ビュー:
詳細すべて確認

アップグレード前の事前確認

DS 20.0 の新機能

Deep Security ヘルプセンター「新機能」 をご確認ください。

システム要件/互換性

以下にて事前にDS20.0の動作要件をご確認ください。

  1. Deep Security のシステム要件の確認

    Deep Security Manager (DSM) 20.0へアップグレードする際にTLS v1.2のチェックが必須となりました。
    DSM側でのTLS v1.2の利用の強制 はまだ必須ではありませんが、システム保護の観点から中長期的には実施を検討してください。

    トレンドマイクロでは、Microsoft 社からの要請に基づき、2023年2月中旬より、Azure Code Signing (ACS) を使用して各製品モジュールの署名を行っています。そのため、ご利用の Microsoft Windows に応じてセキュリティパッチを適用いただく必要があります。詳細はDeep Security 及び Cloud One - Endpoint and Workload Security の Azure Code Signing に関する詳細について をご覧ください。

  2. VMware製品との互換性の確認(DSVA環境のみ)

    アップグレード時にVMwareコンポーネントのバージョンアップも実施される場合、NSX ManagerやvCenter,ESXi,VMware ToolsといったVMware側各コンポーネントの間の互換性を事前にご確認ください。

アップグレード手順

DS 20.0へのアップグレード手順は以下の通りです。ご利用いただいている環境に応じて作業が異なります。〇は必須作業です。△はお客様のご利用の環境に応じて必要な場合に行う作業となります。各作業をご確認の上、実施可否をご判断ください。

No アップグレード手順 DSA環境 DSVA環境
NSX-T NSX-V vCloud Networking and Security
NSX Manager
6.3未満 6.3以上
1 DSVAのアンインストール -
2 vCenter/NSX Managerの登録解除 -
3 スキーマアップグレード
DSMを9.6 SP1P1以上にアップグレード		 -
4 DSM、DSR、DSA、DSVAを
11.0以上にアップグレード
5 DSM 20.0にアップグレード
6 vCenter/NSX Managerの登録 -
7 各コンポーネントのインポート
8 DSR 20.0にアップグレード
9 DSVAの展開/仮想マシンの有効化 -
10 DSA 20.0にアップグレード
11 DSVAのアップグレード - - -

アップグレードに関するご留意事項

  • アップグレード時の再起動有無

    Deep Securityのアップグレード時におけるOS再起動の有無について」をご確認ください。

  • vCenter/NSX Manager側に表示されるDSのバージョン

    NSX Manager上に表示されているDeep Securityのバージョンは初期に登録した際のバージョンとなります。 そのため、DSMをアップグレード後も以前のバージョンが表示される場合がございます。以前のバージョンが表示されている場合でもDSVAの動作上に影響はございません。バージョン表示を同期させる場合は一度DSMをvCenter/NSX Managerの同期を解除いただき、再度登録することで表示が同期されます(詳細はこちら)。 なお、同期を解除した場合展開中のDSVAは削除されます(補足:NSX-V環境で展開されているGuest Introspectionは削除されません)。そのため、再同期後にDSVAの再配信および仮想マシンの有効化が必要になります。

  • データベースのバックアップ

    アップグレード前には事前にデータベースのバックアップを取得いただくことを推奨しております。詳細は製品Q&A:[HowTo] バックアップまたはリストアする方法を参照ください。

  • 証明書の導入(特定のDSA環境のみ)

    不正プログラム対策機能を利用するWindows版DSAの場合、必要な証明書が導入されていない環境(インターネットに接続できない環境など)では、不正プログラム対策機能用ドライバのアップグレードに失敗します。
    そのため、DSAアップグレードの前に必要な証明書を導入ください。
    必要な証明書は製品Q&A:Updating the VeriSign, DigiCert, USERTrust RSA certificate on Deep Security (英語版のみとなります)から入手可能です。

    ※現在導入されている証明書の確認方法(例)
    certlm.mscを起動し、[信頼されたルート証明機関]-[証明書]より該当の証明書有無を確認可能です。

  • SHA-2 コードサイニングをサポートする OS パッチの適用(特定のDSA環境のみ)

    SHA-2 コードサイニング未対応のWindows OSの場合、必要な更新プログラムが適用されていない環境(インターネットに接続できない環境など)では、DSA20.0 にアップグレードを行うと「不正プログラム対策エンジンがオフライン」、「侵入防御エンジンがオフライン」等の異常が発生します。
    そのため、DSAアップグレードの前に必要な更新プログラムを適用ください。
    詳細は製品Q&A:SHA-2 コードサイニング未対応のWindows OS における DSA インストール/アップグレード失敗について をご確認ください。

  • 複数ノード(マルチノード)のDSMをご利用の場合

    各ノードでの作業などが必要になります。詳細はヘルプセンターの「マルチノード配置でマネージャをアップグレードする」をご覧ください。

  • DSM 20.0.789以上のビルドをご利用ください

    ファイアウォール、侵入防御、変更監視、セキュリティログ監視機能をご利用の場合、DSM 20.0.789未満のDSMビルドでは新しいルールアップデートをご利用いただけません。

    詳細はDSM 20.0.789未満でのDSRU 24-024以降のルール適用によるCPU使用率高騰: Deep Securityをご参照ください。

    なお、最新のDSMビルドでは既知の不具合、脆弱性に対応しておりますので、弊社としては、最新のDSMビルドをご利用いただくことを推奨しております。

アップグレード手順の詳細

1.DSVAのアンインストール

vCloud Networking and Security(vCNS)環境に関して

vShield Endpointは既にEOS済の製品となり、DSM 10.0以上の環境では既にサポートされておりません(詳細はこちら)。そのため、現在vShield Endpoint環境にてDSVAによるエージェントレス保護を実現する場合はNSX-V/NSX-T環境への移行が必要となります。

VMwareコンポーネント移行に際して、vShield Endpoint環境からDSVAをアンインストールする方法につきましては製品Q&A:Deep Security Virtual Appliance のアンインストール(vShield環境)を参照ください。アンインストール完了後、DSMとvCenterとの同期を解除いただき、VMware環境の移行を実施ください。なお、VMwareコンポーネント側のバージョンアップに関しましてはお手数ではございますがVMware社様へお問い合わせください。

NSX-V 環境に関して

NSX-V Managerが6.3未満の環境の場合、一度DSVAを削除しDSMをvCenterとNSX-V Managerからアンインストール(vCenter/NSX Managerの登録解除)した上でNSX-V Managerを6.3.X以上にバージョンアップいただく必要があります(詳細はこちらのVirtual Applianceをアップグレードするを参照ください)。

NSX-T環境に関して

ドキュメント:アプライアンスをバージョンアップする前ににてNSX-Tの再登録が必要ある場合はアンインストール(vCenter/NSX Managerの登録解除)を行う必要があります。

2.vCenter/NSX Managerの登録解除

「1.DSVAのアンインストール」にてアンインストールを実施した場合はvCenter/NSX Managerの登録解除を行う必要があります。「1.DSVAのアンインストール」を実施していない場合は不要となりますがこちらの既知問題が発生いたしますため、本問題の回避をご希望の場合は一度登録解除を行う必要があります。

登録解除手順はNSX環境からのDeep Securityのアンインストールを参照ください。

登録を解除した場合は展開中のDSVAは削除され、保護下の仮想マシンは無効化状態となります。vCenter/NSX Managerの再登録後にDSVAの配信および仮想マシンの有効化が必要になりますことをご留意ください。

3.スキーマアップグレード/9.6 SP1P1以上にアップグレード

DSM 9.6 SP1P1(Build 9.6.3400)未満からDSM11.0へアップグレード可能なバージョンである9.6 SP1P1(Build 9.6.3400)以上へアップグレードするにはスキーマアップグレードが必要となります。スキーマアップグレードの方法に関してはDSMデータベーススキーマアップグレード方法を参照ください。ご利用のビルドを確認する場合はDSM管理コンソール上部の[サポート情報]>[バージョン情報]をご確認ください。

スキーマアップグレードを実施後、DSMを9.6 SP1P1(Build 9.6.3400)以上にアップグレードください。アップグレード方法はDeep Security 9.6 へのアップグレードについてを参照ください。

4.DSM、DSR、DSA、DSVAを11.0以上にアップグレード

DSM20.0に直接アップグレード可能な11.0以上までDSMをアップグレードします。以下のアップグレードガイドブックを参考にDSMを11.0以上までアップグレードください。 DSMのバージョンが現在9.6の場合は11.0まで、現在10.0の場合は11.0か12.0のいずれかにアップグレード可能です。

なお、DSAのアップグレードは2世代前のバージョンからのサポートとなっております(詳細はこちら)。そのため、DSRおよびDSAに関しましてもこのタイミングにて11.0以上へのアップグレードを実施ください。

DSVAのアップグレードに関しましては"組み込みのAgent"のアップグレードはDSAと同様に2世代前のバージョン(DS 11.0)からのアップグレードのサポートとなっております。 "Appliance SVM"のアップグレードは2世代以上前からのアップグレードをサポートしております("Appliance SVM"と"組み込みのAgent"アップグレードの詳細は[11.DSVA 20.0へのアップグレード]を参照ください)。 3世代以上前のバージョンをご利用の場合や[2.vCenter/NSX Managerの登録解除]を行っている場合、[11.DSVA 20.0へのアップグレード]を行わない場合はこのタイミングではDSVAのアップグレードは行わず[9.DSVAの展開/仮想マシンの有効化]以降のタイミングでDSVAの配信の実施にてDSVA 20.0の展開を行うことが可能です。

複数ノード(マルチノード)のDSMをご利用の場合、各ノードでの作業などが必要になります。
詳細はヘルプセンターの「マルチノード配置でマネージャをアップグレードする」をご覧ください。

5.DSM 20.0にアップグレード

事前に最新のインストーラをDeep Security ヘルプセンターからダウンロードください。

Windows版

  1. DS20.0 の DSM 向けのインストーラ(Manager-Windows-20.0.xxxx.x64.exe)を準備します。

  2. DSMサーバ上でインストーラを管理者権限で実行します。

  3. 言語の選択画面が表示されます。「日本語」を選択し、「OK」をクリックします。

  4. セットアップウィザード画面が表示されます。「次へ」を選択します。

  5. 使用許諾契約書が表示されますので、「トレンドマイクロの使用許諾契約の全条項に同意します」のチェックボックスをオンにし、「次へ」を選択します。

  6. 「既存のインストールをアップグレード」を選択し、「次へ」を選択します。

  7. 「システムチェックを開始」を選択し、システムチェックを開始します。

  8. システムチェックが問題無く完了したことを確認し、「Deep Security Manager をアップグレード」を選択します。

    • DS20.0 でサポートされる無償版データベースについてはこちらをご確認ください。

    • システムチェック時に何らかのエラーが発生した場合は、「Deep Security Manager をアップグレード」のボックスがグレーアウトします。表示されたエラーを解決した後、再度システムチェックを実施してください。

  9. マスターキー生成オプションが表示されます。必要に応じて設定し、「次へ」をクリックします。

    マスターキーについては、こちらのマスターキーの設定の項をご参照ください。

  10. Deep Securty Managerのインストール概要を確認する画面が表示されます。内容を確認して「インストール」をクリックします。

  11. Trend Micro Deep Securty Managerサービスが停止されます。

  12. 以前のバージョンがアンイストールされます。

  13. ファイルが解凍されます。

  14. 既存データベースのスキーマ分析が開始されます。

  15. Deep Securty Managerが開始されます。

  16. インストール完了画面が表示されます。「終了」をクリックします。

  17. DSMの管理コンソールから、[サポート情報]-[バージョン情報]を選択します。

Linux版

 

  1. DS20.0のDSM向けのインストーラ(Manager-Linux-20.0.xxxx.x64.sh)を準備します。

  2. DSM20.0を上書きインストールします。

    コマンド例(GUI環境):
     # ./Manager-Linux-20.0.xxxx.x64.sh

    なお、CLI環境の場合は -q を追加することで、サイレントインストールによるアップグレードも可能となります。

    コマンド例(CLI環境):
     # ./Manager-Linux-20.0.xxxx.x64.sh -q -console -Dinstall4j.language=ja

    また、-t を追加することで、実際のインストールを実行せずに、導入環境がインストール要件を満たしているかどうかを確認し、確認結果をレポートに出力することが可能となります。
    コマンドの詳細はこちら をご確認ください。

  3. アップグレード完了後、DSMの管理コンソールから、[サポート情報]-[バージョン情報]を選択します。

  4. バージョンが「20.0.xxx」となっていることを確認します。

 

6.vCenter/NSX Managerの登録

「2.vCenter/NSX Managerの登録解除」にてDSMとvCenter/NSX Managerの登録解除を行っている場合はこちらの手順を参照いただき、vCenterとNSX-V もしくはNSX-T ManagerをDSMに登録ください。

7.各コンポーネントのインポート

[DSM管理コンソール]>[管理]>[アップデート]>[ソフトウェア]>[ローカル]に使用するソフトウェアをインポートします。対象のソフトウェアとドキュメントは以下の3点となります。

  1. Deep Security Agent(ドキュメント:Deep Security Agentソフトウェアの入手)

  2. カーネルサポートパッケージ(ドキュメント:Deep Security AgentのLinuxカーネルサポート

  3. DSVAのOVFファイル(ドキュメント:アプライアンスをインポートする

  • 1に関して、Deep Security ヘルプセンターからダウンロードし、[DSM管理コンソール]>[管理]>[アップデート]>[ソフトウェア]>[ローカル]にて直接インポートすることも可能です。

  • 2に関してはLinux版 Agentをご利用の環境が該当します。なお、カーネルサポートパッケージに関する補足はこちらの製品Q&Aを参照ください。

  • 3に関してはDSVA環境のみが該当します。DSVA環境でない場合はスキップください。

8.DSR 20.0にアップグレード

  1. DSRを20.0にアップグレードします。管理コンソールの[コンピュータ]タブより対象のDSRを右クリックし、「Agentソフトウェアのアップグレード…」を選択します。

  2. インストールするAgentソフトウェアのバージョンについて、「プラットフォーム用の最新バージョンを使用(20.0.0.xxx)となっていること」を選択し、「次へ」を選択します。

    アップグレード前に、アップグレード後のモジュール(DSA20.0のモジュール) がDSMにインポートされている必要があります。

  3. 実行スケジュールを選択し、「OK」を選択します。
  4. アップグレード中は、「アップグレードを処理中」の表示が管理コンソールの[コンピュータ]タブから確認できます。

  5. DSR20.0へのアップグレード後、[バージョン]列より「20.0.0.xxx」と表示されていることを確認します。

    DSAのアップグレード後、ドライバのアップデートのため、DSAのOS再起動後に全てのコンポーネントのアップグレードが完了する場合があります

9.DSVAの展開/仮想マシンの有効化

「6.vCenter/NSX Managerの登録」を行った場合はDSVAが配信されていない状態となっておりますためDSVAの配信を実施ください。配信手順はDSVA環境のトラブルシューティングガイドのDSVAの再配信方法を参照ください。 DSVAの配信完了後は管理下のコンピュータは非管理対象となっておりますため、以下の手順を参照いただき有効化を実施ください。

  • NSX-V環境用手順 ・・・ 「手順8: 有効化とポリシーの割り当てを開始する」以降の実施
  • NSX-T環境用手順 ・・・ 「アクティベーションの設定」 > 「アクティベーションおよびポリシーの割り当ての実行」以降の実施

配信前にDSVAのサイジングが可能です。NSX-T 3.0環境の場合は配信時にNSX-Tの管理コンソールから使用するOVFファイルを選択可能です。NSX-T 3.0未満およびNSX-V環境では アプライアンスのOVFの場所を設定するにて使用するOVFファイルを予め選択することが可能です。なお、NSX-V環境では Deep Security Virtual Applianceのメモリ割り当ての手順にてより細かなリソースの設定が可能となります(NSX-T環境では不可となります)。
 

10.DSA 20.0にアップグレード

DSAのアップグレード手順はDSRと同様になりますので、手順は「8.DSR 20.0にアップグレード」を参照ください。

11.DSVA 20.0へのアップグレード

Deep Security Virtual Applianceのバージョンアップを参照いただき、DSVAのアップグレードを実施ください。

DSVAのアップグレードには以下の2種類があります。

  • Appliance SVMのアップグレード(使用しているOVFファイル自体をDS20のものに置き換え)

  • 組み込みのAgentのアップグレード(DSVA内部のDSAをアップグレード)

ドキュメント:Applianceをアップグレードするの方法1/方法2は「Appliance SVMのアップグレード」に該当します。オプション3は「組み込みのAgentのアップグレード」に該当します。 「6.vCenter/NSX Managerの登録」を行った場合はDSMにインポートされております最新のSVMが配信されます。「6.vCenter/NSX Managerの登録」を未実施の場合は既存のSVMが稼働しております。SVMおよびAgnetは最新版をご利用いただくことを推奨しております(参考)ため、アップグレード完了後は原則として「Appliance SVMのアップグレード」を実施をいただければと存じます。
 

DSVA による保護対象の Windows 仮想マシンがある場合は、Notifier のアップグレードを行います。

  1. 旧バージョンの Notifier をアンインストールします。
  2. 20.0 の Notifier をインストールします。

万が一アップグレードに失敗した場合や一斉にSVMのアップグレードを行う場合は該当のDSVAを再配信の実施によりアップグレード後のDSVAが配信可能となります。DSVAの再配信につきましてはDSVA環境のトラブルシューティングガイドを参照ください。 留意点として、再配信の対象となる配下の仮想マシンは無効化されますので、DSVAの配信後に別途有効化いただく必要があります。

その他

資料集

ロールバックする場合

アップグレード後に問題が発生した場合

以下をご確認ください。
不正プログラム対策エンジンオフラインが発生する場合 :「Deep Security Agent のインストール直後から[不正プログラム対策エンジンがオフライン]のステータスになる」
侵入防御エンジンオフライン/ファイアウォールエンジンオフラインが発生する場合:「SHA-2 コードサイニング未対応のWindows OS における DSA インストール/アップグレード失敗について 」
キーワード: HCS