もくじ
仮想パッチ
仮想パッチとは
ソフトウェアベンダーが提供する本来のセキュリティパッチを早急に適用する事が難しい環境へ、暫定的なセキュリティを担保するためのソリューションです。 ルールに基づいて脆弱性を突く攻撃パケットを検知し、ブロックすることにより、お客様の環境を保護します。
ご参考:侵入防御ルールの「種類」について
仮想パッチの仕組み
本来のセキュリティパッチは脆弱性のあるソフトウェアそのものにインストールするため、適用の工数および慎重な事前検証が必要ですが、仮想パッチはルールとしてDeep Securityエージェントに適用されますので、対象のソフトウェアにインストールすることなく、保護可能です。 また、予期せぬ事態が生じた場合のロールバックも容易に実現できます。
メーカーの正規パッチとの違い
仮想パッチを適用した状態でも、ソフトウェア自体の潜在的な問題は残ったままとなり、根本的な解決策とはなり得ません。
さらに、仮想パッチはネットワーク経由の脆弱性のみ対応可能であるため、ローカル上で完結する攻撃手段や、ネットワーク経由の攻撃が可能となる脆弱性であっても具体的な攻撃手法等の情報が確立されていない脆弱性への対応は困難です。
正式なメーカー対応パッチの適用と併用して、仮想パッチをご利用ください。
侵入防御機能
侵入防御機能とは
侵入防御機能は、SQLインジェクション攻撃、クロスサイトスクリプティング攻撃、およびその他のWebアプリケーションの脆弱性に対する脆弱性攻撃からコンピュータを保護する機能です。
アプリケーションやOSの既知の脆弱性に対してメーカーの提供する正規パッチが利用できない場合において、侵入防御ルール(仮想パッチ) を適用することで、その脆弱性を悪用したネットワーク経由の攻撃を防ぐことができます。 このため、脆弱性を修正するパッチがリリースされ、適用されるまで、コンピュータを脆弱性から保護することができます。
侵入防御機能の適用方法
対象のサーバのOSやミドルウェアをチェックし必要となるシグネチャー(仮想パッチ)を自動的に適用します。 推奨設定の検索を活用することで、ネットワーク型IDS/IPSに比べて容易な運用ができます。
侵入防御機能の設定方法、および侵入防御ルール(仮想パッチ)の適用については以下の関連リンクを参照ください。
※オンラインヘルプセンターの場合は、左上のプルダウンからご利用のバージョンを選択してください。
侵入防御ルール(仮想パッチ)適用におけるトラブルシューティングについては以下の関連リンクを参照ください。
侵入防御機能(仮想パッチ)による脆弱性対策
侵入防御ルールの一覧
適用されている侵入防御ルール(仮想パッチ)の一覧をエクスポートするには、侵入防御(Deep Packet Inspection)ルールリストのエクスポートを参照ください。
侵入防御ルールに対応したアプリケーションの一覧
現在は対応アプリケーションの一覧を公開していません。アプリケーションの重要度や普及度に応じてルールをリリースしています。
Trend Micro Deep SecurityおよびDPIルール等の関連情報にて、ご利用のアプリケーションに関するルールがあるかご確認ください。
侵入防御ルール(仮想パッチ)の更新情報ページとその使い方
侵入防御ルール(仮想パッチ)の更新情報については、以下のリンク先をご確認ください。
特定のCVEに対応した侵入防御ルールを確認する場合は、以下リンク先の検索窓に、確認したいCVE番号をご入力ください。
ご参考:Trend Micro Deep Security および DPIルール等の関連情報
侵入防御ルール(仮想パッチ)の作成リクエスト
既存のルールでは対応できない脆弱性からアプリケーションを保護するために新しいルールが必要な場合、サポートセンターへリクエストできます。 ただし、ルールを作成できるのは以下の全ての条件に合致している必要がありますので、ご希望に沿えない場合がある事をご了承ください。
- 保護対象のアプリケーションが一般的に広く流通されており、容易に入手可能
- 該当の脆弱性がCVE(Common Vulnerabilities and Exposures)に登録されているか、もしくは公的機関によって公表されている
- 該当の脆弱性をネットワークから攻撃可能であり、具体的な攻撃手法が確立されている
上記の全てを満たしている場合でも、影響範囲や緊急性等を考慮した結果としてルールを作成する必要が無いと判断した場合や、ルールベースでの保護が技術的に困難な場合には作成をお断りさせて頂きます。予めご了承ください。