本項目はDeep Security Agentの導入方法となります。「4. Agentのインストール/有効化(インストールスクリプト編)」か「5. Agentのインストール/有効化(インストーラ編)」のいずれかを実施ください。

1. C1WS管理コンソール > 管理 > アップデート > ソフトウェア > Agentバージョン管理にてOSごとにインストールするDeep Security Agentのビルドを設定可能です。初期設定では最新版をインストールする設定になります。特に指定がない場合は最新版(最新のLTS)をご利用ください。
   
   

2. C1WS管理コンソール > サポート情報 > インストールスクリプトにて実行するスクリプトを作成します。
   
   
   
   

   項目	内容
   プラットフォーム	インストールする対象のOSを指定ください。OSごとにコマンドが異なります。
   インストール後にAgentを自動的に有効化	保護を開始するためには有効化が必要になりますため、チェックを設定ください。
   セキュリティポリシー	Deep Security Agentを保護するポリシーを指定ください。後から設定も可能となります。
   コンピュータグループ	有効化されたDeep Security Agentを管理しやすいようにコンピュータグループに分類します。後からの設定も可能です。
   Relayグループ	パターンファイルなどをダウンロードするRelayグループを設定します。「初期設定のRelayグループ」を選択ください。
   Workload Security Managerへの接続に使用するプロキシ	Deep Security AgentとC1WS間の通信でプロキシを指定する必要がある場合は設定ください。
   Relayへの接続に使用するプロキシ	Deep Security AgentとRelay間の通信でプロキシを指定する必要がある場合は設定ください。
   Workload Security ManagerのTLS証明書を確認	Deep Security Agentインストーラのダウンロード先の証明書チェックします。基本的にチェックを設定ください。
   Agentのインストーラのデジタル署名を確認	ダウンロードされたDeep Security Agentインストーラの署名を検証します。基本的にチェックを設定ください。Linux版ではご利用前に公開署名鍵をインポートする必要があります。

   各項目を入力後、「ファイルに保存」にてインストールスクリプトをダウンロードください。
   
   ※ブラウザなどの設定により、保存したファイルが自動実行される場合は「クリップボードにコピー」もご利用ください。

3. インストールスクリプトの実行

   Windows版

   1. DSAをインストールする保護対象サーバにアクセスし、タスクトレイからPowerShellを起動します。

   2. PowerShellコンソール上で先ほど作成したインストールスクリプトを指定して実行、もしくは内容を直接ペーストして実行します。
      
       

      インストールスクリプトをファイルで実行する場合の注意点 1. インストールスクリプトの実行には Windows PowerShell 4.0 以上が必要です。 2. PowerShell を管理者として実行する必要があります。 3. インストールスクリプトが実行できない場合、PowerShell 実行ポリシーが制限されている可能性があります。 実行ポリシー制限を変更する方法がマイクロソフト社より公開されておりますので、こちらをご参照ください。   ※参考変更例： Set-ExecutionPolicy による実行ポリシー変更 (恒久的) 1. 管理者権限でPowerShellを開きます。 2. 以下のコマンドを実行します。 Set-ExecutionPolicy RemoteSigned 3. 実行ポリシーを変更するかどうかを確認するメッセージが表示された場合は、「Y」を入力して実行してください。 4. この状態でインストールスクリプトを実行ください。

       

   3. スクリプトが起動してインストールが始まります。設定した内容により出力される内容は異なります。dsa_controlの後に「HTTP Status: 200 -OK」が記録されること、最後に「Command session completed」が出力されていれば問題ございません。
      
      

   4. このスクリプトは、DSAのインストールビルドモジュールのダウンロード、インストール、管理サーバへの登録までを自動で行います。インストールが完了したらC1WS管理コンソール上に対象サーバが登録されているか確認を行います

   Linux版

   1. DSAをインストールする保護対象サーバにSSHなどでアクセスします。

   2. インストールスクリプト（AgentDeploymentScript.sh）を任意のディレクトリに配置し、所有者に「実行権限」が与えられているか確認します。
      

      chmod +x ファイル名 コマンドにて実行権限を付与ください。

   3. スクリプトを起動するとインストールが始まります。設定した内容により出力される内容は異なります。dsa_controlの後に「HTTP Status: 200 -OK」が記録されること、最後に「Command session completed」が出力されていれば問題ございません。
      

   4. このスクリプトは、DSAのインストールビルドモジュールのダウンロード、インストール、管理サーバへの登録までを自動で行います。インストールが完了したらC1WS管理コンソール上に対象サーバが登録されているか確認を行います。

4. 登録状態の確認
   
   C1WS管理コンソール > コンピュータにインストールスクリプトを実行したコンピュータが登録（有効化）されていることを確認します。ステータスが「管理対象（オンライン）」となっていれば登録成功となります。
   

本項目はDeep Security Agentの導入方法となります。「4. Agentのインストール/有効化(インストールスクリプト編)」か「5. Agentのインストール/有効化(インストーラ編)」のいずれかを実施ください。

1. インストーラのダウンロード

   • C1WSコンソール上からダウンロード（推奨）

     1. C1WSコンソールで[管理]-[アップデート]-[ソフトウェア]-[ローカル]を開きインストールするパッケージを右クリックし、[インストーラのエクスポート]でファイルをダウンロードしてください
        

        • 画面上部にてDeep Security Agentのバージョンでのグループ化や右上部の検索ボックスにて特定のビルド、OSなどでの検索が可能です。
        • 「i386」と記載のあるパッケージは32bitOS用、「x86_64」の記載は64bitOS用となります。
        • 「Agent」から始まるソフトウェアがインストーラの含まれるパッケージとなります。

         

      

   • Deep Securityヘルプセンターからダウンロード

      

     1. C1WS管理コンソール > 管理 > アップデート > ソフトウェア > Agentバージョン管理にご利用予定のビルドが存在するか確認します。
        

     2. Deep Securityヘルプセンターにてご利用予定のビルドをダウンロードします。

     3. ダウンロードしたzipファイルを解凍し、同梱されているインストーラ（Windowsの場合はmsiファイル、Linuxの場合はrpmファイル）を入手します。

        • Linux版の場合、Agent-Core-*.rpmとAgent-PGPCore-*.rpmの2種類のrpmファイルがございます。 Agent-Core-*.rpmはデジタル署名無し、 Agent-PGPCore-*.rpmはデジタル署名有りとなりインストール時に明示的にデジタル署名の確認を行う場合に使用します（デジタル署名についての詳細はこちら）。 どちらのファイルのご利用でもインストール内容につきまして差異はございません。

    

2. 導入予定のコンピュータに入手したインストーラを配置し実行します。インストール方法はこちらを参照ください。

3. インストール完了後、有効化処理を実施します。

   以下の手順で有効化のコマンドを取得します。

   1. C1WS管理コンソール > サポート情報 > インストールスクリプト
      

   2. プラットフォームにて有効化コマンドを実施するOSを選択します。
      

   3. 「dsa_control -a」コマンドの箇所をコピーします。
      

      コマンド：

      dsa_control -a dsm://XXXX:443/ "tenantID:XXXX" "token:XXXX"

      • 表示されるコマンドはアカウントごとに異なりますため使いまわしにご注意ください。別のアカウントでの有効化を行う場合はそのアカウントにて取得ください。

      • コマンド内のコーテーションや空白などが不正な位置に入力されていることにより、有効化に失敗するケースがございます。そのためコマンドの整形にご注意ください。

       

   4. Deep Security Agentのインストールフォルダにて上記「dsa_control -a」コマンドを実行します。dsa_controlの後に「HTTP Status: 200 -OK」が記録されること、最後に「Command session completed」が出力されていれば問題ございません。

      Windows:

      Linux:
      

4. 登録状態の確認

   C1WS管理コンソール > コンピュータにインストールスクリプトを実行したコンピュータが登録（有効化）されていることを確認します。ステータスが「管理対象（オンライン）」となっていれば登録成功となります。
   

不正プログラム対策機能はマルウェアに対する保護を提供します。 不正プログラム対策機能は様々なパターンファイルおよびSmartProtectionNetworkへアクセスし最新の脅威から保護します。本項はこちらのドキュメントより抜粋して解説をいたします。

1. 通信環境の設定を行います。

   通信要件のSourceがAgentの項にて 「Destination server or service name」が「Smart Protection Network」が含まれる宛先への通信が許可されているか確認します。 プロキシの設定が必要な場合はこちらのSmart Protection Network にプロキシ経由で接続するを参照ください。

   以下環境の場合、上記プロキシ設定は不要となります。

   • OSで設定されたプロキシを使用する場合

   • ローカルSmart Protection Serverを使用する場合
     
     ※ローカルSmart Protection Serverは機能に制限があります。詳細はこちらの「Smart Protection Serverをローカルにインストールする」を参照ください。

    

2. 不正プログラム対策機能を有効にします。
   
   C1WS管理コンソール > コンピュータ > 該当のコンピュータの詳細 > 不正プログラム対策 > 一般タブにてリアルタイム検索、手動検索、予約検索に設定を行います。初期設定にて用意されているものをご利用するか新規で設定を作成することが可能です。新規で作成する場合や既存の設定を編集する場合は内容につきましてこちらを参照ください。
   ステータスがオンであり色が緑の表示となりましたら稼働しております。

   不正プログラム対策機能をオンにした後の留意事項としては以下があります。

   • ステータス色が赤となり不正プログラム対策 エンジンオフラインのメッセージが発生する場合がございます。 その際、トラブルシューティングとしてこちらを参照ください。
   • パターンファイルの最新化のため自動的に1回目のセキュリティアップデートが実施されます。

3. 予約タスクの作成

   C1WS管理コンソール > 管理 > 予約タスクにて不正プログラム対策機能に関連する定期的なタスクを作成します。

   1. 「新規」にて新しい予約タスクを作成します。
      

   2. 作成する予約タスクの種類を選択します。「コンピュータの不正プログラムを検索」は定期スキャン、「セキュリティアップデート」はパターンファイルの更新に関する予約タスクとなります。 「コンピュータの不正プログラムを検索」は週1回程度、「セキュリティアップデート」は日時での実施が推奨されます（詳細はこちら）。
      

      セキュリティアップデートの予約タスクは初期設定にて「コンポーネントアップデートタスク」がございます。こちらはすべてのコンピュータに対して日時で動作するものとなります。 開始時間や対象コンピュータなどカスタマイズが必要な場合は新規でのセキュリティアップデートの予約タスクの作成をご検討ください。

   3. 予約タスクの開始時間を設定ください。タイムアウトを設定することにより設定した処理時間が設定時間以上となった場合、処理は中断されます。中断後、次回の処理は途中からではなく最初からの実施となります。
      

   4. 予約タスクの実行対象を設定ください。
      

   5. 予約タスク名を記載し、タスクを作成します。
      

OSやアプリケーションの様々な脆弱性に対して、仮想パッチを適用することで保護を提供することが可能となります。C1WSでは侵入防御機能として提供されています。 侵入防御機能は侵入防御ルールに基づき保護が動作します。侵入防御ルールは定期的に更新されます。 更新内容はC1WSの画面上ないしこちらより確認が行えます。

1. 侵入防御の有効化

   仮想パッチ機能を利用するために、最初に侵入防御モジュールを有効にします。 仮想パッチを使いたいコンピュータ画面を開き、｢侵入防御｣のステータスを ｢オン｣、侵入防御の動作を「防御」にします。
   
   

   侵入防御機能はネットワークエンジンの設定、侵入防御の動作、ルールの設定それぞれにパケットのドロップ設定があります。各設定のマトリクスは以下となります。

   ネットワークエンジンの設定	侵入防御の動作	ルールの設定	パケットがルールに合致した時	侵入防御上のイベントの処理
   タップ	検出(防御を選択不可)	検出(防御を選択不可)	パケットをドロップしない	検出のみ：リセット
   インライン	防御	防御	パケットをドロップする	リセット
   		検出	パケットをドロップしない	検出のみ：リセット
   	検出	防御	パケットをドロップしない	検出のみ：リセット
   		検出	パケットをドロップしない	検出のみ：リセット

2. 侵入防御の自動割り当て設定オン

   推奨設定の検索機能にて 保護対象サーバにインストールされたDSAが仮想パッチルールを割り出し、自動的にサーバに割り当てられるように設定します。これにより、推奨設定の検索時に推奨ルールをコンピュータに自動割り当て/割り当て解除します。

   • 自動割り当て設定を行わない場合、手動での適用を実施ください。

3. 推奨設定のタスク作成

   DSAが定期的に仮想パッチルールの洗い出しを実行できるようにC1WS管理コンソール > 管理 > 予約タスクにて推奨設定の検索に関する定期的なタスクを作成します。

   1. 「新規」にて新しい予約タスクを作成します。
      

   2. 作成する予約タスクの種類を選択します。「コンピュータの推奨設定の検索となります。
      

      推奨設定の検索はCPUリソースを多く使用するため負荷が高くなる場合があります。影響の少ない時間での週1回程度の実行が推奨となりますが、頻繁に変更が発生するシステムの場合は実行頻度を上げることを推奨します（詳細はこちら）。

   3. 予約タスクの開始時間を設定ください。タイムアウトを設定することにより設定した処理時間が設定時間以上となった場合、処理は中断されます。中断後、次回の処理は途中からではなく最初からの実施となります。
      

   4. 予約タスクの実行対象を設定ください。
      

   5. 予約タスク名を記載し、タスクを作成します。
      

4. 仮想パッチの自動適用確認

   仮想パッチの推奨設定が実行されていることと、ルールが洗い出されていることを確認します。
   

   OSやミドルウェア、アプリケーションのアップデートが行われていない環境の場合、多くのルールが推奨とされる可能性があります。 多くのルールが適用される場合、処理の負荷が大きくなり通信遅延の発生や多くのCPUリソースが必要となります。 侵入防御のパフォーマンスに関するヒントの内容となり目安となりますが、割り当てるルール数は300以下となるよう定期的なOSやミドルウェア、アプリケーションへのアップデートの適用をご検討ください。 なお、300以下とした場合でもWebサーバなど多量の通信を処理する環境の場合はカーネルメモリ上の連続したメモリ領域の確保が行えずメモリ不足のイベントが記録される場合がございます。多くの場合、適用するルール数が多いことが要因となりますため多量の通信を処理する環境の場合は100程度のルール数とするなどチューニングをご検討ください。

C1WSの利用につきまして、よくあるお問合せとして以下の製品Q&Aを参照ください。

製品面はこちら
ライセンス面はこちら