はじめに
本ページでは、Deep Securityにおける不正プログラム検索の各機能紹介や推奨設定方法をご案内しております。
Deep Security 不正プログラム対策機能の導入や運用の見直しを行う際に是非お役立てください。
Deep Security 不正プログラム対策機能の導入や運用の見直しを行う際に是非お役立てください。
※Step 3では、保護対象の環境に合わせて Aまたは Bをご確認ください。
各Stepの詳細(目次)はこちら
Step 1. 不正プログラム検索の種類や機能のご紹介
Deep Securityにおける不正プログラム検索の種類や検索機能は以下の通りです。
リアルタイム検索
実行中のプロセスやI/Oイベントを継続的に監視します。
手動検索
コンピュータ上の検索対象すべてのプロセスとファイルを対象に検索を実行します。
任意のタイミングで[不正プログラムのフル検索]をクリックしたときに実行されます。
任意のタイミングで[不正プログラムのフル検索]をクリックしたときに実行されます。
予約検索
コンピュータ上の検索対象すべてのプロセスとファイルを対象に検索を実行します。
[コンピュータの不正プログラムを検索]の予約タスクを作成することで指定した日時に検索を実行することが可能です。
[コンピュータの不正プログラムを検索]の予約タスクを作成することで指定した日時に検索を実行することが可能です。
クイック検索
コンピュータ上の重大なシステム領域のみを対象に検索を実行します。
クイック検索は Windows OSのみ実行可能です。
クイック検索は Windows OSのみ実行可能です。
スマートスキャン
スマートスキャン機能により、トレンドマイクロのSmart Protection Networkを利用してローカルのパターンファイルのサイズを抑え、AgentとApplianceで必要なアップデートのサイズおよび数を削減します。
スマートスキャンが有効になっている場合、Agentは不正プログラムパターンファイルの完全バージョンではなく、より小さなサイズのバージョンをSmart Protection Serverからダウンロードします。
このサイズの小さいパターンファイルは、ファイルが「安全を確認済み」か「危険の可能性あり」かを迅速に特定します。
「危険の可能性あり」とみなされたファイルは、Trend Micro Smart Protection Serverに保管されている大容量の完全なパターンファイルと照合され、危険の有無が確実に判定されます。
スマートスキャンが有効になっている場合、Agentは不正プログラムパターンファイルの完全バージョンではなく、より小さなサイズのバージョンをSmart Protection Serverからダウンロードします。
このサイズの小さいパターンファイルは、ファイルが「安全を確認済み」か「危険の可能性あり」かを迅速に特定します。
「危険の可能性あり」とみなされたファイルは、Trend Micro Smart Protection Serverに保管されている大容量の完全なパターンファイルと照合され、危険の有無が確実に判定されます。
スマートスキャンには下記の利点があります。
- 脅威のパターンは 1時間に1回 更新され、新たな脅威が素早くブロックされます
- パターンファイルのアップデートで消費される ネットワーク帯域幅が削減されます
- クライアントにおける カーネルメモリ消費量が低下します
Trend Micro Smart Protection NetworkまたはSmart Protection Serverに接続できることが必要となります。
機械学習型検索
Deep Securityは、機械学習型検索により、未知の脅威とゼロデイ攻撃に対する不正プログラム対策保護を強化します。
トレンドマイクロの機械学習型検索では、デジタルDNAフィンガープリント、APIマッピング、その他のファイル機能を使用して、高度な機械学習技術により脅威情報を関連付け、詳細なファイル分析を実行することで新たなセキュリティリスクを検出します。
機械学習型検索は、フィッシングやスピアフィッシングなどの手法を用いた標的型攻撃によるセキュリティ侵害に対する保護に効果的です。
トレンドマイクロの機械学習型検索では、デジタルDNAフィンガープリント、APIマッピング、その他のファイル機能を使用して、高度な機械学習技術により脅威情報を関連付け、詳細なファイル分析を実行することで新たなセキュリティリスクを検出します。
機械学習型検索は、フィッシングやスピアフィッシングなどの手法を用いた標的型攻撃によるセキュリティ侵害に対する保護に効果的です。
Trend Micro Smart Protection Networkに接続できることが必要となります。
また、過検知が発生する可能性がございますので、十分な検証を行ってください。
挙動監視機能
OSまたはインストールされたソフトウェアに対して不審な変更が行われていないかどうかを監視し、不正プログラムやランサムウェアの検出および駆除率を向上させることができます。
この設定を適用すると、パターンファイルとの照合による不正プログラムの検出にとどまらず、パターンファイルにまだ追加されていない新たな不正プログラムを含んでいる可能性がある不審なファイル (ゼロデイ攻撃) も特定できます。
この設定を適用すると、パターンファイルとの照合による不正プログラムの検出にとどまらず、パターンファイルにまだ追加されていない新たな不正プログラムを含んでいる可能性がある不審なファイル (ゼロデイ攻撃) も特定できます。
Trend Micro Smart Protection Networkに接続できることが必要となります。
また、過検知が発生する可能性がございますので、十分な検証を行ってください。
プロセスメモリ検索機能
リアルタイムでプロセスメモリを監視し、Trend Micro Smart Protection Networkと連携した追加のチェックを実行することにより、不審なプロセスが既知の不正なプロセスであるかどうかを判別します。
プロセスが不正である場合、プロセスは強制終了されます。
プロセスが不正である場合、プロセスは強制終了されます。
Trend Micro Smart Protection Networkに接続できることが必要となります。
また、過検知が発生する可能性がございますので、十分な検証を行ってください。
Step 2. [不正プログラム検索設定]の必須設定項目の確認
[不正プログラム検索設定]は、不正プログラム検索の動作を制御する一連のオプションです。
設定した[不正プログラム検索設定]をポリシーまたは特定のコンピュータに適用して不正プログラム対策機能の設定を反映させます。
こちらの項目では、必須となる設定項目をご紹介します。
設定した[不正プログラム検索設定]をポリシーまたは特定のコンピュータに適用して不正プログラム対策機能の設定を反映させます。
こちらの項目では、必須となる設定項目をご紹介します。
[不正プログラム検索設定]の選択
対象コンピュータが利用するポリシーに適用したい[不正プログラム検索設定]を選択、または作成します。
[不正プログラム検索設定]の新規作成手順
- DSMコンソールの [ポリシー]-左ペイン[共通オブジェクト]-[その他]-[不正プログラム検索設定]を選択します。
- [新規]のプルダウンメニューより、「新規の不正プログラムのリアルタイム検索設定」または「新規の不正プログラムの手動/予約検索設定」を選択します。
- [新規の不正プログラム検索設定のプロパティ画面]より[名前]を設定し[OK]を選択します。
- [不正プログラム検索設定]が作成されたことを確認し、以降の手順にて設定を行います。
検索除外
保護対象コンピュータを安定して稼働させるために、安全と分かっているファイル、一時ファイルや頻繁に更新されるファイルの検索除外を設定します。
検索除外を設定することにより、I/Oが高いファイルに対するリアルタイム検索の除外、手動検索、予約検索での検索時間短縮により、パフォーマンスが改善します。
検索除外を設定することにより、I/Oが高いファイルに対するリアルタイム検索の除外、手動検索、予約検索での検索時間短縮により、パフォーマンスが改善します。
- ファイルおよびディレクトリの検索除外
[ファイルリスト]、[ディレクトリリスト]、[ファイル拡張子リスト]を用いて検索除外設定を行います。
メリット:
特定のファイルを明示的に除外することが可能です。 [ディレクトリリスト]、[ファイル拡張子リスト]を用いることで、安全と分かっているファイルが配置されているディレクトリや特定の拡張子をもつファイルを一括で除外することができます。
特定のファイルを明示的に除外することが可能です。 [ディレクトリリスト]、[ファイル拡張子リスト]を用いることで、安全と分かっているファイルが配置されているディレクトリや特定の拡張子をもつファイルを一括で除外することができます。
デメリット:
除外対象であるexeファイルのプロセスが除外対象に含まれていないファイルへアクセスした際に発生する検索を除外することはできません。
除外対象であるexeファイルのプロセスが除外対象に含まれていないファイルへアクセスした際に発生する検索を除外することはできません。
設定方法
- DSMコンソールの [ポリシー]-左ペイン[共通オブジェクト]-[その他]-[不正プログラム検索設定]を選択します。
- ポリシーに適用する[不正プログラム検索設定]をダブルクリックします。
- [不正プログラム検索設定]のプロパティ画面より、[検索除外]タブを選択します。
- [ディレクトリリスト]のチェックボックスにチェックを入れ、プルダウンメニューから[新規]をクリックします。
- [新しいディレクトリリスト]のプロパティ画面より、[名前]を設定し、[ディレクトリ]項目にて対象ディレクトリのパスを追加した後、[OK]をクリックして保存します。
- 同様に、[ファイルリスト]、[ファイル拡張子リスト]を設定します。
リアルタイム検索のみ、[プロセスイメージファイルリスト]を用いたプロセスの検索除外を設定できます。
詳細は次項の「プロセスの検索除外」をご参照ください。
- [不正プログラム検索設定]のプロパティ画面にて[適用]を選択し、[OK]をクリックします。
- プロセスの検索除外
プロセス除外はリアルタイム検索によってパフォーマンスに影響が出てしまい、ファイルI/Oが多いプロセスを除外したいというような場合に設定いただくことでパフォーマンス改善が見込めます。
リアルタイム検索のみ設定が可能となり、[プロセスイメージファイルリスト]を用いて検索除外設定を行います。
リアルタイム検索のみ設定が可能となり、[プロセスイメージファイルリスト]を用いて検索除外設定を行います。
メリット:
プロセス除外はアプリケーションが頻繁にアクセスするファイルの特定が困難な場合等に用いられる除外方法であり、[プロセスイメージファイルリスト]に登録されたファイルは、対象プロセス自身の他、対象プロセスがアクセスするあらゆるファイルも検索除外対象となります。
プロセス除外はアプリケーションが頻繁にアクセスするファイルの特定が困難な場合等に用いられる除外方法であり、[プロセスイメージファイルリスト]に登録されたファイルは、対象プロセス自身の他、対象プロセスがアクセスするあらゆるファイルも検索除外対象となります。
デメリット:
プロセス除外を実施した際のリスクとしては、対象のプロセスがアクセスするファイルに、不正プログラムが配置された場合などに検知できない事になります。
プロセス除外を実施した際のリスクとしては、対象のプロセスがアクセスするファイルに、不正プログラムが配置された場合などに検知できない事になります。
設定方法
- DSMコンソールの [ポリシー]-左ペイン[共通オブジェクト]-[その他]-[不正プログラム検索設定]を選択します。
- ポリシーに適用する、リアルタイム検索の[不正プログラム検索設定]をダブルクリックします。
- [不正プログラム検索設定]のプロパティ画面より、[検索除外]タブを選択します。
- [プロセスイメージファイルリスト]のチェックボックスにチェックを入れ、プルダウンメニューから[新規]をクリックします。
- [新しいファイルリスト]のプロパティ画面より、[名前]を設定し、[ファイル]項目にて対象プロセスのパスを追加した後、[OK]をクリックして保存します。
- [不正プログラム検索設定]のプロパティ画面にて[適用]を選択し、[OK]をクリックします。
ネットワークディレクトリ検索
ネットワークディレクトリ検索は、保護対象コンピュータのパフォーマンスに影響を及ぼします。本設定時は、事前検証を行うことを推奨します。
特にDSVAでは安定して稼働させるために無効にして検索除外としてください。(移動ユーザプロファイル使用時等、仮想マシンのログインに遅延するなど問題が発生することがあります。)
特にDSVAでは安定して稼働させるために無効にして検索除外としてください。(移動ユーザプロファイル使用時等、仮想マシンのログインに遅延するなど問題が発生することがあります。)
ネットワークディレクトリ検索を無効化する方法
- DSMコンソールの [ポリシー]-左ペイン[共通オブジェクト]-[その他]-[不正プログラム検索設定]を選択します。
- ポリシーに適用する、リアルタイム検索の[不正プログラム検索設定]をダブルクリックします。
- [不正プログラム検索設定]のプロパティ画面より、[詳細]タブを選択します。
- [ネットワークディレクトリ検索を有効にする]のチェックボックスのチェックを外し、[適用]、[OK]を選択します。
Step 3-A. インターネットに接続できる環境の推奨設定
インターネットに接続できる環境につきましては、弊社サーバ(Trend Micro Smart Protection Network)と通信することで未知の不正プログラムから環境を一早く保護可能となりますため、下記のように設定いただくことを推奨いたします。
ポリシーの[不正プログラム対策]設定の編集
対象コンピュータに適用するポリシーを選択します。
- 不正プログラム対策機能の有効化
- 左ペイン[不正プログラム対策]-[一般]タブを選択します。
- [不正プログラム対策のステータス]設定のプルダウンメニューから「継承(オン)」または「オン」となっていることを確認します。
※継承されている設定を変更する場合は、継承元のポリシー設定を変更します。
- スマートスキャンの有効化
- 左ペイン[不正プログラム対策]-[Smart Protection]タブを選択します。
- [スマートスキャン]の設定が「Deep Security Agentはオン、Virtual Applianceはオフ」または「オン」と設定されていることを確認します。
- [ファイルレピュテーションサービス用のSmart Protection Server]の設定が「Global Smart Protectionサービスへの直接接続」に設定されていることを確認します。
- [Smart Protection Serverへの接続が切断された場合に警告]の設定が「継承(はい)」または「はい」に設定されていることを確認します。
※継承されている設定を変更する場合は、継承元のポリシー設定を変更するか、[継承]チェックボックスのチェックを外して設定を変更します。
ポリシーへの[不正プログラム検索設定]の適用
- リアルタイム検索、手動検索、予約検索への[不正プログラム検索設定]の適用
- 左ペイン[不正プログラム対策]-[一般]タブを選択します。
- [リアルタイム検索]、[手動検索]、[予約検索]それぞれの[不正プログラム検索設定]のプルダウンメニューから、「Step 2. [不正プログラム検索設定]の必須設定項目の確認で設定したものを適用します。
※継承されている設定を変更する場合は、継承元のポリシー設定を変更するか、[継承]チェックボックスのチェックを外して設定を変更します。
- リアルタイム検索のスケジュール設定
- 左ペイン[不正プログラム対策]-[一般]タブを選択します。
- [リアルタイム検索]-[スケジュール]のプルダウンメニューから、目的のスケジュールを選択します。
通常、初期設定で用意されている「Every Day All Day」を利用しますが、毎日特定の時間にてファイルのバックアップが大量に実行される等、パフォーマンスへの影響が発生し得る時間帯がある場合、該当時間帯のリアルタイム検索をオフに設定するようなスケジュールを適用します。
[スケジュール]は、コンソールの[ポリシー]を選択し、左ペイン[ポリシー]-[その他]-[スケジュール]より、新規作成が可能です。
※継承されている設定を変更する場合は、継承元のポリシー設定を変更するか、[継承]チェックボックスのチェックを外して設定を変更します。
- リアルタイム検索の機械学習型検索と挙動監視の有効化
- 左ペイン[不正プログラム対策]-[一般]タブを選択します。
- [リアルタイム検索]-[不正プログラム検索設定]の[編集]をクリックします。
- [不正プログラム検索設定]のプロパティ画面より、[一般]タブを選択します。
- [機械学習型検索を有効にする]のチェックボックスにチェックを入れ、[実行する処理]のプルダウンメニューより処理設定を行います。
- [挙動監視を有効にする]のチェックボックスにチェックを入れ、[実行する処理]のプルダウンメニューより処理設定を行います。
ご利用のアプリケーションにより競合が発生する可能性がありますので、十分な検証を行ってください。
競合が発生した場合、「プロセスの検索除外」をご参照の上、対象アプリケーションの除外設定を行ってください。
Step 3-B. インターネットに接続できない環境の推奨設定
インターネットに接続できない環境につきましては、インターネット接続が必須の機能である機能を無効にすることによりパフォーマンスの改善につながりますため、下記のように設定いただくことを推奨いたします。
ポリシーの[不正プログラム対策]設定の編集
対象コンピュータに適用するポリシーを選択します。
- 不正プログラム対策機能の有効化
- 左ペイン[不正プログラム対策]-[一般]タブを選択します。
- [不正プログラム対策のステータス]設定のプルダウンメニューから「継承(オン)」または「オン」となっていることを確認します。
※継承されている設定を変更する場合は、継承元のポリシー設定を変更します。
- スマートスキャンの無効化
スマートスキャンはTrend Micro Smart Protection NetworkまたはSmart Protection Serverに接続できることが必要となります。
接続できない環境の場合、パフォーマンス向上のためスマートスキャンを無効化します。
接続できない環境の場合、パフォーマンス向上のためスマートスキャンを無効化します。
- 左ペイン[不正プログラム対策]-[Smart Protection]タブを選択します。
- [スマートスキャン]の設定が「オフ」と設定されていることを確認します。
※継承されている設定を変更する場合は、継承元のポリシー設定を変更するか、[継承]チェックボックスのチェックを外して設定を変更します。
-Webレピュテーション機能の無効化
スマートスキャンと同様に、Webレピュテーション機能はTrend Micro Smart Protection NetworkまたはSmart Protection Serverに接続できることが必要となります。 接続できない環境の場合、パフォーマンス向上のためWebレピュテーションを無効化します。
- 左ペイン[Webレピュテーション]-[一般]タブを選択します。
- [Webレピュテーションのステータス]の設定が「継承(オフ)」または「オフ」と設定されていることを確認します。
※継承されている設定を変更する場合は、継承元のポリシー設定を変更します。
ポリシーへの[不正プログラム検索設定]の適用
- リアルタイム検索、手動検索、予約検索への[不正プログラム検索設定]の適用
- 左ペイン[不正プログラム対策]-[一般]タブを選択します。
- [リアルタイム検索]、[手動検索]、[予約検索]それぞれの[不正プログラム検索設定]のプルダウンメニューから、「Step 2. [不正プログラム検索設定]の必須設定項目の確認」で設定したものを適用します。
※継承されている設定を変更する場合は、継承元のポリシー設定を変更するか、[継承]チェックボックスのチェックを外して設定を変更します。
- リアルタイム検索のスケジュール設定
- 左ペイン[不正プログラム対策]-[一般]タブを選択します。
- [リアルタイム検索]-[スケジュール]のプルダウンメニューから、目的のスケジュールを選択します。
通常、初期設定で用意されている「Every Day AllDay」を利用しますが、毎日特定の時間にてファイルのバックアップが大量に実行される等、パフォーマンスへの影響が発生し得る時間帯がある場合、該当時間帯のリアルタイム検索をオフに設定するようなスケジュールを適用します。
[スケジュール]は、コンソールの[ポリシー]を選択し、左ペイン[ポリシー]-[その他]-[スケジュール]より、新規作成が可能です。
※継承されている設定を変更する場合は、継承元のポリシー設定を変更するか、[継承]チェックボックスのチェックを外して設定を変更します。
- リアルタイム検索の機械学習型検索と挙動監視の無効化
- 左ペイン[不正プログラム対策]-[一般]タブを選択します。
- [リアルタイム検索]-[不正プログラム検索設定]の[編集]をクリックします。
- [不正プログラム検索設定]のプロパティ画面より、[一般]タブを選択します。
- [機械学習型検索を有効にする]のチェックボックスにチェックが入っていないことを確認します。
- [挙動監視を有効にする]のチェックボックスにチェックが入っていないことを確認します。
不正プログラム対策機能に関連する予約タスクの推奨設定
保護対象コンピュータの安定稼働のため、不正プログラム対策機能に関する予約タスクは、以下の設定を行うことを推奨します。
予約検索の設定
予約検索により、多くのファイルに対する不正プログラム検索が実行されると、対象コンピュータのCPUリソースが消費されます。
対象コンピュータのパフォーマンス観点から、予約検索の実行は週に 1回実行することを推奨しています。
対象コンピュータのパフォーマンス観点から、予約検索の実行は週に 1回実行することを推奨しています。
セキュリティアップデートの設定
セキュリティアップデートの処理では、DSM/DSR/DSAにてメモリ、CPUが多く消費され、ディスクI/Oも増加します。
対象コンピュータのパフォーマンス観点から、セキュリテアップデートの実行は 1日に 1回実行することを推奨しています。
対象コンピュータのパフォーマンス観点から、セキュリテアップデートの実行は 1日に 1回実行することを推奨しています。
Step 5. 不正プログラム対策機能に関するよくあるお問い合わせ
不正プログラム対策機能に関するヒントおよびトラブルシューティングについて、下記製品Q&Aおよびヘルプセンターページをご参照ください。