します。

• バイパスを利用しているルールと同じ条件で、優先度が上位にある別の許可・拒否ポリシーがルールが存在する場合は、上位ルールで処理されるため、バイパスされません。バイパスさせる場合は、許可・拒否ルールよりも優先度を高く設定する必要があります。

• 1台以上のホストに割り当てられたファイアウォールルール、またはポリシーの一部であるファイアウォールルールは削除できません。

3. コントロールパネル

コントロールパネル 機能では、主に以下の操作が可能です。

詳細は、Smart Data Platform チュートリアルを参照してください。

項目	説明
オーダー	セキュリティメニューの申し込みが可能です。
オペレーション	本メニューの設定/管理を行うことが可能です。

● オーダー/Order

オーダーから操作可能な項目は、以下の通りです。

項目	説明
新規	新規に利用を開始します。
機能変更	利用メニューを変更することが可能です。
数量変更	本メニューの数量を変更することが可能です。
解約	本メニューの全ての利用を終了します。

● オペレーション/Operation

オペレーションから操作可能な主な項目は、以下の通りです。

項目	説明
コンピュータ	各種セキュリティ機能の設定を実施することが可能です。
ポリシー	ルールや設定をまとめて定義し、複数のコンピュータに同じ設定を割り当てることが可能です。
アラート	管理者への注意喚起が必要な事象が発生した場合にアラートが発令されます。
レポート	各種レポートを出力することが可能です。
管理	予約タスクの設定（例えば、セキュリティアップデートや予約検索などのスケジュール化）、パターンファイルやルールの管理などを行うことが可能です。

注釈

• セキュリティコントロールパネル 上で閲覧可能な本メニューに関するログの期間は、4週間です。取得ログの完全性を保証するものではありません。必要に応じて、お客さまにて定期的にログをエクスポートするなどの対応をお願いします。

• 複数のリージョン/テナントで利用される本メニューを一元管理（ホスト型セキュリティのOperation画面を1つで管理）されたい場合は、1つのリージョン/テナントで本メニューをお申し込みいただき、利用される総数量分をオーダーの上、ご利用ください。（ただし、料金情報もオーダーされたテナントにて表示されます。）

メニュー

プラン

本メニューは、プランはありません。

申し込み方法

Smart Data Platform をご契約いただいたお客さまは、本メニューを申し込むことが可能です。

申し込み種別、申し込み方法、納期は、以下の通りです。

申込種別	内容	申込方法	納期
新規	初回申し込み	Smart Data Platform ポータル の セキュリティコントロールパネル 経由で、お客さま自身の操作により申し込み	即時
機能変更	利用メニューの変更	同上	同上
数量変更	利用数量の変更	同上	同上
解約	利用廃止	同上	同上

注釈

• Smart Data Platform の1テナントに対して、ホスト型セキュリティのいずれか1つのメニューをご利用いただくことが可能です。

  • Managed Anti-Virus

  • Managed Virtual Patch

  • Managed Host-based Security Package

• 1回のオーダー処理が完了するまで、次のオーダーを行うことはできません。

• 機能変更（メニュー変更）は、現在利用されているメニューの数量全てを、他のホスト型セキュリティのメニューへ変更するオーダーです。

  • Managed Virtual Patch → Managed Anti-Virus

  • Managed Virtual Patch → Managed Host-based Security Package

• 解約される場合は、Agentと管理サーバーとの接続を切断の上、Agentのアンインストールを実施された後に、オーダーにて解約処理してください。

• 解約後 2週間以内は、同一テナント上でホスト型セキュリティのメニューを新規利用することはできません。

申し込み制限

本メニューの販売単位、上限数は、下記の通りです。

販売単位	上限数
1	256

注釈

• 256以上をご利用の場合は、個別にご相談ください。

ご利用条件

ご利用条件

本メニューのご利用条件は、以下の通りです。

1. システム要件

本メニューを利用するためには、ホスト上のOSにAgentをインストールしていただく必要があります。Agentの導入に必要なホストのシステム要件は、以下の通りです。

項目	内容
メモリー	512MB以上
ディスク容量	500MB以上 不正プログラム対策が有効な場合は1GB以上を推奨 Relay機能 1 が有効な場合は8GB以上を推奨
OS	Windows: Windows 7 (32/64bit) Windows 8 (32/64bit) Windows 8.1 (32/64bit) Windows 10 (32/64bit) Windows Server 2008 (32/64bit) Windows Server 2008 R2 (64bit) Windows Server 2008 R2 Hyper-V Windows Server 2012 (64bit) Windows Server 2012 R2 (64bit) Windows Server 2012 R2 Hyper-V Windows Server Core 2012 (64bit) Windows Server Core 2012 R2 (64bit) Windows Server 2016 (64bit) 注釈 エディションが指定されていないWindows製品は、エディションに関係なく、サポート対象となります。 システム要件に記載されていない Service Pack 等でも、要件に記載されているものより新しいバージョンはサポート対象となります。 Relay機能は上記OSの64bit OSで動作可能です。 Linux: Red Hat 5、6、7 (32/64 bit) CentOS 5、6、7 (32/64 bit) SUSE 10 SP3、SP4 (32/64bit) SUSE 11 SP1、SP2、SP3 (32/64bit) SUSE 12 (64bit) SUSE 15 (64bit) Ubuntu Linux 10.04、12.04、14.04、16.04 (64bit) Oracle Linux 5 RedHat/Unbreakable Kernel (32/64 bit) Oracle Linux 6 RedHat/Unbreakable Kernel (32/64 bit) Oracle Linux 7 RedHat/Unbreakable Kernel (64 bit) CloudLinux 5 (32/64bit) CloudLinux 6 (32/64bit) CloudLinux 7 (64bit) Amazon Red Hat 6 EC2 (32/64bit) Amazon Red Hat 7 EC2 (64bit) Amazon SUSE 11 EC2 (32/64bit) Amazon SUSE 12 EC2 (64bit) Amazon Ubuntu 12 EC2 (64bit) Amazon Ubuntu 14.04 LTS (64bit) Amazon Ubuntu 16.04 LTS (64bit) 注釈 Linux版Agentでは、ご利用のカーネルもサポート対象である必要があります。詳細は サポートするカーネルバージョン の対象製品、 “Deep Security 9.6”をご確認ください。 インストールしていただくAgentのバージョン、インストール先OSの種類によって、ご利用いただける機能が異なります。詳細は 対応機能一覧 の対象製品、 “Deep Security 9.6”をご確認ください。 本メニューでは、マルチバイト文字コードをUTF-8のみサポートしています。Linux/Unix環境ではOSのロケールをUTF-8（ja_jp.UTF-8 等）に設定する必要があります。詳細は 日本語文字コードの扱い をご確認ください。 Relay機能は上記OSの64bit OSで動作可能です。

1

Relay機能…トレンドマイクロ社サーバーからパターンファイルやルールなどをダウンロードし、Agentをインストールしたホストに配信する機能

2. 通信要件

● Agent通信要件

本メニューのAgentの通信要件は、以下の通りです。

• ホストにインストールされたAgentは、インターネット経由で管理サーバーと接続する必要があります。同様に、一部の機能利用時にトレンドマイクロ社のサーバーと接続する必要があります。

• ファイアウォール等の通信制御を行う機器を利用している場合は、適切に管理サーバーとAgent、ならびにトレンドマイクロ社のサーバーへの通信許可設定を実施してください。

• 管理サーバーおよびトレンドマイクロ社のサーバーと通信するために、名前解決が必要です。Agentをインストールするホスト上で名前解決ができるよう設定を実施してください。

• 本サービスで利用しているAgentは、プロキシサーバーを利用して管理サーバーと接続が出来ます。プロキシサーバーを利用する場合は、Relay機能を有効にしたAgentをお客さま環境内に準備する必要があります。

  • Relay機能を有効にしたAgentは、管理サーバーとトレンドマイクロ社のサーバーに接続します。必ず、管理サーバーとトレンドマイクロ社のサーバーに接続ができるよう設定を実施してください。

  • Agentがお客さま環境内のRelayと通信する場合、Agentがインストールされたホスト上で、お客さま環境内のRelay機能を有効にしたホストの名前解決ができるよう設定を実施してください。

  • Agentがお客さま環境内のRelayと通信する場合、サービス提供しているRelayと異なるポートを利用して通信します。

• Agentは管理サーバーやRelayサーバーと通信する際に暗号化通信を利用します。通信ポートからはHTTP/HTTPSを利用するように見えますが、TCPの暗号化通信を利用しますので以下の点にご注意ください。

  • 暗号化通信制御を行う機器を利用している場合、管理通信が利用できない可能性があります。

  • アクセス制御を行う機器を利用している場合、Agentの仕様により通信ができない可能性があります。

  この様な通信制御を行う機器を利用している場合は、管理サーバーのアドレス（FQDN/IPアドレス）除外や暗号化通信の許可を必ず行ってください。これら通信制御を行う機器を利用する環境で発生した問題は、お客さまにて切り分け調査を実施してください。

通信内容	宛先（通信先）	宛先ポート番号
管理サーバーとの接続	hbs01.jp.ivs.wideanglentt.com hbs02.jp.ivs.wideanglentt.com hbs03.jp.ivs.wideanglentt.com hbs04.jp.ivs.wideanglentt.com hbs05.jp.ivs.wideanglentt.com hbs06.jp.ivs.wideanglentt.com hbs07.jp.ivs.wideanglentt.com hbs08.jp.ivs.wideanglentt.com hbs09.jp.ivs.wideanglentt.com hbs10.jp.ivs.wideanglentt.com	TCP 80、443
Relay機能を有効にしたホストとの接続 ※ お客さま環境内に準備された場合	Relay機能を有効にしたホスト	TCP 4122

トレンドマイクロ社サーバーとの通信
機能	宛先URL
スマートスキャン（不正プログラム対策）	https://ds96-jp.icrc.trendmicro.com:443
Webレピュテーション	http://ds96-jp.url.trendmicro.com:80
セキュリティアップデート※ （コンポーネントのアップデート）	https://iaus.trendmicro.com:443 https://iaus.activeupdate.trendmicro.com:443

※ Relay機能をご利用の場合に必要です。

● メール通信要件

本メニューのメール通知の通信要件は、以下の通りです。

• メール通知を行いたい場合は、セキュリティコントロールパネル からお客さま管理のSMTPサーバーを指定する必要があります。ご利用されるSMTPサーバーにて、接続制限を実施されている場合は、以下のアドレス帯からの接続を許可してください。

  • 管理サーバーアドレス帯：210.161.150.240～248

• お客さまのSMTPサーバーの待ち受けポート番号は、以下の指定が可能です。

  • tcp 25または587

他サービスとの組み合わせ条件

本メニューは、他メニューとの組み合わせについて、特別に制限していません。

最低利用期間

本メニューは、最低利用期間はありません。

料金

初期費用

本メニューは、申し込み種別にかかわらず、初期費用は無料です。

月額費用

本メニューは、利用時間にかかわらず、月額定額料金です。

月の途中でメニュー変更または数量変更された場合は、その料金月に利用したメニューおよび数量に基づく月額料金を比較して、最も高い料金を月額料金として適用します。

サービス提供の品質

サポート範囲

● 管理サーバー

本メニューの管理サーバーにて提供する機能および設備は、サポート範囲内となります。

● Agent

ホスト上にインストールされたAgentの動作や仕様に関して、利用許諾内容の範囲内でサポートを行います。

（利用許諾内容は、Agentのインストール時に表示されます。）

注釈

• 設定値や運用方法などコンサルティングが必要な問い合わせについては、サポート対象外となります。

運用

本メニューは、Smart Data Platform に標準で定められた運用品質に準じます。

● 管理サーバー

本メニューは、管理サーバーにおける以下の運用を実施します。

項目	説明
セキュリティパッチ適用	影響度に応じてセキュリティパッチを適用
プロダクトライフサイクル管理	バージョンアップ作業の実施
監視・保守	稼働監視および故障対応の実施

注釈

• Agentに関する運用は、お客さまにて実施願います。

  • Agentのインストール、管理サーバーへの接続などの導入時作業および設定変更

  • Agentのバージョンアップ作業

  • Agentの監視（常時起動していることの確認）

  • ホスト上での故障時の切り分け対応 など

SLA

本メニューは、SLA対象外です。

制約事項

本メニューの制約事項は、以下の通りです。

共通

• Agentをインストールするには、対象のホストに管理者としてログインする必要があります。

• Agentをインストールするホストは、NTPなどで時刻同期を行ってください。時刻の同期がとれていない場合、Agentの有効化に失敗する場合があります。

• Webレピュテーション、ファイアウォール、侵入防御の機能を有効化した場合は、対象ホストにネットワークドライバがインストールされるため瞬断が発生します。詳細は、こちら を参照してください。

• Agentは、4118ポートを使用します。このポート番号は変更不可のため、Agentをインストールするホストでは他のアプリケーションと重複しないことを確認の上、利用してください。

• Agentがインストールされたホストにおいて、トレンドマイクロ社以外の製品との競合テストなどを含めた動作テストは実施していません。そのため、個別のソフトウェアとの共存についての回答はできかねます。お客さまの環境において動作確認をお願いします。また、他のトレンドマイクロ社製品との共存についても、詳細な条件がございます。詳しくは、トレンドマイクロ製品・他社製品と共存した場合の動作について を参照してください。

• AgentがProxyサーバー経由で管理サーバーと接続する場合、ProxyサーバーにおいてHTTPのCONNECTメソッド:80ポートの利用を可能にしてください。

• 本メニューでは、以下のようなケースの場合に、当社の判断にて利用を制限もしくは停止する場合があります。

  • お客さまの利用が、他のお客さまの利用に影響を及ぼす場合

  • お客さまの利用が、申し込み利用数と実際の利用数が一致しない場合　など

• 本メニューが提供する各機能やログについて、完全性、正確性、お客さまへの利用目的への適合性を有していることについて保証するものではありません。また、機能を構成するソフトウェアの開発元または販売元より提供されるパターンファイルやルールなどの妥当性を保証するものではありません。

• 本メニューの機能を構成する機器の開発元または販売元に、以下の情報を提供する場合があります。

  • 本メニューの提供を通じて得られた設定情報

  • 本メニューの機能によって得られた情報

• 本メニューの機能とお客さま環境との相性により起こり得る不具合、またはお客さまが弊社指定以外の操作を行った場合に発生する不具合については、その回復の保証はできません。

侵入防御 および ファイアウォール の共通制限事項

• 最大TCP接続数または最大UDP接続数を上回る通信が実施された場合、その通信をブロックします。接続数は同時接続数です。値を増やすことで、通信の評価をするために必要なホスト上のメモリリソース消費量が増えるため、十分な検証の上、設定をチューニングしてください。

  • TCPの最大接続数：30,000（初期値）

  • UDPの最大接続数：30,000（初期値）

• RFCに準拠しない通信や不正な操作が疑われる通信の場合、通信を遮断する場合があります。

  • IPヘッダが無い場合

  • 送信元および送信先IPが同じ場合

  • URIに使用できない文字が使用されている場合

  • 分離記号「/」が多い（100以上）場合

  • ルートの上に「../../」が使われている場合　など

侵入防御 の制限事項

• 暗号化された通信は検査対象外です。

• 適用されるルールに紐付く「アプリケーションの種類」は、監査対象となる単一ポートに対して8種類（送受信別）を超えた場合にルールの更新が行えない状態となります。この状態になると、Agentは最新ルールを適用できないため、新しい脅威に対応することができません。各メーカー提供のパッチを適用（本各対処の実施）するか、侵入防御で適用されているルール数の割り当てを解除するなどの対応を実施してください。

• 以下の用途のサーバーは、お客さまにおいて適切な評価と設定値の検討を行った上でご利用ください。

  • 通信量の多いサーバー

  • リアルタイム性を要求されるサーバー（VoIPサーバー、ストリーミングサーバーなど）

ファイアウォール の制限事項

• 1台のホスト上で複数のファイアウォール機能を有効にした際に、お互いの機能が競合し、予期しない動作を引き起こす可能性があります。このため、OS標準のファイアウォール機能について、以下のように自動的に無効化されます。

  • Windows版のインストールおよびアップグレード時に、Windowsファイアウォールを無効化することはありませんが、ファイアウォール機能を有効化し、かつ1つ以上のファイアウォールルールが割り当てられた際に無効化します。（その後、ファイアウォール機能をオフにすると、Windowsファイアウォールが有効化されます。）

  • Linux版のインストール中にLinuxのiptablesが無効になることはありませんが、ファイアウォール、あるいは侵入防御機能を有効化した場合、iptablesが無効になります。Agentを無効化した場合には、iptablesは有効化され設定も元に戻ります。

• ルール処理には、「ログのみ」がありますが、通常時は設定しないでください。「ログのみ」は、ホストが送受信している通信内容をログとして保存する設定ですが、大量のログ情報を記録するため、管理サーバーおよびホストのリソースを圧迫する恐れがあります。そのため、「ログのみ」の設定は、故障時の切り分けなど調査目的の利用以外は設定しないでください。

目次

• Managed Anti-Virus
  • 概要
  • 利用できる機能
  • メニュー
  • ご利用条件
  • 料金
  • サービス提供の品質
  • 制約事項
• Managed Virtual Patch
  • 概要
  • 利用できる機能
  • メニュー
  • ご利用条件
  • 料金
  • サービス提供の品質
  • 制約事項
• Managed Host-based Security Package
  • 概要
  • 利用できる機能
  • メニュー
  • ご利用条件
  • 料金
  • サービス提供の品質
  • 制約事項
• 改訂履歴

---