ビジネスサポートポータルアカウントでログイン
 

Deep Security の ActiveUpdateサーバへの接続証明書の期限切れに関連する問題の対応方法

    • 更新日:
    • 29 Jul 2022
    • 製品/バージョン:
    • Cloud One - Workload Security
    • Trend Micro Deep Security 11.0
    • Trend Micro Deep Security 12.0
    • Trend Micro Deep Security 20.0
    • OS:
    • Windows Linux
概要
製品Q&A「ActiveUpdateサーバのTLS/SSLサーバ証明書更新について 」に関するDeep Security向けの詳細情報をまとめています。

・概要
・影響範囲・対象
・対応いただきたい事項
・よくある問合せ
詳細
Public
 

本ページで使用する略称について

Deep Security Relay = Relay
Deep Security Manager = Manager
Deep Security Agent = Agent

各コンポーネントの概要については、下記の情報をご参照ください。  
blank_for_anchor_l.PNG

概要

Deep Securityでは次の2つの事象を内包しています。
事象1で影響する機能は、侵入防御、ファイアーウォール、変更監視、セキュリティログ監視、不正プログラム対策 です。サーバ証明書が変更予定の2023年3月31日以降に必ず発生します。

事象2で影響する機能は、不正プログラム対策のみ です。
対象のビルドを使用している場合、すでに事象が発生しているか、または将来的に事象が発生いたします。
ただし、運用状況によって発生するタイミングが異なります。発生する運用条件を満たしているかは、お客様による判断はできません。また、お問い合わせいただきましても判断ができないものとなります。

以上の理由により、影響を受けるビルドをご利用の場合は、速やかにアップグレードを実施してください。

  blank_for_anchor_l.PNG

影響範囲・対象

弊社ActiveUpdateサーバからコンポーネントを取得しているRelayが主な対象となります。
Relay以外のAgentも、特定の設定(※1)を有効にしている場合は影響を受けます。

 
プログラムコンポーネント影響を受けるバージョンプラットフォーム修正が含まれるバージョン
Relay
  • 20.0.0-1337 (20 LTSアップデート2020/10/28) 未満
  • 12.0.0-1278 (12.0 Update 12) 未満
  • 11.0.0-1690 (11.0 Update 24) 未満
  • Windows
  • Linux
  • 20.0.0-1337 (20 LTSアップデート2020/10/28) 以上
  • 12.0.0-1278 (12.0 Update 12) 以上
  • 11.0.0-1690 (11.0 Update 24) 以上
Relay以外のAgent (※1)
  • 20.0.0-1337 (20 LTSアップデート2020/10/28) 未満
  • 12.0.0-1278 (12.0 Update 12) 未満
  • 11.0.0-1690 (11.0 Update 24) 未満
  • Windows
  • Linux
  • 20.0.0-1337 (20 LTSアップデート2020/10/28) 以上
  • 12.0.0-1278 (12.0 Update 12) 以上
  • 11.0.0-1690 (11.0 Update 24) 以上
Manager(影響なし)(影響なし)(影響なし)

(※1)
管理コンソールの[管理]→[システム設定]→[アップデート]で次の設定を有効にしている場合
  • Relayに接続できない場合、セキュリティアップデート元からの直接ダウンロードをAgent/Applianceに許可
(画面例)
direct_update.png



   blank_for_anchor_l.PNG

対応いただきたい事項

 

Relayでの対処手順

Managerのバージョンが低い場合、Relayのアップグレード前にManagerのアップグレードが必要となる場合があります。
詳細は「Deep Security Manager と Agent のビルドが異なる場合のサポートポリシー」をご参照ください。

Managerのアップグレードが必要となる場合は、「[10.0/11.0/12.0/20.0] アップグレード手順 (修正プログラム/最新モジュール の適用方法) 」を参考に、先にManagerのアップグレードを行ってください。

 

※Windows環境の注意事項
インターネットに接続できない(オフライン)環境や、中間・ルート証明書のオンラインでの更新が制限されている環境、SHA-2証明書に未対応の環境の場合、Agentのアップグレード後に「不正プログラム対策機能がオフライン」エラーが発生する可能性があります。
事前にSHA-2証明書への対応、およびルート証明書のインポートを行ってください。
以前、ルート証明書を手動でインポートした環境でも、必要な証明書が増えている場合がございます。改めて実施をお願いいたします。

SHA-2 コードサイニング未対応のWindows OS における DSA インストール/アップグレード失敗について
Deep Security Agent のインストール直後から[不正プログラム対策エンジンがオフライン]のステータスになる

 
  1. Relay機能が有効になっているコンピュータを確認します (参考:Relayが有効になっているコンピュータを確認する方法 )
  2. 本事象の影響を受けるRelayのバージョンであるか確認してください。
  3. 影響を受けるバージョンである場合、「[10.0/11.0/12.0/20.0] アップグレード手順 (修正プログラム/最新モジュール の適用方法) 」の手順の「DSA/DSR のアップグレード手順」を参考にRelayを最新ビルドへアップグレードします。 複数のRelayが影響を受けるバージョンである場合は、すべてアップグレードしてください。
  4. Relayでセキュリティアップデートを実行します。
  5. Relayにおけるセキュリティアップデートが長時間完了しない場合は、「Deep Security Agent や Relayのアップグレード後にセキュリティアップデートが完了しない 」に記載の手順を実施してください。
 

影響を受けるAgentでの対処手順

影響を受けるRelayが存在する場合は、必ずRelayから先に対処してください。
前項「Relayでの対処手順」をご覧ください。

 

※Windows環境の注意事項
インターネットに接続できない(オフライン)環境や、中間・ルート証明書のオンラインでの更新が制限されている環境、SHA-2証明書に未対応の環境の場合、Agentのアップグレード後に「不正プログラム対策機能がオフライン」エラーが発生する可能性があります。
事前にSHA-2証明書への対応、およびルート証明書のインポートを行ってください。
以前、ルート証明書を手動でインポートした環境でも、必要な証明書が増えている場合がございます。改めて実施をお願いいたします。

SHA-2 コードサイニング未対応のWindows OS における DSA インストール/アップグレード失敗について
Deep Security Agent のインストール直後から[不正プログラム対策エンジンがオフライン]のステータスになる

  1. 影響を受けるバージョンである場合、「[10.0/11.0/12.0/20.0] アップグレード手順 (修正プログラム/最新モジュール の適用方法) 」の手順の「DSA/DSR のアップグレード手順」を参考にアップグレードを実施してください。
  2. セキュリティアップデートを実行します。
  blank_for_anchor_l.PNG

よくある問合せ

質問回答
現在、事象2の問題が起きていません。今後、問題が発生する可能性はありますか。

該当のビルド未満を使用している場合は、今後、問題が発生する可能性があります。

また、弊社ActiveUpdateサーバの証明書の更新は2023年3月31日以降を予定しております。更新前にRelayのアップグレードを実施してください。弊社サーバの証明書の更新以降は上記でご案内したバージョンまたはビルドへのアップグレードは必須になります。

Relayをアップグレードする必要はあるのでしょうか。

同上

アップグレードしても同様の問題が発生することはあるのでしょうか。

アップグレードしていただくことにより、本事象は発生いたしません。
運用で回避することは可能ですか。

事象2のパターンファイル署名証明書の問題につきましては、キャッシュ削除またはRelayの再インストールにて一時的に回避することができます。キャッシュ削除方法については以下の製品Q&Aをご参照ください。

Deep Security Agent や Relayのアップグレード後にセキュリティアップデートが完了しない

しかしながら、弊社ActiveUpdateサーバの証明書の更新は2023年3月31日以降を予定しており、更新前にRelayのアップグレードを実施いただく必要があります。
弊社サーバの証明書の更新以降は修正済みバージョンまたはビルドへのアップグレードが必須になります。

OSの再起動なしで回避することは可能でしょうか。

大変申し訳ございませんが、Windows版のAgentではアップグレードの際にOSの再起動が必要になる可能性が高いため、再起動することを想定してアップグレードをご計画ください。

不要になる可能性もありますが再起動要求はOSの動作となりますので、弊社では判断できかねます。

パターンファイルが更新できないとどうなるのか。新しい脅威に対応したパターンファイルが取得できず、新しい脅威が検出できなくなる可能性があります。
Relayとは何ですか。Relayとはパターンファイルを配信するための役割を行っているAgentとなります。
Relayはどこにありますか。/ どのコンピュータがRelayになっていますか。

Relayが有効になっているコンピュータを確認する方法 を参考に、Relayになっているコンピュータをご確認ください。

Managerと一緒のサーバにインストールされている場合がございます。

環境によっては、別サーバに入っている場合もあり、Relayの配置はお客様の構成に依存するものになります。

事象2のパターン署名証明書の期限の確認方法はありますか。大変申し訳ございませんが、セキュリティ上、期限の確認方法は公開しておりません。
事象2の近日中に有効期限が切れるパターン署名証明書はありますか。 /
現在公開中のパターンやエンジンの証明書の期限を教えてください。
大変申し訳ございませんが、セキュリティ上、証明書の有効期限は公開しておりません。
影響を受ける対象のバージョンはいくつですか。Trend Micro Deep Security Relay が以下のバージョン未満です。
  • 20.0.0-1337 (20 LTSアップデート2020/10/28) 未満
  • 12.0.0-1278 (12.0 Update 12) 未満
  • 11.0.0-1690 (11.0 Update 24) 未満
ファイアウォールや侵入防御などのルールアップデートには影響しますか。

事象1は影響いたします。
事象2はルールアップデートと関連はございません。

Windows版のRelay/Agentをアップグレードした後、「不正プログラム対策機能がオフライン」エラーが発生しています。どうしたらよいですか。

次の手順でAgentの再インストールを実施してください。
 

  1. Agentをアンインストールします。(OSの再起動が求められる場合は表示に従ってください。)
  2. 手動アンインストール手順 に記載されているサービス、レジストリ、ファイルがすべて削除されていることを確認します。
  3. 管理コンソールの [コンピュータ] 画面にて、問題が発生しているAgentを削除します。(この際「〇台のコンピュータに空のRelayグループが割り当てられています 」エラーが発生することがあります。)
  4. Agentを再インストールします。
  5. Agentを再インストールしたコンピュータを、[コンピュータ] 画面にてManagerに再登録します。
  6. 対象コンピュータがRelayであった場合は、[管理]→[アップデート]→[Relayの管理] にて、再登録したコンピュータをRelayとして指定しなおしてください。
    Relayではない通常のAgentの場合は、手順8に進みます。
  7. Relayに設定後、必要なポリシーを適用してください。
  8. 当該コンピュータでセキュリティアップデートを実行します。

手順4でAgentを再インストールしても「不正プログラム対策機能がオフライン」エラーが発生する場合は、手順5以降に進まず、「不正プログラム対策エンジンがオフライン」エラーが発生した場合のトラブルシューティング に沿って確認いただいた上でサポートセンターまでお問合せください。
Deep Security Virtual Appliance (DSVA) による保護を行っている仮想マシンには影響ありますか。仮想マシンに直接の影響はありません。
ただし、以下の確認が必要です。該当する場合は、アップグレードを実施してください。
  • DSVAがコンポーネントをダウンロードするRelayが影響を受けるバージョンであるか。(「影響範囲・対象」節の「Relay」を参照してください)
  • DSVAのAgentプログラムバージョンがの影響を受けるバージョンであるか 。(「影響範囲・対象」節の「Relay以外のAgent」を参照してください)
オフライン環境の場合はどうすればいいですか。バンドルファイル(dsupdate_xxxxxxxxxx.zip)を作成するRelayを影響を受けないビルドにアップグレードしてください。次にバンドルファイルを適用するオフライン環境のRelayを作成するRelayと同じビルドにアップグレードしてください。
TMUTの場合はどうすればいいでしょうか。

TMUT3.0をご利用の場合は本事象の影響は受けません。異なるバージョンをご利用の場合はサポートセンターにお問い合わせください。

管理者ガイドや、各ビルドのReadmeといった公開ドキュメントはどこにありますか。

Deep Security 向けに公開している運用/構築向け情報およびドキュメント または Deep Security の管理者ガイド及びお役立ちガイドブックについて にリンク先などの説明がございます。

Premium
Internal
Partner
評価:
カテゴリ:
Troubleshoot
Solution Id:
000290944
ご提案/ご意見
このソリューションはお役に立ちましたか?

フィードバックありがとうございました!


*こちらに技術的なご質問などをいただきましてもご返答する事ができません.

何卒ご了承いただきますようお願いいたします.


To help us improve the quality of this article, please leave your email here so we can clarify further your feedback, if neccessary:
We will not send you spam or share your email address.

*This form is automated system. General questions, technical, sales, and product-related issues submitted through this form will not be answered.


ユーザーガイド