本ページで使用する略称について
Deep Security Relay = Relay
Deep Security Manager = Manager
Deep Security Agent = Agent
各コンポーネントの概要については、下記の情報をご参照ください。
概要
製品Q&A「ActiveUpdateサーバのコードサイニング証明書更新に伴う影響について 」に記載のとおり、ActiveUpdateサーバからウイルスパターンファイルや検索エンジン等をダウンロードする際、それらコンポーネントの真正性を確認する際に使用するコードサイニング証明書の更新を予定しております。この更新に伴い、一部製品について新証明書に対応するための修正プログラムを適用いただく必要があります。
以上の理由により、影響を受けるビルドをご利用の場合は、速やかにアップグレードを実施してください。
影響範囲・対象
弊社ActiveUpdateサーバからコンポーネントを取得しているRelayが主な対象となります。
Relay以外のAgentも、特定の設定(※1)を有効にしている場合は影響を受けます。
プログラムコンポーネント | 影響を受けるバージョン | 修正が含まれるバージョン |
---|---|---|
Relay |
|
|
Relay以外のAgent (※1) |
|
|
Manager | (影響なし) | (影響なし) |
(※1)
管理コンソールの[管理]→[システム設定]→[アップデート]で次の設定を有効にしている場合
- Relayに接続できない場合、セキュリティアップデート元からの直接ダウンロードをAgent/Applianceに許可
なお、一部のレガシーOS上のDSA は、特定の設定(※1)が使用できません。そのため、本件の対処が完了しているRelay経由でコンポーネントを取得することで影響を回避してください。
対応いただきたい事項
Relayでの対処手順
Managerのバージョンが低い場合、Relayのアップグレード前にManagerのアップグレードが必要となる場合があります。
詳細は「Deep Security Manager と Agent のビルドが異なる場合のサポートポリシー」をご参照ください。
Managerのアップグレードが必要となる場合は、「アップグレード手順 (修正プログラム/最新モジュール の適用方法) 」を参考に、先にManagerのアップグレードを行ってください。
※Windows環境の注意事項
インターネットに接続できない(オフライン)環境や、中間・ルート証明書のオンラインでの更新が制限されている環境、SHA-2証明書に未対応の環境の場合、Agentのアップグレード後に「不正プログラム対策機能がオフライン」エラーが発生する可能性があります。
事前にSHA-2証明書への対応、およびルート証明書のインポートを行ってください。
以前、ルート証明書を手動でインポートした環境でも、必要な証明書が増えている場合がございます。改めて実施をお願いいたします。
・SHA-2 コードサイニング未対応のWindows OS における DSA インストール/アップグレード失敗について
・Deep Security Agent のインストール直後から[不正プログラム対策エンジンがオフライン]のステータスになる
また、2023年2月中旬以降にリリースされた修正プログラムにはAzure Code Signing (ACS) を使用した署名が行われているため、必要なWindowsセキュリティパッチや証明書が適用されていない場合は、Agentのアップグレードに失敗します。
・Deep Security 及び Cloud One - Endpoint and Workload Security の Azure Code Signing に関する詳細について
- Relay機能が有効になっているコンピュータを確認します (参考:Relayが有効になっているコンピュータを確認する方法 )
- 本事象の影響を受けるRelayのバージョンであるか確認してください。
- 影響を受けるバージョンである場合、「アップグレード手順 (修正プログラム/最新モジュール の適用方法) 」の手順の「DSA/DSR のアップグレード手順」を参考にRelayを最新ビルドへアップグレードします。 複数のRelayが影響を受けるバージョンである場合は、すべてアップグレードしてください。
- Relayでセキュリティアップデートを実行します。
- Relayにおけるセキュリティアップデートが長時間完了しない場合は、「Deep Security Agent や Relayのアップグレード後にセキュリティアップデートが完了しない 」に記載の手順を実施してください。
影響を受けるAgentでの対処手順
影響を受けるRelayが存在する場合は、必ずRelayから先に対処してください。
前項「Relayでの対処手順」をご覧ください。
※Windows環境の注意事項
インターネットに接続できない(オフライン)環境や、中間・ルート証明書のオンラインでの更新が制限されている環境、SHA-2証明書に未対応の環境の場合、Agentのアップグレード後に「不正プログラム対策機能がオフライン」エラーが発生する可能性があります。
事前にSHA-2証明書への対応、およびルート証明書のインポートを行ってください。
以前、ルート証明書を手動でインポートした環境でも、必要な証明書が増えている場合がございます。改めて実施をお願いいたします。
・SHA-2 コードサイニング未対応のWindows OS における DSA インストール/アップグレード失敗について
・Deep Security Agent のインストール直後から[不正プログラム対策エンジンがオフライン]のステータスになる
また、2023年2月中旬以降にリリースされた修正プログラムにはAzure Code Signing (ACS) を使用した署名が行われているため、必要なWindowsセキュリティパッチや証明書が適用されていない場合は、Agentのアップグレードに失敗します。
・Deep Security 及び Cloud One - Endpoint and Workload Security の Azure Code Signing に関する詳細について
- 影響を受けるバージョンである場合、「アップグレード手順 (修正プログラム/最新モジュール の適用方法) 」の手順の「DSA/DSR のアップグレード手順」を参考にアップグレードを実施してください。
- セキュリティアップデートを実行します。
よくある問合せ
質問 | 回答 |
Relayをアップグレードする必要はあるのでしょうか。 |
弊社ActiveUpdateサーバの証明書の更新は2025年9月以降を予定しております。更新前にRelayのアップグレードを実施してください。弊社サーバの証明書の更新以降は上記でご案内したバージョンまたはビルドへのアップグレードは必須になります。 |
アップグレードしても同様の問題が発生することはあるのでしょうか。 |
アップグレードしていただくことにより、本事象は発生いたしません。 |
OSの再起動なしで回避することは可能でしょうか。 |
大変申し訳ございませんが、Windows版のAgentではアップグレードの際にOSの再起動が必要になる可能性が高いため、再起動することを想定してアップグレードをご計画ください。 不要になる可能性もありますが再起動要求はOSの動作となりますので、弊社では判断できかねます。 |
パターンファイルが更新できないとどうなるのか。 | 新しい脅威に対応したパターンファイルが取得できず、新しい脅威が検出できなくなる可能性があります。 |
Relayとは何ですか。 | Relayとはパターンファイルを配信するための役割を行っているAgentとなります。 |
Relayはどこにありますか。/ どのコンピュータがRelayになっていますか。 |
Relayが有効になっているコンピュータを確認する方法 を参考に、Relayになっているコンピュータをご確認ください。 環境によっては、別サーバに入っている場合もあり、Relayの配置はお客様の構成に依存するものになります。 |
影響を受ける対象のバージョンはいくつですか。 | 「影響範囲・対象」をご確認ください。 |
ファイアウォールや侵入防御などのルールアップデートには影響しますか。 |
影響いたします。 |
Windows版のRelay/Agentをアップグレードした後、「不正プログラム対策機能がオフライン」エラーが発生しています。どうしたらよいですか。 |
次の手順でAgentの再インストールを実施してください。
手順4でAgentを再インストールしても「不正プログラム対策機能がオフライン」エラーが発生する場合は、手順5以降に進まず、「不正プログラム対策エンジンがオフライン」エラーが発生した場合のトラブルシューティング に沿って確認いただいた上でサポートセンターまでお問合せください。 |
Deep Security Virtual Appliance (DSVA) による保護を行っている仮想マシンには影響ありますか。 | 仮想マシンに直接の影響はありません。 ただし、以下の確認が必要です。該当する場合は、アップグレードを実施してください。
|
オフライン環境の場合はどうすればいいですか。 | バンドルファイル(dsupdate_xxxxxxxxxx.zip)を作成するRelayを影響を受けないビルドにアップグレードしてください。次にバンドルファイルを適用するオフライン環境のRelayを作成するRelayと同じビルドにアップグレードしてください。 |
TMUTの場合はどうすればいいでしょうか。 |
TMUT3.0をご利用の場合は本事象の影響は受けません。異なるバージョンをご利用の場合はサポートセンターにお問い合わせください。 |
管理者ガイドや、各ビルドのReadmeといった公開ドキュメントはどこにありますか。 |
Deep Security 向けに公開している運用/構築向け情報およびドキュメント または Deep Security の管理者ガイド及びお役立ちガイドブックについて にリンク先などの説明がございます。 |