ビュー:

本製品Q&Aは英語版を翻訳し、一部加筆・修正したものです。
内容については順次更新しておりますが、最新の情報になっていない場合があります。
最新の情報は英語版のページでご確認ください。英語版のページはこちら

問題の詳細

セキュリティアップデートを実施した際、Deep Security Relay(以下DSR)はインターネット上の弊社アクティブアップデートサーバ(以下iAUサーバ)よりパターンファイル等を取得します。
また、Deep Security Agent(以下DSA)は各DSAに[セキュリティアップデートのダウンロード元:]として設定されているRelayグループ(Relayグループに含まれる DSR )よりパターンファイル等を取得します。

 ※コンポーネントダウンロードの詳細は以下の記事をご参照ください。
  Deep Securityで使用するコンポーネントの配信経路について

iAUサーバに格納される各パターンファイルにはそれぞれに対応する証明書を含む署名ファイルが存在しますが、証明書の期限が切れることを防ぐため署名ファイルのみ更新される場合があります。
DSRはRelay機能を有効化後、iAUサーバより必要なパターンファイル等をすべてダウンロードし複製します。
しかし、DSRのビルドが古い場合、それ以降のセキュリティアップデート時にパターンファイルのバージョンが更新されていない時、パターンファイルおよびその署名ファイルのダウンロードはスキップされ更新されません。
これによりDSRが保持している署名ファイルの期限が切れることがありました。
また、DSRのビルドが新しい場合でも、長期間セキュリティアップデートを行っていないといったことに起因し、保持している署名ファイルの期限が切れることがありました。
そのため、DSAがDSRからセキュリティアップデートを実施すると、最初にパターン署名証明書が有効かどうかがチェックされ、場合によって警告が出力されました。

新しいDSR(以下のバージョン)ではパターンファイルの更新が行われていない場合でも直接署名ファイルをダウンロードし複製する機能が追加されています。
当該機能が追加されたDSRを使用しiAUサーバからのセキュリティアップデートを実施することで、問題が解消します。
 
DS機能が追加されたDSRバージョン表示名
DS20.020.0.13372020-10-28
DS12.012.0.1278Update 12
DS11.011.0.1690Update 24
 

問題が発生するパターン

以下は DSR ビルドバージョンに基づいて表示される可能性のある2つの警告メッセージです。

  • DSR バージョンが 20.0.1337 または 12.0.1278 または 11.0.1690 以上の場合
    "IAURELAY_STATUS_DIGITAL_SIGNATURE_CERT_EXPIRE" がシステムイベントに出力される場合がありました。
    null
 
  • DSR バージョンが 20.0.1337 または 12.0.1278 または 11.0.1690 未満の場合
    "IAURELAY_STATUS_DIGITAL_SIGNATURE_FAILURE" がシステムイベントに出力される場合がありました。
    null

システムイベントの例

レベル: エラー
イベントID: 9102
イベント: セキュリティアップデートの失敗
説明: セキュリティアップデート中に障害が発生しました。
 
エラーコード: -24
エラーメッセージ: Update: STATUS_DIGITAL_SIGNATURE_CERT_EXPIRE

対処方法

現在使用している DSR バージョンが 20.0.0-1337, 12.0.0-1278, 11.0.0-1690 未満の場合:

  1. DSR を最新のアップデートリリースにアップグレードします。
  2. DSR コンピュータを選択しセキュリティアップデートを実行します。(セキュリティアップデートソースがトレンドマイクロのアップデートサーバとなっていることを確認してください)
  3. "セキュリティアップデート: Agent/Applianceでのパターンファイルのアップデート成功" が DSR コンピュータのシステムイベントに表示されます。
  4. DSA コンピュータのセキュリティアップデートを実行します。

現在使用している DSR バージョンが 20.0.0-1337, 12.0.0-1278, 11.0.0-1690 以上の場合:

  1. DSR コンピュータを選択しセキュリティアップデートを実行します。(セキュリティアップデートソースがトレンドマイクロのアップデートサーバとなっていることを確認してください)
  2. "セキュリティアップデート: Agent/Applianceでのパターンファイルのアップデート成功" が DSR コンピュータのシステムイベントに表示されます。
  3. DSA コンピュータのセキュリティアップデートを実行します。
 
注:上記は、Trend Micro Cloud One - Workload Security を使用していて別途独自にDSRを導入している場合も該当いたします。 Trend Micro Cloud One - Workload Security を使用している場合: 別途独自にDSRを導入していない場合、この問題の影響を受けることはありません。

インターネットに接続可能な別の DSR からアップデートファイルを取得している環境の場合 (オフライン環境の場合):

※Windows環境の注意事項 インターネットに接続できない(オフライン)環境や、中間・ルート証明書のオンラインでの更新が制限されている環境、SHA-2証明書に未対応の環境の場合、Agentのアップグレード後に「不正プログラム対策機能がオフライン」エラーが発生する可能性があります。 事前にSHA-2証明書への対応、およびルート証明書のインポートを行ってください。 以前、ルート証明書を手動でインポートした環境でも、必要な証明書が増えている場合がございます。改めて実施をお願いいたします。 ・SHA-2 コードサイニング未対応のWindows OS における DSA インストール/アップグレード失敗についてDeep Security Agent のインストール直後から[不正プログラム対策エンジンがオフライン]のステータスになる
  1. アップデートバンドル/オフラインバンドル (dsupdate_xxxx.zip)の作成元となっている DSR を、本問題が解消されたビルドへ更新します。
  2. アップデートバンドルの作成元 DSR (インターネットに接続可能な環境側)にて、セキュリティアップデートを実施します。
  3. アップデートバンドルの作成元 DSR にて、アップデートバンドルを作成します。
  4. オフライン環境側の DSR にて、「セキュリティアップデートに失敗する、またはセキュリティアップデートが実行中のまま完了しない 」を参考に、キャッシュを削除します。
  5. オフライン環境側の DSR にアップデートバンドルを適用します。(参考情報「オフライン環境でのアップデート方法 」)
  6. オフライン環境側の DSR からパターンファイルなどを配信される側の DSA でもアップデートエラーが発生していた場合は、「セキュリティアップデートに失敗する、またはセキュリティアップデートが実行中のまま完了しない 」の手順に沿ってキャッシュを削除してから、セキュリティアップデートを再度行ってください。
キーワード: IAURELAY_STATUS_DIGITAL_SIGNATURE_CERT_EXPIRE,署名ファイル,セキュリティアップデート,エラーメッセージ: Update: STATUS_DIGITAL_SIGNATURE_CERT_EXPIRE,アップデートバンドル