ビュー:

事象

Trend Cloud One - Endpoint and Workload Security、Trend Vision One - Server & Workload Protectionをご利用のお客様には影響ございません。
下記の条件で推奨設定の検索を実行した場合、DSMのプロセスのCPU使用率が高騰した状態が継続します。
さらに、推奨設定の検索に時間がかかるという事象が発生する場合があります。
また、この事象が発生するとDSMが高負荷となるため、セキュリティアップデートなどのDSMで実施するタスクや操作が失敗する場合があります。
  1. DSM 20.0.789未満をご利用 (DSM 12を含みます)
    ※Windows、Linux OSともに対象となります。
  2. ルールアップデート 24-024.dsru (以下、DSRU 24-024)以降のルールをご利用
 

DSMのバージョン確認方法

DSMのバージョンを確認する場合は、管理コンソール画面右上の [ヘルプ] > [バージョン情報] でバージョン情報を確認します。

 

原因

DSM 20.0.789未満で推奨設定の検索の内部処理について、一部の処理が正常に完了できない不具合がありました。
 

対応策

DSM 20.0.789以降のバージョンで、一部の処理が正常に完了できるよう修正が行われております。
修正されたDSM 20.0.789以降のご利用をお願いします。
 

事象発生時の対応について

DSM 20.0.789未満をご利用かつ、既にDSRU 24-024以降が適用されている場合
  • 手順概要
    1. ルールアップデートのロールバック
    2. 現在実行されている推奨設定検索のキャンセル
    3. 推奨設定の検索の無効化
  • 手順詳細
    --------------------------------------------------------
    ■ ルールアップデートのロールバック
    --------------------------------------------------------
    1. DSMの管理コンソールにログインし、[管理] > [アップデート] > [セキュリティ] > [ルール] をクリックします。

    2. インポート済みのルールアップデート一覧が表示されますので、24-024.dsruの1つ前のルールを選択し、右クリック > [ロールバック] を選択します。

    3. ルールアップデートのロールバックウィンドウが開き、変更内容が表示されますので、[完了] をクリックし、ロールバックを行います。

    4. ロールバックが完了すると、[適用済み] 列のチェックがロールバックしたルールに変更されます。

    --------------------------------------------------------
    ■ 現在実行されている推奨設定検索のキャンセル
    --------------------------------------------------------
    1. DSMの管理コンソールにログインし、[コンピュータ] をクリックします。

    2. 検索を停止したいAgent を選択し、右クリック > [処理] > [推奨設定の検索のキャンセル] をクリックします。
     ※Ctrlキーを押しながら複数選択が可能です。

    --------------------------------------------------------
    ■ 推奨設定の検索の無効化
    --------------------------------------------------------
    1. DSMの管理コンソールにログインし、[管理] > [予約タスク] をクリックします。

    2. 「種類」が「コンピュータの推奨設定を検索」となっているタスクを選択し、右クリック > [無効] を選択します。

    また、割り当て済みのポリシー、コンピュータで推奨設定の継続的な検索を実行を有効にしている場合は、ポリシー、コンピュータの詳細設定の[設定] > [一般] タブの推奨設定欄にある「推奨設定の継続的な検索を実行」を無効にしていただきますようお願いいたします。
 
DSM 20.0.789未満をご利用かつ、DSRU 24-024以降が未適用の場合
今後DSRU 24-024以降が適用されると本事象の発生条件に合致してしまうため、上記「推奨設定の検索の無効化」のご対応をお願いいたします。
 

DSMバージョンアップまでの回避策について

本事象の対応策はDSM 20.0.789以降へのバージョンアップとなります。
DSMのバージョンアップをすぐに実施できない場合、以下の回避策があります。
「事象発生時の対応について」で、「ルールアップデートのロールバック」を実施していただきましたが、セキュリティアップデートの実行により、DSRUもあわせてアップデートが実行されます。
本事象は、DSM 20.0.789未満の環境でDSRU 24-024以降が適用された状態で、推奨設定の検索を実行した際に発生するため、推奨設定の検索の無効化を継続していただければ、事象の再発を回避できます。
DSM 20.0.789以降へバージョンアップいただくまで、手動で侵入防御、変更監視、セキュリティログ監視機能の各ルールの手動適用を実施していただくことが可能です。

各機能のルールの手動適用方法は下記のヘルプセンター をご参照ください。

DS 20
侵入防御機能
変更監視機能
セキュリティログ監視機能

DS 12
侵入防御機能
変更監視機能
セキュリティログ監視機能

また、各DSRUのリリース日、更新内容はこちらをご覧ください。
 

よくあるお問い合わせ

特に多いお問い合わせ
お問い合わせ回答
DSRU 24-024を修正したルールを出してください。弊社においてもルールの修正を検討させていただきましたが、本事象はルールに問題はなく、ルールを扱うDSMのバージョンに起因する事象となりますので、ルールの修正はできかねるものとなります。
DSM 20.0.789未満もサポート対象なので、DSRU 24-024以降のルールに対応できるようにしてください。Deep Security (以下、DS) 製品の修正は新規ビルドをリリースしての提供となります。
DS製品の5年間のサポートポリシーは、サポート期間内であれば問題に対応したビルドをリリースし、そのビルドへのアップグレードが可能であることを示しています。
誠に恐れ入りますが、DSM 20.0.789以上へのバージョンアップをお願いいたします。
この事象が発生することについて、事前の広報はありましたか。今回の問題は事象が発生してから調査をした上で発覚した事象であり、事前に問題が発生することがわかっていたわけではないため、アナウンスを行っておりませんでした。
今後も含め、弊社では事前に問題が発生しうる可能性が確認できた場合は早急に情報公開を行う方針であり、サポートニュース等でお客さまへご案内させていただきます。
 
本事象について
事象の解決、回避には、上記記載の「対応策」、「事象発生時の対応について」、「DSMバージョンアップまでの回避策について」の実施が必要となります。
お問い合わせ回答
この事象はOSの再起動を実施することにより改善しますか。OSの再起動では改善しません。
事象が発生した際のDSMへの影響を教えてください。本事象はDSMでCPU使用率が高騰することと、推奨設定の検索に時間がかかるという事象となります。
他のDSMの機能に影響を与えることはございません。
しかし、副次的な事象としてCPU使用率の高騰により、セキュリティアップデート タスクなどのDSMが実行するタスクや処理の実行に時間がかかり、完了しないことや失敗する可能性がございます。
事象発生中にDSA、DSVAでの保護は継続されますか。本事象が直接的にDSA、DSVAの保護に影響を与えることはありません。
しかし、副次的な事象としてCPU使用率の高騰により、DSMでセキュリティアップデートが失敗し、最新のパターンファイルが配信できなくなるなどの可能性がございます。
システムイベント、DSMコンソールにて本事象を確認する方法はありますか。システムイベント、DSMコンソールにて本事象を確認する方法はありません。
DSM 20.0.789未満、DSRU24-024以降、推奨設定の検索が実行されている状態でCPU使用率の高騰が発生しているかをご確認ください。
 
対応策について
お問い合わせ回答
DSMバージョンアップ方法を教えてください。
また、DSMバージョンアップによる懸念事項を教えてください。		下記の製品Q&A、オンラインヘルプをご参照ください。
Deep Security 20.0 へのアップグレードガイド
データベースのバックアップと復元
DSMバージョンアップにおける懸念事項はございませんが、不測の事態に対応するために、実施前にデータベースのバックアップの実施をお願いいたします。
DSAのバージョンアップは必要ですか。今回の事象の解決にDSAバージョンアップは不要です。
しかし、DS製品は不具合の修正、脆弱性への対応を新しいビルドのリリースにより実施しております。
弊社としては最新のビルドをご利用いただくことを推奨しております。
 
「事象発生時の対応について」、「DSMバージョンアップまでの回避策について」について
対応策のDSMバージョンアップの実施により、最新のDSRUのご利用と推奨設定の検索の実行が可能となりますので、対応策の実施をお願いいたします。
対応策の実施までにお時間を要する場合、「DSMバージョンアップまでの回避策について」の項目をご参照いただき、最新のDSRUをご利用の上、手動でのルール適用をご検討ください。
お問い合わせ回答
ルールアップデートのロールバックによるセキュリティリスクを教えてください。DSRUのロールバックを実施することにより、ファイアウォール、侵入防御、変更監視、セキュリティログ監視の各機能の既存ルールの更新、新たに作成されたルールが利用できなくなります。
そのため、新しいDSRUで提供される各機能のルールの不具合修正や新たなルールによる脆弱性対応、セキュリティ監視対応ができません。
「対応策」、「DSMバージョンアップまでの回避策について」の項目をご参照ください。
ルールアップデートのロールバック後も、新しいDSRUがリリースされた場合、新しいDSRUが適用されるのではないでしょうか。ご認識の通り、新しいDSRUのリリース後、セキュリティアップデートの実行により、新しいDSRUが適用されます。
本事象は、DSM 20.0.789未満の環境でDSRU 24-024以降が適用された状態で、推奨設定の検索を実行した際に発生するため、推奨設定の検索の無効化を継続していただければ、事象の再発を回避できます。
詳細は「DSMバージョンアップまでの回避策について」の項目をご参照ください。
ルールアップデートのロールバックを実行する場合、影響のある機能を教えてください。ファイアウォール、侵入防御、変更監視、セキュリティログ監視機能に影響があります。
ルールロールバックにより、各ポリシーに適用しているDSRUが変更されます。
その後、DSRU24-024にて新規追加、修正されたルールをDSAに適用している場合は、ポリシー送信が行われロールバックされたルールに基づいた変更が行われます。
「事象発生時の対応について」実行後は、ルールアップデートを今後実施してはいけないということでしょうか。対応策であるDSMのバージョンアップの実施をお願いいたします。
対応策の実施までにお時間を要する場合は、「DSMバージョンアップまでの回避策について」の項目をご参照ください。
ルールアップデートのロールバックを実施しましたが、Deep Security Notifier (以下、DSN)にルールアップデートが「24.024」と表示されています。Deep Security Rlayを有効化しているDSNに表示されておりますルールは、現在適用されているルールではなく、iAUからダウンロードされたルールを表示します。
現在適用されているルールは、DSM管理コンソールの[管理] > [アップデート] > [セキュリティ] > [ルール]画面の、[適用済み] 列のチェックが入っているものとなります。
推奨設定の検索のキャンセルによって、適用されるルールの不整合などは発生しますか。推奨設定の検索をキャンセルしても、適用されるルールの不整合は発生しません。
推奨設定の検索の無効化によるセキュリティリスクを教えてください。OSやアプリケーションに新たに脆弱性が発見された場合やシステムに変更があった場合などに、自動で侵入防御、変更監視、セキュリティログ監視の各機能の推奨ルールの検索・適用が行われなくなります。
「対応策」、「DSMバージョンアップまでの回避策について」の項目をご参照ください。
CPU使用率が高いためか、ロールバックに失敗します。
対応方法を教えてください。		最初に推奨設定の検索のキャンセルを実行し、CPU使用率が下がるかをお試しください。
CPU使用率の低下がご確認いただけたら、「事象発生時の対応について」に記載の手順を最初から実施をお願いいたします。
対応策実施後、「事象発生時の対応について」で実施した内容は継続したほうが良いですか。推奨設定の検索を定期的に実行していただくよう、設定を戻していただくことを推奨いたします。
※弊社では、推奨設定の検索を週1回の頻度で実施いただくことを推奨しております。
ルールアップデートのロールバックについては、新しいDSRUのリリース後、セキュリティアップデートの実行により、新しいDSRUが適用されます。
キーワード: HCS_KCS