導入手順書 - トレンドマイクロ

Trend Micro 脆弱性対策オプション TM
導入手順書
(インストール～仮想パッチの適用)
トレンドマイクロ株式会社
===================================================================
Copyright (c) 2014 Trend Micro Incorporated. All Rights Reserved.
・本ドキュメントに関する著作権は、トレンドマイクロ株式会社へ独占的に帰属します。
・本ドキュメントの作成にあたっては細心の注意を払っていますが、本ドキュメントの記述に誤りや欠落があっても
トレンドマイクロ株式会社はいかなる責任も負わないものとします。
・本ドキュメントおよびその記述内容は予告なしに変更されることがあります。
・TRENDMICRO、TREND MICRO、ウイルスバスターは、トレンドマイクロ株式会社の登録商標です。
・本ドキュメントに記載されている各社の社名、製品名およびサービス名は、各社の商標または登録商標です。
===================================================================
改訂履歴
版数
第1版
第2版
発行日
2012/03/07
2013/06/26
第 2.1 版
第3版
2013/07/05
2014/03/24
改訂履歴
初版発行
脆弱性対策オプション 1.5 Service Pack 1 Patch 1 の公開に合わせ、
内容を更新
Script フォルダが存在しない場合の注意書きを追記
・サイジング情報／よくある質問／設定項目の修正
・全体構成を変更
はじめに
■本ドキュメントの目的
本ドキュメントに記載する設定を行うことで、自動的にお客様のクライアント PC のセキュリティ上の脆
弱性を検知し、外部からの様々な脅威を防ぐことができます。また、定常的な運用負荷を増やさずに導入す
ることができます。導入前検証や実導入の際に利用する基本設定としてご利用ください。
■効果
本ドキュメントを参照していただくことにより、以下の効果が見込まれます。
・導入前に検証すべき項目が把握できる
・検証の詳細手順を理解できる
・導入時に注意すべき事項について把握できる
・実導入をスムーズに行えるようになる
■対象読者
本ドキュメントは、以下の読者を対象としています。
・パートナー企業のシステムエンジニア（システムを実際に構築する方）
・脆弱性対策オプションの利用を検討しているウイルスバスターコーポレートエディション
の日々の運用を行う管理者の方
■用語について
「仮想パッチ」は製品上では「DPI ルール」と表記されるため、本ドキュメント上では、
「DPI ルール」に
統一しています。また、下記の略称を利用しています。
「Trend Micro 脆弱性対策オプション」………………………………………「脆弱性対策オプション」
「ウイルスバスターコーポレートエディション」……………………………「ウイルスバスター Corp.」
「ウイルスバスターコーポレートエディションサーバ」……………………「Corp.サーバ」
2
目次
１．脆弱性対策オプションサーバのインストール ........................................................... 4
1-1. 事前準備 ................................................................................................................... 4
1-2. 脆弱性対策オプションサーバプラグインのインストール（インターネット接続環境有り） .......... 9
1-3. 脆弱性対策オプションサーバプラグインのインストール（クローズド環境） ..........................14
２．脆弱性対策オプションクライアントのインストール ................................................. 16
2-1. 事前準備：名前解決ができない場合 ...............................................................................16
2-2. サーバプラグインからクライアントプラグインをプッシュ配信する .......................................18
2-3. スタンドアロンパッケージでクライアントをインストールする .............................................19
３．インストール後の初期設定 ................................................................................ 21
3-1. セキュリティアップデートの自動設定 ............................................................................21
3-2. ログ保存期間の設定 ...................................................................................................24
４．セキュリティプロファイルの作成........................................................................ 25
4-1. セキュリティプロファイルの作成 ..................................................................................25
4-2. セキュリティプロファイルの適用 ..................................................................................28
５．推奨設定検索 ................................................................................................. 29
5-1. DPI ルールの自動適用設定 ...........................................................................................29
5-2. 推奨設定検索の自動実行設定 ........................................................................................29
5-3. 推奨設定のクリアの設定 ..............................................................................................33
６．その他の操作／設定 ......................................................................................... 35
6-1. 手動でのセキュリティアップデート ...............................................................................35
6-2. 通知設定 ..................................................................................................................38
6-3. 定期バックアップの設定 ..............................................................................................39
6-4. 推奨設定検索の手動実行手順 ........................................................................................41
6-5. 推奨設定検索の結果の確認手順 .....................................................................................42
6-6. レポート作成機能の確認手順 ........................................................................................43
７． DPI ルール動作確認テスト ................................................................................ 45
８．サイジング .................................................................................................... 46
９．よくある質問 ................................................................................................. 48
3
１．脆弱性対策オプションサーバのインストール
本インストール作業は、Corp.サーバがインストールされているサーバ上で行ってください。また、脆
弱性対策オプションサーバをインストールすると、
Corp.サーバ上において、
より多くの CPU やメモリ、
ディスク容量を消費します。
インストール前に本ドキュメントの「８．サイジング」を参照してください。
1-1. 事前準備
システム要件と Readme 上の既知の制限事項の確認
事前にシステム要件と Readme に記載している既知の制限事項をご確認ください。
・システム要件
http://www.trendmicro.co.jp/jp/business/products/corp-idf/#requirement
・readme
http://downloadcenter.trendmicro.com/index.php?regs=jp&clk=latest&clkval=4118&lang_loc=13
.NET Framework 2.0 SP2 のインストール
脆弱性対策オプションサーバのインストールには、
「.NET Framework 2.0 SP2」が必要です。
事前に Microsoft 社のホームページよりダウンロードしてください。
注意：.NET Framework 3.0 や 3.5 は 2.0 SP2 との互換性がありますが、
.NET Framework 4.0 以降は互換性がないため、利用することができません
Corp.サーバが Windows Server 2012 上にインストールされている場合
脆弱性対策オプションをインストールする前に、
【SQL アップグレードツール】を使用して脆弱性対策
オプションが利用するデータベースを SQL Server 2008 R2 Express 版にアップグレードしてくださ
い。インストール方法やツールのダウンロードなどの詳細は下記 URL を参照してください。
http://esupport.trendmicro.com/solution/ja-jp/1097614.aspx
4
脆弱性対策オプションで使用するポートの解放
脆弱性対策オプションでは以下のポートを使用しますので、予め以下のポート番号をアクセス可能に
します。デフォルト設定の Windows ファイアウォールが有効になっている場合は管理コンソールにア
クセスできないため、必ず設定を変更してください。
ポート
番号
プロト
コル
接続元
接続先
プロキシ
使用可否
ポート
変更可否
用途
4118
TCP
サーバ
プラグイン
クライアント
プラグイン
×
×
サーバプラグインからクライアント
プラグインへの通信
4119
TCP
Web ブラウザ
サーバプラグイン
×
×
サーバプラグインへのリモートアク
セス
4120
TCP
クライアント
プラグイン
サーバプラグイン
×
×
クライアントプラグインからサーバ
プラグインへの通信
514
UDP
クライアント
プラグイン
Syslog 機能
×
○
Syslog
25
TCP
サーバ
プラグイン
指定の SMTP サーバ
×
×
メールのアラート
ランダム
TCP
サーバ
プラグイン
DNS サーバ
×
×
ホスト名の DNS 検索
Corp.サーバとプラグインマネージャのインストール
Corp.10.5 以前のバージョンをお使いの方は、以下の手順でプラグインマネージャをインストールして
ください。10.6 では予めプラグインマネージャがインストールされていますので、この作業は不要です。
次の[1-2]の手順へお進みください。
(1) Corp.管理サーバがインストールされている OS 上で、
Corp.サーバの管理コンソールにログオンし、
[プラグインマネージャ]をクリックします。
※プラグインマネージャのインストーラを Corp.管理サーバ上にダウンロードするため、
Corp.サーバ上で操作を行ってください。
※オフライン環境の場合には、次のファイルをダウンロードして頂き、下記(5)の手順より、インストー
ルを行ってください。
http://www.trendmicro.com/ftp/jp/ucmodule/corp/win/PLM/10/Patch2/plm_patch2_b3187.zip
5
(2) プラグインマネージャの画面で、インストールのリンクをクリックします。
(3) 画面を下にスクロールし、[プラグインマネージャをダウンロード]をクリックします。
6
(4) setup.exe を任意の場所に保存します。
※Corp.管理サーバではなく別のマシンでダウンロードした場合は、保存した setup.exe
を Corp.サーバに移動した後で次のステップに進んでください。
(5) ダウンロードした setup.exe を実行します。Windows Server 2008 の場合は、
setup.exe を右クリックして[管理者として実行]を選択します。
以下のようこそ画面が開きますので、[次へ]をクリックします。
(6) [インストール]をクリックします。
7
(7) インストールを開始します。
(8) 完了の画面が表示されたら[終了]をクリックします。
8
1-2. 脆弱性対策オプションサーバプラグインのインストール（インターネット接続環境有り）
(1) Corp 管理コンソールにログオンし、左側のメニューから[プラグインマネージャ]を
クリックします。 [脆弱性対策オプション]の[ダウンロード]をクリックします。
※2014 年 3 月 13 日時点では 1.5.2342 が利用可能なバージョンとなります。
本ドキュメントのスクリーンショットには一部古いバージョンの画面も含まれます
(2) [OK]をクリックします。
(3) ダウンロードが開始されます。
9
(4) ダウンロードが完了後、[インストール]をクリックします。
(5) 使用許諾契約書に同意します。
(6) インストールが開始されます。
10
(7) 脆弱性対策オプションの[プログラムの管理]をクリックします。
注意: 脆弱性対策オプションサーバプラグインを初めて実行する際に、証明書の警告が表示される場合
があります。
これは、サーバプラグインが Corp.サーバとは異なる Web サーバで実行されているためです。この証
明書に同意しても安全です。
(8) アクティベーションコードを入力して保存します。
アクティベーションコードは、EI-xxxx-で始まります。
※アクティベーションコード入力時にエラーが出る場合には、下記 URL を参照ください。
http://esupport.trendmicro.com/solution/ja-JP/1313528.aspx
11
(9) 製品の登録が行われます。
(10) 状態が[アクティベーション完了]となっていることを確認し、[起動]をクリックします。
※証明書のセキュリティエラーが表示される、または管理コンソールが開けない場合には、下記 URL
を参照してください。
http://esupport.trendmicro.com/solution/ja-JP/1096704.aspx
http://esupport.trendmicro.com/solution/ja-JP/1102171.aspx
(11) 画面下部の[続行]をクリックします。
12
(12) ダッシュボードが表示されることを確認します。
以上で脆弱性対策オプションサーバプラグインのインストールは終了です。
「２．脆弱性対策オプションクライアントのインストール」にお進みください。
13
1-3. 脆弱性対策オプションサーバプラグインのインストール（クローズド環境）
(1) インターネットに接続できる環境において、トレンドマイクロのダウンロードページより、脆弱性
対策オプションサーバプログラムをダウンロードし、クローズド環境の Corp.サーバにコピーします。
http://downloadcenter.trendmicro.com/index.php?regs=jp&clk=latest&clkval=4118&lang_loc=13
(2) コピーしたモジュールを解凍します。
(3) 適当な場所に「IDF」というフォルダを作成し、共有にします。
※フォルダ名は任意です。
※本手順では例として C ドライブ直下に作成します。詳細は以下の URL をご参照ください。
http://esupport.trendmicro.com/solution/ja-jp/1312843.aspx
(4) 上記 2 で解凍したモジュールを脆弱性対策オプションフォルダ内にコピーします。
※フォルダ名が[IdfActiveUpdate]になっている場合、「activeupdate」にします。
作業実施後、以下のようなフォルダ構成になります。
<C:\IDF\activeupdate\...>
(5) Corp.サーバの Web 管理コンソールにログオンして、[アップデート]→[サーバ]→[アップデート
元] の順に選択します。
14
(6) [現在のファイルのコピーを含むイントラネットの場所] を選択し、表示されたフィールドに「\\<
自身の IP アドレス>\IDF\activeupdate」と入力します。
ユーザ名とパスワードが必要な場合は入力し、[保存] をクリックします
例：「\\192.168.1.1\IDF\activeupdate 」
(7) OS の[スタート]→[管理ツール]→[サービス]を選択します。
(8) Corp.プラグインマネージャサービス (OfficeScan Plug-in Manager) を再起動して、変更を反映
します。
(9) Corp.サーバの Web 管理コンソールに再度ログオンして、[プラグインマネージャ] をクリックし
ます。
(10) 以降は、1-2.と同じ手順で、サーバプラグインをインストールします。
15
２．脆弱性対策オプションクライアントのインストール
2-1. 事前準備：名前解決ができない場合
初期設定では、脆弱性対策オプションサーバと脆弱性対策オプションクライアント間の通信に名前解決
が必要となります。名前解決ができない環境の場合は、下記手順により、サーバからクライアントへの
通信を IP アドレスベースで行うように設定変更してください。
(1) 脆弱性対策オプションサーバ（Corp.サーバ）上で以下のサービスを停止します。
・ [Intrusion Defense Firewall]サービス
(2) 以下のパスにある[dsm.properties]をテキストエディタで開きます。
<Program Files\Trend Micro\OfficeScan\Addon\Intrusion Defense
Firewall\webclient\webapps\ROOT\WEB-INF>
(3) テキストの最下部に以下のパラメータを追記し、上書き保存をします。
「hssHostnameIPDisplaynameClientname=true」
(4) 以下のサービスを開始します。
・ [Intrusion Defense Firewall]サービス
16
変更前
変更後
↓
(5) [ウイルスバスターCorp.との同期]で同期をすると、クライアントの一覧が設定後は[IP アドレス]
(クライアント名)の表示に変更されます。
(6) サーバとクライアント間の通信方向を変更します。メニューより[システム]-[システム設定]-[コン
ピュータ]タブを開き、通信方向の項目で[サーバプラグインによる開始]を選択し、保存します。
注意：[クライアントプラグインによる開始]または[双方向の通信]を使用する場合は、
サーバプラグインのホスト名が必ずローカル DNS 内にある必要があります。
17
2-2. サーバプラグインからクライアントプラグインをプッシュ配信する
注意：インストール中に、クライアントのネットワークが一時切断されます。
注意：クライアントプラグインをインストールする際には、同時にプッシュ配信が可能な台数は最大
100 台となります。順次インストールされ、3 時間以内にプッシュ配信が行われない端末はタイムアウ
トとなりプッシュ配信が行われませんので、一度に配信する端末数にはご注意ください。クライアント
1 台当たり、32bitOS の場合約 5MB、64bitOS の場合約 7MB のモジュールが配信されます。
(1) 該当のクライアントを選択し、右クリックで[処理]-[クライアントプラグインの配信]を選択します。
※オンラインのクライアントに対して配信を行ってください。オフラインのクライアントに
実行しても、配信を予約することはできませんのでご注意ください
配信中
配信完了↓
(2) ステータスの状態が上記のように変わり、[管理対象]と表示されることを確認します。
※ステータスの状態が変更しない場合や、インストールできない場合は下記を参照ください。
http://esupport.trendmicro.com/solution/ja-jp/1096705.aspx
18
2-3. スタンドアロンパッケージでクライアントをインストールする
注意：スタンドアロンパッケージによるインストール中に、ネットワークが一時切断されますので、
インストール作業はローカル上で行ってください。
注意：スタンドアロンパッケージは、クライアントのモジュールが下記フォルダパスにインストールさ
れているという前提で作成されています。下記と異なるインストールパスでインストールされている場
合は、スタンドアロンパッケージによるインストールはできません。
C:\Program Files\Trend Micro\OfficeScan Client.
(1) インストールの前に、脆弱性対策オプション管理コンソールにログインし、クライアントプラグイ
ンからプログラムの有効化が許可されているか確認します。
「システム」→「システム設定」→「コンピュータ」→[リモート有効化]で[クライアントプラグインが
開始した有効化を許可]にチェック。 ※デフォルト値はオンです。
19
(2) 上記、トレンドマイクロホームページより、スタンドアロンパッケージをダウンロードします。
(3) スタンドアロンパッケージの実行
脆弱性対策オプションクライアントをインストールする端末上で、スタンドアロンパッケージ（脆弱性
対策オプション client.exe）を実行します。
(4) インストールの確認
管理コンソール上で、対象のクライアントが管理対象になっていることを確認します。
※インストールログが必要な場合は、以下の URL をご参照ください。
http://esupport.trendmicro.com/solution/ja-jp/1312843.aspx
20
３．インストール後の初期設定
脆弱性対策オプションのインストールが完了しても、脆弱性を発見するために必要な仮想パッチ（DPI
ルール）の自動ダウンロードや、クライアントの脆弱性の診断（推奨設定検索）の自動実行、脆弱性発
見時の DPI ルールの適用は行われません。
これらのシステム側で自動的に行うためには、
「３．インストール後の初期設定」
「５．推奨設定検索」
の設定を行う必要があります。また、小規模環境以外においては、
「４．セキュリティプロファイルの作
成」が必要となりますので、詳細は各項目をご覧ください。
また、
「６．その他の操作／設定」においては、よく利用される手動での動作確認手順や運用管理に役立
つ設定を記載しています。必要に応じてご利用ください。
「７．DPI ルール動作確認テスト」に関しては、クライアントに対して、Corp.サーバから正しく DPI
ルールの割り当てが行われ、正常に動作しているかを確認したい場合にご利用ください。
3-1. セキュリティアップデートの自動設定
セキュリティアップデートにより最新の DPI ルールをトレンドマイクロのアップデートサーバより取得
することが可能であり、手動または自動で行うことができます。インストール直後では自動でのアップ
デートは行われませんので、自動的にセキュリティアップデートを行う設定を解説します。
※手動でアップデートする場合には、
「６．その他の操作／設定」⇒[6-1. 手動でのセキュリティアップデート]を参照してください。
ここでは、例として、2014 年 1 月 1 日から、毎日 16:00 に脆弱性対策オプションのルールのアップデ
ートを行い、自動的に適用する方法を記載します。
(1) 脆弱性対策オプション管理コンソールの「システム」→「タスク」をクリックします。
(2) 「新規」をクリックし、「新規予約タスク」をクリックします。
21
(3) 種類に「コンポーネントのアップデート」を選択し、
「日単位」を選択し、「次へ」をクリックしま
す。
(4) 「毎日」を選択し、開始日を「2014/01/01」を選択し、開始時刻を「16:00」として、「次へ」
をクリックします。
22
(5) 「脆弱性対策オプションルールのアップデート」と
「脆弱性対策オプションルールアップデートの自動適用」をチェックし、
「次へ」をクリックします。
(6) 必要に応じて、タスクの名前を編集することができます。
「完了」をクリックすることにより、定期
的にコンポーネントのアップデートが行われます。
23
3-2. ログ保存期間の設定
初期設定では、システムイベントログを 12 週（4 か月）保存する設定になっているため、ログサイズ
が膨大になる可能性があります。特に同梱されている SQL Express をご利用の場合は、サイズ上限が
4GB (SQL アップグレードツールにて SQL Server 2008 R2 Express を利用時は 10GB)となっていま
すので、利用環境に応じてログの保存日数を減らしてください。
（例：12 週→4 週）
24
４．セキュリティプロファイルの作成
クライアントはセキュリティプロファイルに所属することができます。所属したクライアントにはグロ
ーバル設定と異なる動作を割り当てることができます。
セキュリティプロファイルは主に下記の目的で利用されます。
・推奨設定検索をセキュリティプロファイル単位でスケジュール実行する
※Corp.ドメイン単位でも実行可能
・特定のセキュリティプロファイルの動作を変更する
※例：特定のセキュリティプロファイルに所属するクライアントは、推奨設定検索後、自動的に DPI ル
ールを適用しない運用を行う（脆弱性の検査だけ行い、可視化のみを行う）
小規模環境（例：100 クライアント以下）など、グループ毎に動作を変更する必要が無ければ、本章「４．
セキュリティプロファイルの作成」は必須ではありません。作成を行わなくても推奨設定検索を行こと
ができます。
但し、本ドキュメントの「8．サイジング」に記載しているように、一度に実行する推奨設定検索の対
象クライアント数を分割するためには、セキュリティプロファイル、または Corp.ドメイン上でのクラ
イアント単位で定期的に実行するタスクを組む必要があります。
4-1. セキュリティプロファイルの作成
※必要な数のセキュリティプロファイルを作成してください。
(1) 脆弱性対策オプション管理コンソール[セキュリティプロファイル]をクリックし、
[新規]→[新規セキュリティプロファイル]をクリックします。
25
(2) プロファイルの名前を入力しまて、
「次へ」をクリックします。
ここでは例として「システム部」を入力します。
(3) 今回は新規にプロファイルを作成するので、既存の設定をベースにするかという選択肢は、
「いいえ」
を選択して、
「次へ」をクリックします。
(4) 「閉じる」を押してプロファイル詳細設定画面を開きます。
26
(5) 作成したセキュリティプロファイルの詳細設定画面にて、[Deep Packet Inspection]をクリックし、
「推奨設定」内の「推奨設定の検索時に、推奨 DPI ルールをコンピュータに自動割り当て/割り当て解
除:」を「はい」と選択して、
「保存」をクリックします。
本設定により、セキュリティプロファイルに所属するクライアントが推奨設定検索を行った場合に、ク
ライアントの脆弱性が発見されると、自動的に DPI ルールがクライアント適用されます。
※作成したセキュリティプロファイルに対して DPI ルールを割り当てず、クライアントの脆弱性の発見
のみ行いたい場合には、
「いいえ」を選択します。
※推奨設定検索と DPI ルールの適用を行うが、脆弱性を悪用する攻撃をブロックせず、ログのみ取得し
たい場合には、
「Deep Packet Inspection」設定内の「継承」のチェックボックスを外し、インライン
DPI の動作を「検出」を選択します。
27
4-2. セキュリティプロファイルの適用
(1) セキュリティプロファイルを適用したいクライアント/グループを選択してクリック→[処理]→[プ
ロファイルの割り当て…]を選択します。
(2) 選択したいセキュリティプロファイルを選択して、
「OK」をクリックします。
コンピュータ管理画面上のセキュリティプロファイルの項目に、適用したプロファイルの名前が表示さ
れます。
28
５．推奨設定検索
推奨設定検索は管理コンソールからの手動実行に加え、タスクを組む事により定期的に自動実行させる
ことができます。ここでは、定期的に実行するための自動実行設定について解説します。
5-1. DPI ルールの自動適用設定
本設定により、推奨設定検索を行いクライアントの脆弱性を発見した場合に、クライアントに対して自
動的に DPI ルールを適用することができます。
管理コンソールにログインし、画面左側の[Deep Packet Inspection]をクリックし、
「推奨設定」内の
「推奨設定の検索時に、推奨 DPI ルールをコンピュータに自動割り当て/割り当て解除:」にチェックを
入れ、
「保存」をクリックします。
※こちらの設定はセキュリティプロファイルに所属していないクライアント（セキュリティプロファイ
ルに所属していても、グローバル設定を継承する場合も含む）に適用されます
※クライアントの脆弱性の発見のみ行いたい場合には、チェックを入れないでください
※推奨設定検索と DPI ルールの適用を行うが、脆弱性を悪用する攻撃をブロックせず、ログのみ取得し
たい場合には、
「インライン DPI の動作」を「検出」に設定します
5-2. 推奨設定検索の自動実行設定
本設定により、推奨設定検索を定められたスケジュールで自動実行させることができます。
ここでは、例として、あらかじめ作成済のセキュリティグループ「システム部」に対して、毎週水曜日
の 11:00 から推奨設定検索を実行するための方法を記載します。スケジュールを決定する上での参考情
報として、セキュリティアップデートの更新周期は下記をご覧ください。
http://esupport.trendmicro.com/solution/ja-jp/1310135.aspx
(1) 脆弱性対策オプション管理コンソールの「システム」→「タスク」をクリックします。
(2) 「新規」をクリックし、
「新規予約タスク」をクリックします。
29
(3) 種類に「推奨設定についてコンピュータを検索」を選択し、「週単位」を選択し、「次へ」をクリッ
クします。
(4) 「1 週間毎」を選択し、
「水曜」を選択し、開始時刻を「11:00」として、「次へ」
をクリックします。
30
(5) 「セキュリティプロファイルを使用しているコンピュータ」を選択し、
「システム部」を選択し、
「次
へ」をクリックします。
※推奨設定検索のタスクは Corp.ドメインを対象として実施することも可能です
※小規模環境（例：100 クライアント以下）でセキュリティプロファイルを利用していない環境などで
は、
「すべてのコンピュータ」を選択することも可能です
(6) 完了をクリックして終了します。
※「８．サイジング」に記載している通り、一度に多数のクライアントが推奨設定の検索を行わないよ
うに設計を行ってください。
必要な数の推奨設定検索のタスクの設定が終了すれば、設定は終了です。必要に応じて下記に記載して
いる確認を行ってください。
31
32
5-3. 推奨設定のクリアの設定
推奨設定検索を手動実行、または定期的に実行する場合に必要となる、推奨設定をクリアする設定を行
います。本設定を実施しない場合には、クライアントの脆弱性検査を正しく検索できない場合がありま
す。推奨設定検索を週に 1 度実施する運用の場合、推奨設定のクリアする下記の実行スケジュールも週
に 1 度実施する設定を行ってください。
(1) [clearrecommendations.script]ファイルを下記 URL から任意の場所にダウンロードします。
http://files.trendmicro.com/jp/ucmodule/idf/15/tools/clearrecommendations.zip
※zip 形式で圧縮されていますので、ダウンロードした zip ファイルを解凍してください
(2) [clearrecommendations.script]ファイルを脆弱性対策オプションサーバの
<インストールフォルダ>\Scripts にコピーします。
※ <インストールフォルダ>は初期設定で下記となっております。
C:\Program Files\Trend Micro\OfficeScan\AddOn\Intrusion Defence Firewall
※インストール直後は[Scripts]フォルダが存在しないため、下記(3)～(5)の手順を実行してから(2)
の手順を実行してください。(3)～(5)の手順により[Scripts]フォルダが生成されます。
(3) 脆弱性対策オプションの管理コンソールから、
[システム]→[タスク] メニューで[新規予約タスク] をクリックします。
(4) 種類から [スクリプトの実行] を選択し、[次へ] をクリックします。
33
(5) 実行スケジュールを設定し、[次へ] をクリックします。
(6) 「スクリプト」から[clearrecommendations.script]を選択し、[次へ] をクリックします。
(7) 必要に応じて、タスクの名前を編集することができます。
「完了」をクリックすることにより、定期
的に推奨設定のクリアの設定が行われます。
34
６．その他の操作／設定
6-1. 手動でのセキュリティアップデート
(1) 脆弱性対策オプション管理コンソールの「システム」→「アップデート」をクリックします。
セキュリティアップデートの「ダウンロード」ボタンをクリックし、最新のセキュリティアップデート
(DPI ルールなど)があるか、トレンドマイクロの ActiveUpdate サーバに問い合わせます。
(2) ダウンロードが成功し、
「ここをクリックして」の部分をクリックして、セキュリティアップデート
を適用します。
35
(3) 「セキュリティアップデートの表示」をクリックすると上記のような画面が表示されます。
適用したいアップデート（適用済みにチェックが入っていないもの）を選択します。すぐに適用する場
合は、右クリック→「適用」を選択します。アップデート内容を確認したい場合は、右クリック→「表
示」を選択します。下記画面の「適用」をクリックし、セキュリティアップデートを適用することも可
能です。
36
37
6-2. 通知設定
イベント発生によるアラートの通知や、システムイベント通知を送る設定をします。
必要に応じて syslog や SNMP の設定を行ってください。
MIB ファイル (DeepSecurity.mib) 以下のパスにあります。
<\Trend Micro\OfficeScan\Addon\Intrusion Defense Firewall\util>
38
6-3. 定期バックアップの設定
ここでは、例として、毎月 1 日、2:00 にバックアップを定期的に取得する設定を行います。
(1) 脆弱性対策オプションの管理コンソールから、
[システム]→[タスク] メニューで[新規予約タスク] をクリックします。
(2) 種類から [バックアップ] 、[月単位]を選択し、[次へ] をクリックします。
(3) スケジュールの詳細を設定して、[次へ] をクリックします。
39
(4) バックアップファイルの出力先を指定して、[次へ] をクリックします。
※出力先は SQL サーバのバックアップディレクトリを指定します。通常以下の場所にあります。
C:\Program Files (x86)\Microsoft SQL Server\MSSQL.1\MSSQL\Backup
(5) 必要に応じて、タスクの名前を編集することができます。「完了」をクリックすることにより、
定期的にバックアップが行われます。
※バックアップファイルは IDFBackup.bak という名前で保存されます。バックアップファイルは
100MB を超えるファイルサイズとなります。
40
6-4. 推奨設定検索の手動実行手順
(1) [コンピュータ]の画面より、推奨設定を実行したいクライアントを選択して、
右クリック→[処理]→[コンピュータの推奨設定の検索] をクリックします。
(2) ステータスが「推奨設定の検索中」になりますので、終了するまでお待ちください。
41
6-5. 推奨設定検索の結果の確認手順
推奨設定検索を手動で実行、または自動で実行を行い、推奨設定検索が終了後に、対象となるクライア
ントを選択して、右クリック→[詳細]をクリックします。
クライアント詳細画面の、[Deep Packet Inspection]→[DPI ルール]をクリックし、表示フィルタとし
て「割り当てに推奨される設定の表示」をクリックします。
推奨設定の検索により割り当てが推奨される(＝脆弱性がある)DPI ルールが表示されます。
42
6-6. レポート作成機能の確認手順
サーバプラグインは、PDF また RTF の形式でレポートを生成します。
管理コンソールからレポート生成作業を行ってください。
レポート：DPI レポート
タイム：過去 24 時間
コンピュータ：すべてのコンピュータ
上記を選択し、レポートを作成します。
43
以下のようなレポートが作成されます。
44
７． DPI ルール動作確認テスト
下記製品 Q&A の手順により、カスタムルールを作成し、DPI ルールの動作確認テストが可能です。
http://esupport.trendmicro.co.jp/pages/JP-2077285.aspx
以下は動作確認の方法です。
(1) 管理コンソールにログオンします。
(2) コンピュータをクリックし、検証用の端末をダブルクリックします。
(3) [Deep Packet Inspection]→[DPI ルール] をクリックします。
(4) [新規]をクリックします。
(5) [一般]タブに以下を設定します。
･名前: 任意の名前(例. Hello World ) を設定します。
･アプリケーションの種類:"Web Client Common" を選択します。
(6) パケット内の文字列「Hello」を検出するように設定します。
ルールタブをクリックし、以下を設定します。
･署名: Hello を設定します。
･処理: ブロックさせる場合は、”パケットの破棄、接続のクローズ”、
ログだけ取得する場合は、"ログのみ" を選択します。
(7) OK をクリックします。
(8) 保存をクリックします。
(9) Web ブラウザを起動し、キーワード Hello で Web を検索します。
(10) Deep Packet Inspection→DPI イベントをクリックします。
(11) Hello World のイベントが存在するかどうかご確認ください。
※イベントが存在しない場合は、[今すぐイベントを取得]をクリックし、
イベントが表示されるかどうかご確認ください。
45
８．サイジング
脆弱性対策オプションを導入すると、Corp.サーバ上には、データベースとして利用するマイクロソフ
ト社の SQL Server Express 版と、脆弱性対策オプションサーバのモジュールの 2 つのコンポーネント
が新しく導入されます。Corp.サーバのシステム要件に加えて、これらが動作するためのリソースが必
要となります。
CPU に関しては、推奨設定検索時に Corp.サーバ側で脆弱性の有無を判断する処理を行います。
推奨設定検索時に多くの CPU 負荷がリソースを必要としますので、ウイルスバスター Corp.サーバの
CPU 数を増やすなどの検討を行ってください。また、推奨設定検索を一度に実行する対象クライアント
数はハードウェアスペックに依存しますが、目安として 100～150 台程度に抑えていただく事を推奨し
ます。
※ハードウェアスペックに依存しますが、推奨設定検索を実行すると、クライアント 1 台当たり、
数十秒～2,3 分程度処理に時間が必要であり、長時間 CPU 負荷が高い状態が続くのを防ぐため
※推奨設定の検索タスクを同時実行できるクライアント数は 100 台であるため
一度に実行する対象クライアント数を分割するためには、セキュリティプロファイル、または Corp.ド
メイン単位で定期的に実行するタスクを組むことができます。セキュリティプロファイルを利用した推
奨設定検索の設計例を次ページに記載します。
（推奨設定検索のタスクの組み方は「5-2. 推奨設定検索の自動実行設定」を参照してください）
46
メモリに関しては、Corp.サーバのシステム要件に加えて、データベースや脆弱性対策オプションサー
バが必要とするメモリ容量が必要となります。
・データベース（Express 利用時）は、最大でメモリを 1GB 利用
・脆弱性対策オプションサーバは、最大でメモリを 4GB（64 ビット OS 時）利用
（32 ビット OS 時は 1.4GB）
ディスク容量に関しては、脆弱性対策オプションと同時にインストールされる SQL Server Express
2005 では、最大 4 ギガバイトと制限されています。データベースには各種イベントログが格納されま
すが、一例として、クライアント台数 1000 台、イベント数が多い環境（クライアント 1 台あたり、1
日に DPI イベントが 100 回発生）の場合には、1 ヶ月で 1GB を超えるディスク容量が必要となります。
データベースの最大容量を超えてしまうと、システムが正常動作しませんので、クライアント数が多い
場合には、有償版の Microsoft SQL Server を利用することをご検討ください。または、ログの保存日
数を減らす設計を行い、最大容量を超えないような設計を行ってください。
（ログの保存日数の設定は「3-2.ログ保存期間の設定」を参照してください）
※SQL Server Express 2005 の DB は必ず SQL 本体の位置にかかわらず C ドライブに作成されるた
め C ドライブ上に 4GB の容量が必要となります。
47
９．よくある質問
下記によくある質問を記載しております。最新の Q&A は下記 URL から参照してください。
http://esupport.trendmicro.com/ja-jp/default.aspx
▼インストール／アンインストール関連
項目
リンク
インストール手順
http://esupport.trendmicro.com/solution/ja-jp/1312842.aspx
脆弱性対策オプション 1.5 のサーバプラグイン手動インストール
http://esupport.trendmicro.com/solution/ja-jp/1312843.aspx
手順
脆弱性対策オプション 1.5 Service Pack 1 のインストール手順
http://esupport.trendmicro.com/solution/ja-jp/1313863.aspx
脆弱性対策オプション 1.5 Service Pack 1 Patch1 のインストー
http://esupport.trendmicro.com/solution/ja-jp/1097774.aspx
ル / 適用手順
脆弱性対策オプションクライアントのリモートアクティベーショ
http://esupport.trendmicro.com/solution/ja-jp/1314005.aspx
ンについて
脆弱性対策オプションクライアントの新規インストールに失敗する http://esupport.trendmicro.com/solution/ja-jp/1313842.aspx
クライアントのインストール先の変更について
http://esupport.trendmicro.com/solution/ja-jp/1096518.aspx
SQL Server のデータベース移行手順
http://esupport.trendmicro.com/solution/ja-jp/1312678.aspx
IDF クライアントの自動配信について
http://esupport.trendmicro.com/solution/ja-jp/1313682.aspx
クライアントプラグインインストール時やアップデート時に必要と http://esupport.trendmicro.com/solution/ja-jp/1310175.aspx
なるサーバ - クライアントプラグイン間の名前解決について
クライアントプラグイン手動インストール手順
http://esupport.trendmicro.com/solution/ja-jp/1312897.aspx
クライアントの手動アンインストール方法について
http://esupport.trendmicro.com/solution/ja-jp/1314668.aspx
クライアントを手動アンインストールする方法 (コマンドライン)
http://esupport.trendmicro.com/solution/ja-jp/1308394.aspx
プラグインモジュールを Windows Server 2012 へインストールす http://esupport.trendmicro.com/solution/ja-jp/1097614.aspx
る方法
既にクライアントプラグインがインストールされている端末に対し http://esupport.trendmicro.com/solution/ja-jp/1313686.aspx
て同じクライアントプラグインを配信した場合どうなりますか
クライアントの同時インストールは出来ますか
http://esupport.trendmicro.com/solution/ja-jp/1313683.aspx
クライアントプラグインのインストール時などにネットワーク接続 http://esupport.trendmicro.com/solution/ja-jp/1311330.aspx
は切断されますか
48
▼機能／仕様
項目
リンク
サーバとクライアントプラグイン間の通信に名前解決は必要ですか http://esupport.trendmicro.com/solution/ja-jp/1310191.aspx
[推奨設定の検索] を行う時の注意点
http://esupport.trendmicro.com/solution/ja-jp/1313758.aspx
IDF の配信に関する仕様についてよくあるお問い合わせ
http://esupport.trendmicro.com/solution/ja-jp/1314009.aspx
エラーの消去のイベントについて
http://esupport.trendmicro.com/solution/ja-jp/1098087.aspx
OS 標準のファイアウォール機能の無効化について
http://esupport.trendmicro.com/solution/ja-jp/1313768.aspx
ログの削除方法
http://esupport.trendmicro.com/solution/ja-jp/1310932.aspx
サーバとクライアントプラグイン間の通信に名前解決は必要ですか http://esupport.trendmicro.com/solution/ja-jp/1310191.aspx
Deep Packet Inspection ルールでの推奨フラグ
http://esupport.trendmicro.com/solution/ja-jp/1311760.aspx
DPI ルールが対応する脆弱性情報につきまして
http://esupport.trendmicro.com/solution/ja-jp/1096741.aspx
Deep Packet Inspection ルールの Type について
http://esupport.trendmicro.com/solution/ja-jp/1310208.aspx
アラートとアラート通知について
http://esupport.trendmicro.com/solution/ja-jp/1098067.aspx
ディスクの空き容量のアラートについて
http://esupport.trendmicro.com/solution/ja-jp/1096628.aspx
使用するポート番号
http://esupport.trendmicro.com/solution/ja-jp/1308366.aspx
クライアントプラグインの配信について
http://esupport.trendmicro.com/solution/ja-jp/1097887.aspx
セキュリティアップデートの更新周期
http://esupport.trendmicro.com/solution/ja-jp/1310135.aspx
仮想パッチとは
http://esupport.trendmicro.com/solution/ja-jp/1096610.aspx
[推奨設定の検索] タスクを同時実行できるクライアント数につい
http://esupport.trendmicro.com/solution/ja-jp/1096612.aspx
て
[セキュリティプロファイルの割り当て]を同時に実行できるクライ
http://esupport.trendmicro.com/solution/ja-jp/1096613.aspx
アント数について教えてください
ステータス一覧と対応内容
http://esupport.trendmicro.com/solution/ja-jp/1313994.aspx
DPI ルールによる VPN 通信の検出について
http://esupport.trendmicro.com/solution/ja-jp/1097031.aspx
▼操作方法／設定
項目
リンク
イベントの通知方法
http://esupport.trendmicro.com/solution/ja-jp/1310062.aspx
オフライン環境でアップデートする方法
http://esupport.trendmicro.com/solution/ja-jp/1313292.aspx
Deep Packet Inspection の動作確認方法
http://esupport.trendmicro.com/solution/ja-jp/1310142.aspx
IDF でアップデートの配信数を制限する方法
http://esupport.trendmicro.com/solution/ja-jp/1314007.aspx
アクティベーションコードの確認方法について
http://esupport.trendmicro.com/solution/ja-jp/1313528.aspx
クライアントのルールを初期化する方法
http://esupport.trendmicro.com/solution/ja-jp/1096745.aspx
49
▼動作トラブル
項目
リンク
脆弱性対策オプション (IDF) サーバにて、CPU の使用率が高い、
http://esupport.trendmicro.com/solution/ja-jp/1096581.aspx
動作が遅くなる現象について
データベースが肥大化した際の対応方法について
http://esupport.trendmicro.com/solution/ja-jp/1098123.aspx
脆弱性対策オプションの管理コンソールが開けない場合の確認方法 http://esupport.trendmicro.com/solution/ja-jp/1096704.aspx
InternetExproler (IE) 11 で Web コンソールを開くことができな http://esupport.trendmicro.com/solution/ja-jp/1102171.aspx
い事象について
ファイアウォールを使用していないのにファイアウォールイベント http://esupport.trendmicro.com/solution/ja-jp/1312517.aspx
が記録される
「...システムのデータベース接続が失われている可能性がありま
http://esupport.trendmicro.com/solution/ja-jp/1102170.aspx
す。...」と表示され設定が保存できない事象について
ステータスが変更しない場合、もしくは、インストールできない場 http://esupport.trendmicro.com/solution/ja-jp/1096705.aspx
合
クライアントコンソールの"プラグインマネージャー" に脆弱性対 http://esupport.trendmicro.com/solution/ja-jp/1313771.aspx
策オプションが表示されない
「オフラインの DPI ルールエンジン」「アップデートの失敗（クラ
http://esupport.trendmicro.com/solution/ja-jp/1098124.aspx
イアントプラグインエラー）」
「オフラインのファイアウォールルー
ルエンジン」の複数のエラーが表示される場合の対処方法について
「セキュリティ設定エラー - 設定のコンパイルでエラーが発生し
http://esupport.trendmicro.com/solution/ja-jp/1097105.aspx
ました」が発生する
問題発生時の調査で必要となる情報の一覧(管理コンソールに関す
http://esupport.trendmicro.com/solution/ja-jp/1308467.aspx
る問題)
問題発生時の調査で必要となる情報の一覧(接続に関する問題)
http://esupport.trendmicro.com/solution/ja-jp/1308464.aspx
クライアントの診断パッケージを手動で作成する方法
http://esupport.trendmicro.com/solution/ja-jp/1101578.aspx
クライアントプラグインのデバッグログを出力する方法
http://esupport.trendmicro.com/solution/ja-jp/1310980.aspx
脆弱性対策オプション問題発生時の調査で必要となる情報の一覧
http://esupport.trendmicro.com/solution/ja-jp/1314653.aspx
50

Download Report