Trend Micro Deep Security as a Service 評価ガイド

Trend Micro Deep Security as a
Service 評価ガイド
トレンドマイクロ株式会社
3 | Trend Micro Deep Security as a Service
Page 1 of 23 | Trend Micro Deep Security as a Service
Deep Security as a Service 評価ガイド
Deep Security as a Service は、お客様およびパートナー様向けに現在販売されているトレン
ドマイクロ製の新サービスです。
http://www.trendmicro.co.jp/jp/business/products/tmdsaas/index.html
にアクセスし
て登録を行い、続いて Deep Security as a Service ポータルにログインします。
Deep Security as a Service では、クラウド上で稼働しているサーバーに対して包括的な保護
を提供し、さらに以下の 5 つの保護レイヤを提供することで、インフラのセキュリティコント
ロールを補完することを目的としています。
1. 不正プログラム対策不正プログラム、ウイルス、トロイの木馬、スパイウェアなどの
ファイルベースの脅威からリアルタイムに保護する機能と、必要に応じて保護する機能
があります。脅威を特定するために、サーバにホストされている、またはアップデート
可能なパターンとしてローカルに保管されている包括的な脅威データベースに対して、
ファイルを照合します。また、圧縮や既知の攻撃コードなど、特定の特性がないかにつ
いても確認します。
2. 侵入防御既知またはゼロデイの脆弱性に対する攻撃、SQL インジェクション攻撃、ク
ロスサイトスクリプティング攻撃、およびその他の Web アプリケーションの脆弱性か
らコンピュータを保護します。コードの修正が完了するまで、脆弱性から保護されます。
また、ネットワークにアクセスする不正なソフトウェアを特定し、ネットワークにアク
セスするアプリケーションに対する可視性および制御性を向上します。
3. ファイアウォール Trend Micro Deep Security のファイアウォールは、NDIS ベース
の双方向のステートフルファイアウォールであり、許可されていない送信元からのパケ
ットがホスト上のアプリケーションに到達しないようにします。
4. Web レピュテーション不正な URL へのアクセスをブロックすることによって、Web
の脅威から保護します。Trend Micro Deep Security は、Trend Micro Smart
Protection Network の Web セキュリティデータベースを使用して、ユーザがアクセ
スしようとしている Web サイトのレピュテーションを確認します。Web サイトのレピ
Page 2 of 23 | Trend Micro Deep Security as a Service 2014 年 9 月版
ュテーションは、コンピュータに適用されている特定の Web レピュテーションポリシ
ーと比較されます。適用されている Web レピュテーションのセキュリティレベルに応
じて、Trend Micro Deep Security が URL へのアクセスをブロックまたは許可します。
5. 変更監視コンピュータ上の特定の領域に関する変更を監視します。Trend Micro Deep
Security で監視できるのは、インストール済みのソフトウェア、実行中のサービス、プ
ロセス、ファイル、ディレクトリ、待機中のポート、レジストリキー、およびレジスト
リ値です。変更監視モジュールは、割り当てられているルールで指定されたコンピュー
タ上の領域に対し、ベースライン検索を定期的に実行することで、変更点を検出します。
Trend Micro Deep Security Manager には、事前定義された変更監視ルールが付属し
ています。新しい変更監視ルールは、セキュリティアップデートで提供されます。
6. セキュリティログ監視 Windows のイベントログやアプリケーションのログを監視し、
予めきめられた閾値を超えた場合に管理者にアラートを上げることができます。例えば、
Windows イベントログに短い間に複数のログイン失敗のイベントが上がった場合等に
管理者に即知らせることができます。
Deep Security as a Service は、セキュリティポリシーを作成して仮想サーバに割り当て、セ
キュリティイベントを確認でき、その実行も可能な管理コンソールから成り立っています。仮
想サーバは、仮想サーバ自身内で稼働するエージェント（Windows または Linux）によって保
護されています。エージェントが一旦管理コンソールからセキュリティポリシー（保護ルール）
を受信すると、あとは稼働している仮想サーバを保護するだけです。
エージェントは、ハートビートベースで管理コンソールに通信を行い、セキュリティイベント
に関連するあらゆる情報を管理コンソールへアップロードします。そして管理コンソールは必
要に応じて、セキュリティポリシーの更新情報をエージェントに送り返します。
本文書では、Deep Security as a Service の新規ユーザに、このサービスで利用できる特性や
機能（セキュリティポリシーの作成や仮想サーバへの割り当て方法、保護された仮想サーバに
関連するセキュリティイベントの確認方法など）を簡単なチュートリアルで紹介しています。
Page 3 of 23 | Trend Micro Deep Security as a Service 2014 年 9 月版
できる限り簡潔に、かつ基本的なコンセプトを手早く説明できるよう、本書では Deep
Security as a Service の全新規ユーザ向けの学習ツールとして用意しているデモサーバーを活
用します。
デモサーバーには、Deep Security as a Service が提供している異なる保護レイヤを手軽にテ
ストでき、個々のセキュリティコントロールがもたらす様々なセキュリティイベントを確認で
きるサンプル Web アプリケーションが搭載されています。
はじめましょう
Deep Security as a Service のアカウントをまだ登録していない場合、
https://app.deepsecurity.trendmicro.com/SignIn.screen
にアクセスし、登録フォームを
入力します。
図 1 app.deepsecurity.trendmicro.com のリンクにある表示に従い、体験版に登録します。
Page 4 of 23 | Trend Micro Deep Security as a Service 2014 年 9 月版
図 2 app.deepsecurity.trendmicro.com のリンクにある表示に従い、体験版に登録します。
アカウント名は、あなたの会社名か、またはサービスを利用する他のお客様とは異なる独自の
ものにします。それぞれのアカウントには、複数のユーザを持たせることができます。
フォームの送信が終わると、アカウントを作成中である旨を知らせる email が届きます、アカ
ウントの作成までに 15 分程度要します。
Page 5 of 23 | Trend Micro Deep Security as a Service 2014 年 9 月版
アカウントの作成完了後、Deep Security as a Service のログインページへのリンクが記され
た 2 つ目の email が届きます、そこには既に用意されているお客様のテナント ID とユーザー
名も記されています。
ログイン後には、仮想サーバを保護するために Deep Security as a Service を使用する際のコ
ンセプトについて、非常に詳しく学ぶことができます（図 3 はじめに）。
図 3 はじめに
管理コンソールは、管理者の一般的なワークフローをシミュレーションできるように左から右
へのタブ形式で、最も一般的に利用されるタスクをグループ化したタブ型レイアウト（つまり、
ダッシュボードでの作業、アラートの確認、特定のイベントの調査、コンピュータのステータ
ス確認など）を基調としています。
Page 6 of 23 | Trend Micro Deep Security as a Service 2014 年 9 月版
図 4 DSaaS コンソールのタブ型レイアウト
ダッシュボード
ダッシュボードタブを使用すると、管理者は Deep Security 環境の状態を一目で確認すること
ができます。管理者は、カスタマイズ可能なビューや保存可能なダッシュボードでウィジェッ
トの順番を変更、または追加/削除を行うなど、ウィジェットのレイアウトを編集可能です。ま
た、さらに分析をするために、ウィジェットをクリックして、そのウィジェットに関連するイ
ベントを直接呼び出すこともできます。
図 5 一目で確認できるダッシュボード
アラート
アラートタブでは、すぐに注意を払う必要があるイベントやアクティビティの緊急通知が表示
されます。2 種類のアラート（システムおよびセキュリティ）に対応しています。システムア
ラートは、（エージェントがオフライン状態、通信障害、インフラの警告など）のシステムイ
ベントやセキュリティモジュールのイベントによって呼び出されます。アラートは、管理タブ
のシステム設定＞アラート＞“アラート設定の表示”をクリックして設定することができます。
Page 7 of 23 | Trend Micro Deep Security as a Service 2014 年 9 月版
図 6 アラート情報
イベント&レポート
イベント&レポートタブでは、管理者がイベントの確認とレポートの作成を行います。システ
ムイベントや、セキュリティモジュールに特化したイベントが確認できます。個々のセキュリ
ティモジュールのイベントは、要望に応じてイベントの表示状態を調整するために、利用可能
なイベントのカスタムフィルタリングを駆使して個別のページに表示されます。必要であれば、
イベントはイベントページから csv 形式のファイルに直接エクスポートできます。さらに、特
に気になるイベントにはタグ付けすることができ、そのタグは特定のイベントのみに適用する
ように設定可能で、また既存の類似したイベントへの適用や今後発生する類似したイベントに
適用可能です。
Deep Security は、ユーザーレポート、セキュリティモジュールに特化したレポート、そして
利用可能なレポートに含まれる情報をカスタムフィルタリングした一般的なレポートの形式で、
18 種類の異なるレポートに対応しています。レポートはパスワードを使用して保護でき、作成
スケジュールを立てて指定タスクの一環として E メール送信を行うことも可能となり、レポー
ト作成や日次、週次、月次レポートの配信が極めて簡単に行えるようになります。
Page 8 of 23 | Trend Micro Deep Security as a Service 2014 年 9 月版
図 7 イベント&レポートのダイアログ
コンピュータ
コンピュータタブは、テナントアカウントに属する仮想サーバのインベントリを表示させるた
めに使用します。AWS などクラウドを利用しているユーザは、“クラウドアカウント”を追加す
ることにより、Deep Security as a Service に保護されているいないにかかわらず、あらゆる
仮想サーバとそれらの現状（稼働中/停止）が表示されます。
コンピュータが既に存在（以下に画面キャプチャが示されています）していることに気づかれ
ると思いますが、これは学習および評価を目的として当社チームが作成したデモサーバーです。
このデモサーバーは、本レビュアーズガイドの後半で使用する予定ですが、まずは Deep
Security as a Service に AWS 仮想サーバを同期させる方法を見ていきましょう。
コンピュータタブでは、新規コンピュータを追加するオプションが表示されています。このオ
プションを選択すると、いくつかのオプションが表示され、そこで“クラウドアカウントの追加
…”を選択します。このオプションを選択すると、お持ちのクラウドの仮想サーバのインベント
リを Deep Security as a Service に同期できるコネクタの設定プロセスに移ることになります。
コネクタは、Deep Security as a Service にリストアップされた仮想サーバインベントリを同
期させておくために、仮想サーバインベントリ情報を定期的にポーリングします。
Deep Security as a Service への仮想サーバインベントリの同期に加えて、個々の仮想サーバ
に関係するメタデータも、同期プロセスの一環として含まれています。同期されたメタデータ
Page 9 of 23 | Trend Micro Deep Security as a Service 2014 年 9 月版
には、新規仮想サーバの保護を自動化するために使用される仮想サーバ ID、イメージ ID、セ
キュリティグループなどの情報が含まれています。
・追加可能なクラウドアカウント：AWS と vCloud（2014 年 7 月現在）
・仮想サーバ事体の管理は、各クラウドサービスが提供している管理コンソールから実
施してください
図 8 仮想サーバインベントリの同期
Page 10 of 23 | Trend Micro Deep Security as a Service 2014 年 9 月版
図 9 AWS 用コネクタの設定
ポリシー
ポリシーは、セキュリティコントロールの有効化/無効化を行い、特定のルールを割り当てるこ
とが可能なセキュリティテンプレートです。ポリシーは、仮想サーバ単位でセキュリティポリ
シーを管理しなければならないものとは対照的に、共通の仮想サーバをグループ管理できるメ
リットがあります。セキュリティポリシーに加えられた変更内容は、そのセキュリティポリシ
ーが割り当てられているすべての仮想サーバに自動的に適用されます。
ポリシーは、親レベルで割り当てられたルールや設定を引き継いだ子ポリシーにおいて階層的
になっています。子ポリシーではさらにルールを追加したり、親レベルで割り当てられたルー
ルや設定を無効にすることもできます。以下の例で、ポリシーの階層モデルを分かりやすく説
明しています。

ベースポリシー（すべてのオペレーティングシステムに適用可能な設定の基準）
o
Windows ポリシー（すべての Windows オペレーティングシステムに共通なル
ールや設定が含まれます）
Page 11 of 23 | Trend Micro Deep Security as a Service 2014 年 9 月版

Windows Server 2008（Windows Server 2008 に特化したルールが
含まれます）

Windows アプリケーションサーバー（このサーバータイプで稼
働しているアプリケーションに特化したルールが含まれます）
図 10 ポリシーの階層構造
Page 12 of 23 | Trend Micro Deep Security as a Service 2014 年 9 月版
図 11 Windows Server 2008 のセキュリティポリシーの例
ポリシーの設定セクションでエージェントの設定を指定し、様々なセキュリティポリシーによ
って保護対象のサーバのタイプに応じて様々なエージェントの構成設定に対応できるようにな
ります。設定セクションには、4 つのタブがあり、以下の設定を行う事ができます。

Computer（コンピュータ）：エージェント側の通信設定

Network Engine (ネットワークエンジン)：インラインまたはタップモードの選択およ
びローカルイベントの管理オプション

Scanning（検索）：推奨設定

SIEM（SIEM）：セキュリティイベントを送信するための SIEM 設定
Page 13 of 23 | Trend Micro Deep Security as a Service 2014 年 9 月版
図 12 SIEM 設定およびその他の設定
管理
管理タブでは、デフォルトのシステム設定の制御、予約済みイベントベースタスクの作成、管
理担当者や権限の管理、そしてセキュリティやソフトウェアの更新ファイルの管理を行います。
Page 14 of 23 | Trend Micro Deep Security as a Service 2014 年 9 月版
図 14 システム設定画面
デモサーバーでの作業
これで管理コンソールの基本的な概要が理解できたので、プレインストールされたデモサーバ
ーを使用して、実際に稼働している Deep Security as a Service を見てみましょう。
コンピュータに戻り、Deep Security as a Service アカウントで提供されているテストコンピ
ュータをダブルクリックします。コンピュータの説明ボックスにデモサーバーへの URL が表示
されているため、この URL をコピーして別のウィンドウ、またはブラウザ内のタブに貼り付け
ます。すると、次のような Web アプリケーションが表示されます。
Page 15 of 23 | Trend Micro Deep Security as a Service 2014 年 9 月版
図 15 提供されているテスト用のデモサーバー
デモサーバーに割り当てられたセキュリティポリシーはデモと呼ばれ、どのようなルールが割
り当てられているか、そしてデモアプリケーションによってそれらがどのように始動するのか
を簡単に見て理解できるように、非常に簡潔なルールセットが含まれています。
サンプルアプリケーションの各ボタンでは、攻撃やセキュリティポリシー違反をシミュレーシ
ョンできるようになっており、実装している 5 つのテストケースは次の通りです。
1. Eicar テストファイル形態の悪意のあるソフトウェアが保護対象サーバにコピーされた
場合の、リアルタイムなマルウェア対策のデモがご覧いただけます。
Page 16 of 23 | Trend Micro Deep Security as a Service 2014 年 9 月版
2. サンプル Web アプリケーションのクロスサイトスクリプティングの脆弱性を悪用する
試みに対して、当社の不正侵入防止対策のデモがご覧いただけます。
3. エージェントのファイアウォールルールによってブロックされている仮想サーバ上のポ
ートにアクセスを試みます。
4. マルウェアによって危険にさらされた URL が、アクセスされないようにブロックされ
る Web レピュテーションの機能のデモがご覧いただけます。
5. 最後のテストケースでは、デモサーバーに不正なファイルを追加することで、変更監視
ルールが始動します。
作業を進めて、サンプルアプリケーション上のそれぞれのボタンをクリックすると、エージェ
ントが実行する動作を確認でき、記録されたセキュリティイベントで詳細レベルについて情報
を確認できます。
ここで Deep Security as a Service の管理コンソールに戻り、デモサーバーをダブルクリック
します。以下のイメージのように、Deep Security as a Service で対応している個々のセキュ
リティコントロールが左側に表示されます。
Page 17 of 23 | Trend Micro Deep Security as a Service 2014 年 9 月版
図 16 デモサーバーの詳細
マルウェア対策タブをクリックすると、マルウェア対策画面が表示されるため、このダイアロ
グの右端にあるイベントタブを選択します。マルウェアイベントが表示されていない場合は、
右の矢印をクリックすると表示されます。そこでマルウェアイベントをダブルクリックすると、
イベントの詳細が表示されます。
Page 18 of 23 | Trend Micro Deep Security as a Service 2014 年 9 月版
図 17 マルウェアのイベントビューア
対応している様々なセキュリティモジュール（つまり、Web レピュテーション、ファイアウォ
ール、不正侵入防止、変更監視）で個々に作業を繰り返し、発生したそれぞれのイベントの関
連情報を確認します。
ダッシュボードタブに戻り、様々なウィジェットへのテスト結果の表示方法を確認します。
図 18 ダッシュボードに反映されたブロック済み攻撃
Page 19 of 23 | Trend Micro Deep Security as a Service 2014 年 9 月版
本チュートリアルで最後に実行するタスクは、レポートを実行して、直近のテストアクティビ
ティが、様々なレポート形式にどのように反映されていくか表示します。“レポートの生成”を
選択し、続いてレポートのタイプドロップダウンリストで“攻撃レポート”を選択します。次に、
ページ下段右端にある“生成ボタン”をクリックします。他のレポートも作成して、装備されて
いるレポートがどのようなものか確認します。
図 19 サンプルレポート
次のステップ…
Deep Security as a Service で行う作業の次のステップは、お客様の特定の環境要件に沿うよ
うにデフォルトポリシーをカスタマイズし、自分自身の仮想サーバを保護するエージェントを
実装することです。
保護するリソース（つまり、Windows 2008 Server や Linux サーバなど）に最も密接に関係
するポリシーのクローンを作成しておくことをお奨めします。それとは別に、ベースポリシー
を基にしてゼロからポリシーを作成することもできます。デモンストレーションを目的として、
ここでは Windows Server 2012 のポリシーをハイライト選択し、ポリシーの複製を作成して、
新たなポリシーに独自の名前を割り当てます。新たなポリシーを開き、環境に合わせてセキュ
リティモジュール設定をカスタマイズします（ほとんどの場合、割り当てられたファイアウォ
Page 20 of 23 | Trend Micro Deep Security as a Service 2014 年 9 月版
ールルールや変更監視ルールに関するものです）。推奨検索機能を使用して、割り当てるべき
適切な不正侵入防止や変更監視のルールを推奨します。
図 20 – カスタマイズしてデフォルトポリシーを複製
適切なセキュリティポリシーを決定し、その設定が終わると、次のステップは自分の仮想サー
バを保護するエージェントをインストールします。インストールには、インストールスクリプ
トを利用すると便利です。
Deep Security as a Service には、インストールスクリプトを作成するためのウィザードが実
装されています。インストールスクリプトウィザードは、ヘルプメニュー（上段右）からアク
セスできます。
1. インストール：agent を選択します
2. プラットフォーム：仮想サーバの OS を選択します
Page 21 of 23 | Trend Micro Deep Security as a Service 2014 年 9 月版
3. Agent を自動的に有効化チェックボックスにチェックを入れます
4. ポリシー：仮想サーバを保護するために使用するポリシーを選択します
5. グループ：仮想サーバが割り当てられるグループ（またはフォルダ）が作成されてい
れば、それを指定してください
インストールスクリプトは、選択した内容に応じて作成され、新規仮想サーバの保護を自動化
するために、RightScale、Chef、Puppet のような実装ツールやカスタムスクリプトで使用さ
れます。

Windows オペレーティングシステムの場合、作成したスクリプトに
<powershell></powershell> のタグが含まれるようにします

AWS 利用者は、インストールスクリプトをインスタンスの“ユーザデータ”にコピペ
することでインスタンス起動時に自動的に agent がインストールされます
図 21 – 実装スクリプトのウィザードを使用する
Page 22 of 23 | Trend Micro Deep Security as a Service 2014 年 9 月版
ここまで、エージェントのインストール、アクティベーション、そしてセキュリティポリシー
の割り当てについて説明させていただきました。
本内容は、Deep Security as a Service のオンラインヘルプにも記載がございますのでご参照
ください。
また、Trend Micro Deep Security の Security Support Web
（http://esupport.trendmicro.com/ja-jp/enterprise/ds/top.aspx）では Trend Micro
Deep Security の各機能や設定等についての FAQ がございます、こちらもご活用ください。
Page 23 of 23 | Trend Micro Deep Security as a Service 2014 年 9 月版

Download Report