ビュー:

概要

Kernel Support Package(以下、KSP)は、Deep Security Agent(以下、Agent)/XDR Endpoint Sensor(以下、Sensor)が
保護対象のLinuxカーネルをサポートするためのプログラムです。
Linuxにおいて、セキュアブートが有効な環境でKSPをご利用いただく場合、
事前に公開鍵をOSにインストールしていただく必要がございます。
 
セキュアブートが有効な一部Linux環境をサポートするKSPの署名に
使用されている公開鍵 DS20_V2.der の有効期限は 2026年10月24日であり、
それまで DS20_V2.derで署名されていたKSPは、2026年10月24日以降では DS2022.der で署名されます。

それにより、DS2022.der が未登録である一部 Linux のセキュアブート環境では、
有効期限以降にリリースされた KSPのインストールやアップグレード後に保護機能が正常に動作しない場合があります。
そのため、お早めに DS2022.der をサーバに登録することを推奨します。
 
あわせて、有効期限以降に、後述するLinuxのセキュアブート有効環境で
Agent/Sensorを新規インストール・アップグレードされる場合には、
有効期限以降にリリースされるビルドバージョンをご利用ください。
 

対象となるOS

  • Oracle Linux 7
  • Oracle Linux 8
  • SUSE Linux Enterprise Server 15 

※上記OS以外につきましては、オンラインヘルプの通り、既にDS2022.derでの署名に移行済みです。
 

影響を受ける範囲

以下の全ての条件に該当する環境が対象です。
  • 下記対象製品のいずれかをご利用:
    • TrendAI Deep Security 
    • Trend Cloud One™ - Endpoint and Workload Security
    • TrendAI Vision One™ - Server & Workload Protection
    • TrendAI Vision One™ Endpoint Security - XDR Endpoint Sensor
  • セキュアブートが有効
  • DS2022.der がサーバに未登録

※ 公開鍵の登録状況を確認する方法はOSやカーネルの種類ごとに異なります。
 お使いのOSのドキュメント等をご参照のうえ、ご確認いただけますようお願いいたします。

影響

DS2022.der が未登録の状態で 2026年10月24日以降にリリースされた KSP のインストール/アップグレードを実施した場合、
以下の影響が生じる可能性があります。
 
■Deep Security Agentの場合:
  • 不正プログラム対策 (AM) の基本機能のみでの動作
  • 不正侵入防御 (IPS)、Web レピュテーションなど AM 以外の機能が利用不可

■Endpoint Sensor の場合:

  • Linuxカーネルバージョンが5.9未満の場合:XDR機能が動作しません。
  • Linuxカーネルバージョンが5.9以上の場合:XDRの一部機能が動作します。(一部のメトリクスが収集される状態になります。)
※ 2026年10月24日より前にインストール/アクティベーション済みの Agent/Sensorは、
  Agent/Sensorのアップグレード、またはKSP のインストール/アップグレードが行われない限りそのまま動作し続けます。
※ 新規KSPの自動配信の設定や、カーネルバージョンのアップデートによるKSPの自動更新などにより
 KSPのアップグレードが行われます。新規KSPの自動配信の設定につきましては
 KSPをダウンロードする方法・適用方法の「DSでKSPをダウンロードする方法・適用方法」をご参照ください。

対処方法

2026年10月24日より前に、セキュアブートを有効にしている上記OSにDS2022.der を登録してください。
あわせて、2026年10月24日以降に、セキュアブートを有効にした上記OSのサーバに Agent / Sensorを
インストール・アップグレードされる場合には、2026年10月24日以降にリリースされるビルドバージョンをご利用ください。
公開鍵の登録手順とアップグレード手順は下記「参考情報」のオンラインヘルプをご参照ください。
 
※新規インストール時、Agent / Sensorにはドライバが内包されているため、有効な公開鍵 2022.derで署名されているドライバを
 内包しているビルドバージョンにてインストールする必要がございます。
 
既に DS2022.der が登録済みの場合、追加の対処は不要です。
また、 セキュアブートを有効にしていない環境は対象外です。

参考情報

Deep Security Agentにつきまして、ご利用製品ごとに
公開鍵の登録手順と Agent のアップグレード手順のオンラインヘルプを以下にまとめます。
製品 公開鍵の登録方法に関して Deep Security Agentのアップグレード手順に関して
TrendAI Deep Security エージェントの Linux Secure Boot の設定 (DS20.0 オンラインヘルプ) Deep Security Agent のアップグレード (DS20.0 オンラインヘルプ)
Trend Cloud One™ - Endpoint and Workload Security (C1WS) エージェントの Linux Secure Boot の設定 (C1WS オンラインヘルプ) エージェントのアップグレード (C1WS オンラインヘルプ)
TrendAI Vision One™ - Server & Workload Protection (V1SWP) エージェントの Linux セキュアブートの設定 (V1SWP オンラインヘルプ) エージェントのアップグレード (V1SWP オンラインヘルプ)

 Endpoint Sensorのバージョンを最新にするためは、バージョン管理ポリシーにて設定を行う必要がございます。
設定方法につきましては下記オンラインヘルプをご参照ください。
バージョン管理ポリシー | TrendAI™