7.10. 仮想パッチ

 仮想パッチは、脆弱性への攻撃から仮想サーバーを検出・防御するサービスです。OSやアプリケーションの脆弱性に対応して、アプリケーションベンダーが提供するセキュリティパッチと同等のソリューションを提供するシグネチャを提供するサービスです。

注釈

  • 仮想パッチは、対象となる攻撃通信をシグネチャベースで防御します。
  • 仮想パッチは、アプリケーションの動作には影響を与えません。
  • 仮想パッチは、ソフトウェアのコードレベルでの修正ではなく一時的な処置のため、抜本的に対策するには、各アプリケーションベンダーから提供される正規のセキュリティパッチを適用してください。

7.10.1. 利用できる機能

 仮想パッチでは以下の機能を利用できます。
機能 概要
仮想パッチ 脆弱性を狙った攻撃通信を検出または防御(ブロック)する機能。
推奨スキャン 仮想サーバーのシステム情報をスキャンして脆弱性の有無を確認し、その脆弱性に対応した仮想パッチを自動的に適用する機能。

7.10.2. 仮想パッチ機能

 検出モードまたは防御モードを選択できます。
モード 概要
検出
攻撃通信が検出されます。
なお、攻撃通信が検知されても、通信は遮断されません。
防御
攻撃通信が検知されます。
なお、攻撃通信が検知されると、通信が遮断されます。

注釈

  • 攻撃パケットの検出方法は以下のとおりです。
    L2/データリンク層にバインドされるカーネルモードドライバーを利用してパケットの中身を確認し、プロトコル違反・シグネチャベースによるマッチングを行い、パターンにマッチングしたパケットについて脆弱性を狙った攻撃通信として検出または防御します。
  • 検知状況および防御(ブロック)状況は、弊社が必要と判断した場合に、Emailなどで通知されます。

7.10.3. 推奨スキャン機能

 仮想サーバーのシステム情報を定期的にスキャンして脆弱性の有無を確認し、検出された脆弱性に対応した仮想パッチが自動的に適用されます。
 仮想パッチの自動適用を実行する時間を、「時間単位」「日単位」、「週単位」、「月単位」から選択し、対象時間をJSTで指定します。
項目 内容
時間単位 「毎時X分」を指定します。
日単位 「毎日」、「平日」、「X日毎」のいずれかを指定します。
週単位 「毎週Y曜日」、「X週毎のY曜日」のいずれかを指定します。
月単位 「毎月X日」、「毎月第X週のY曜日」のいずれかを指定します。

注釈

  • 仮想パッチは、OSや、インストール済みの一般的なアプリケーション(apacheなど)の脆弱性に対して有効です。
  • お客様にて正規のパッチを適用されていた場合は、推奨スキャン時に仮想パッチが解除されます。

7.10.4. 注意事項

仮想サーバーのシステム要件
 仮想パッチのエージェントソフトウェアが動作するシステム要件(メモリー容量、ディスク容量、OS)は、以下のとおりです。
項目 概要
メモリー容量 512 MB以上
ディスク容量 1 GB以上
OS Enterprise Cloud サービスで利用可能なOSのうち、別紙「ウイルス対策/仮想パッチ/VM間ファイアウォール対応OS一覧」に記載のあるOS

重要

  • Linux OSの場合は、カーネルのバージョン確認が必要です。
  • 仮想パッチをご利用になる場合は、OS上にてIPv6の設定を正しく有効または無効にしてください。
エージェントソフトウェアのインストール
 仮想パッチを利用するには、仮想サーバー上にエージェントソフトウェアをアップロードして、インストールします。詳しくは、エージェントソフトウェアインストールガイドを参照してください。

重要

  • 仮想パッチは、ウイルス対策(VM)以外のウイルス対策ソフトウェアと同時に利用することはできません。仮想パッチのエージェントソフトウェアをインストールする前に、必ず他のウイルス対策ソフトウェアをアンインストールしてください。
  • エージェントソフトウェアを仮想サーバー上にアップロードする場合、ISOイメージファイル、またはCD/DVDドライブでのマウントによるアップロードは実施しないでください。
  • エージェントソフトウェアをインストールする仮想サーバーは、NTPなどで時刻同期を行ってください。時刻の同期がとれていない場合、エージェントソフトウェアの有効化に失敗する場合があります。
  • エージェントソフトウェアの待ち受けポートとして4118ポートを使用します。このポート番号は変更不可のため、エージェントソフトウェアをインストールする仮想サーバーでは他のアプリケーションと重複しないことを確認の上、利用してください。
  • エージェントソフトウェアのインストール中、ネットワークインターフェースが停止し、復旧までに数秒間かかります。DHCPを使用している場合、新しい要求が生成されるため、復旧した接続に対して別のIPアドレスが割り当てられる可能性があります。詳細は、以下のサイトを参照してください。

注釈

  • 仮想サーバーへのエージェントソフトウェアのインストールは、お客様にて実施してください。
  • エージェントソフトウェアをインストールするには、対象のホストに管理者としてログインする必要があります。
エージェントソフトウェアの標準インストール先
 エージェントソフトウェアの標準インストール先は、仮想サーバーのOSによって異なります。
OS 標準インストール先
Windows C:\Program Files\Trend Micro\Deep Security Agent
Red Hat Enterprise Linux
System files:/opt/ds_agent、/var/opt/ds_agent
Startup scripts:/etc/init.d/ds_agent、/etc/init.d/ds_filter
Communication channel between user and kernel mode
components:/dev/dsa、/dev/dsa_ssl、/proc/driver/dsa

注釈

  • インストール先は変更できます。また、エージェントソフトウェアのバージョンアップなどにより、インストール先の内容が変更される場合があります。
弊社管理のマネージャーとの通信
 仮想パッチを利用する仮想サーバーは、弊社管理のマネージャーと通信する必要があります。
 ルーティング設定とDNS名前解決の設定を実施してください。
ルーティング設定
※ 本項では統合ネットワークアプライアンスをINAと表記します。
  • 仮想サーバーからvファイアウォール/INAへのルーティングを、以下のいずれかの方法で設定してください。
    • 仮想サーバーのデフォルトゲートウェイを、vファイアウォール/INAに設定
    • 弊社管理のマネージャー宛通信のスタティックルートのゲートウェイを、vファイアウォール/INAに設定
  • 仮想パッチを利用する仮想サーバーが、vファイアウォール/INAと直接接続されていないサーバーセグメントに接続されている場合は、vファイアウォール/INAと仮想サーバーを直接接続するための追加サーバーセグメントが必要です。
DNS名前解決
 弊社管理のマネージャーと通信するために、マネージャーの名前解決が必要です。お客様環境内のDNSサーバーまたは、対象仮想サーバーのhostsファイルを使用して、弊社管理マネージャーの名前解決の設定を実施してください。
制約事項

  • 本サービスには、vファイアウォールまたは統合ネットワークアプライアンスのご利用が必須となります。

  • エージェントソフトウェアの監視(常時起動していることの確認)は、お客様の責任で実施してください。

  • 以下の通信に関しては、仮想パッチのモード設定に関わらず、標準で通信を遮断致します。

    • TCPの同時接続数が10,000を超える通信

    • UDPの同時接続数が10,000を超える通信

    • RFCに準拠しない通信や不正な操作が疑われる通信

      (例)
      • IPヘッダが無い場合
      • 送信元および送信先IPが同じ場合
      • URIに使用できない文字が使用されている場合
      • 分離記号「/」が多い(100以上)場合
      • ルートの上に「../../」が使われている場合 等
また、ご利用中のサーバーのリソース不足に起因した通信断を引き起こす場合もあります。
  • 適用されるルールに紐付くアプリケーションの種類が、8種類(送受信別)を超えた場合にルールの更新が行えない状態となります。この状態になると、エージェントソフトウェアは最新ルールを適用できないため、新しい脅威に対応することができません。各アプリケーションベンダーから提供される正規のセキュリティパッチを適用すること(本各対処の実施)をご検討ください。

  • プライベートカタログを使用して、仮想サーバーをテンプレート化して保存する場合は、仮想パッチのエージェントソフトウェアをインストールする前に実施してください。

    仮想パッチのエージェントソフトウェアがインストールされた状態、またはインストールとアクティベーション(弊社が管理するマネージャーへの登録通信)が完了した状態の仮想サーバーをテンプレート化して保存した場合、そのテンプレートを使用して仮想サーバーを作成すると、テンプレート化する際に使用した仮想サーバーおよび新規に構築した仮想サーバーにおいて仮想パッチが利用できなくなります。イメージバックアップを使用した場合も同様です。

  • 仮想パッチは、仮想パッチで提供される機能が、完全性、正確性、お客様への利用目的への適合性を有していることについて保証するものではありません。また、仮想パッチ機能を構成するソフトウェアの開発元または販売元より提供されるシグネチャ(危険度・攻撃通信判定アルゴリズム)の妥当性を保証するものではありません。

  • 仮想パッチ機能を構成する機器の開発元または販売元に、以下の情報を提供する場合があります。

    • 仮想パッチの提供を通じて得られた設定情報
    • 仮想パッチの制御などによって得られた情報
  • 仮想パッチ機能とお客様環境との相性により起こり得る不具合、またはお客様が弊社指定以外の操作を行った場合に発生する不具合については、その回復の保証はできません。

  • メンテナンス作業時は、作業内容により、お客様通信へ影響が発生する場合があります。お客様通信に影響が発生する作業の場合は、事前連絡した上で実施します。ただし、本サービスを提供する上で緊急を要すると弊社が判断した作業の場合は、その限りではありません。

  • Enterprise Cloud 2.0 ホスト型セキュリティをEnterprise Cloud 1.0のホスト上でご利用される場合のお問い合わせは、Enterprise Cloud 2.0 チケットシステムでお問合せください。