【まとめ】Deep Security 10 アップデートで何が変わったのか

deepsecurity_logo_2

森永です。

今回はTrend Micro社が提供しているDeep Securityのバージョン10へのアップデートで何が変わったかをまとめます。
9までには無かった便利な機能が追加されたり、クラウド環境での使用が更にしやすくなったりしています。

総合サーバセキュリティ対策 - Trend Micro Deep Security | トレンドマイクロ

Deep Securityとは

サーバにインストールして使用するホスト型の総合セキュリティ対策ソフトウェアです。
総合と言っても何してくれるかわからないと思うので、Deep Securityが持っている機能を以下に記載します。

  • 不正プログラム対策
    • いわゆるマルウェア対策です
    • Windows/Linuxの大半でリアルタイム検索に対応しています
  • 侵入防御
    • いわゆるIPS/IDSです(一部WAF機能もあります)
    • 脆弱性が発見された際に公式パッチが出るまで防御する「仮想パッチ」という仕組みがあります
  • Webレピュテーション
    • サーバがWebアクセスする際に問い合わせを行い、問題があると記録されたサイトの場合防ぎます
  • ファイアウォール
    • IPアドレス、MACアドレス、ポートで細かくフィルタリングが出来るファイアウォールです
  • 変更管理
    • ファイルやレジストリなどの内容、権限などを監視し、変更があった場合に通知します
  • セキュリティログ監視
    • イベントログなどを監視し、特定のイベントが閾値を超えて発生した際に通知します

上記を見て分かるようにサーバのセキュリティ対策で必要なことは大体できます。
サーバにインストールするホスト型なので、スケールしやすいというメリットもあります。

Deep Security 10で追加された機能

では本題に入りましょう。
Deep Security 10で追加された機能で大きなものを列挙します。

  • CTD(Connected Threat Defense)連携
  • 不正プログラム対策強化(挙動監視、ランサムウェア対策、メモリ検索)
  • アプリケーションコントロール機能追加
  • スマートフォルダ機能追加
  • Dockerサポート

CTD(Connected Threat Defense)連携

未知の不正プログラムに対して、Trend Microの別製品と連携して対応できるという仕組みです。
Deep Discovery Analyzerという製品を使えばサンドボックスでファイルの分析を行い、シグネチャを作成することが可能です。
このシグネチャをControl ManagerでDeep Securityに配信することで、未知の不正プログラムにも対応できるようになるということです。

不正プログラム対策強化(挙動監視、ランサムウェア対策、メモリ検索)

未知の不正プログラム対策としてプログラムの振る舞いを監視し、不正プログラム特有の挙動をしている場合ブロックします。
これにより最近被害が増えている1ランサムウェア(身代金要求型ウイルス)対策ができるようになりました。
不正な暗号化や変更をブロックしたり、暗号化ファイルを自動でバックアップして、復元できるようにします。

こちらの設定は、リアルタイム検索設定(「ポリシー」→「共通オブジェクト」→「その他」→「不正プログラム検索設定」)にて設定できます。

画像

アプリケーションコントロール機能追加

サーバにインストールされたアプリケーションをホワイトリスト化して、リストにないプログラムが実行された際にブロックする仕組みです。
通常、ホワイトリストを作成するのが非常に面倒になります。
この機能では、メンテナンスモード期間中に実行されたプログラムを自動でホワイトリストに追加します。 サーバのプログラムを変更する際にはメンテナンスモードにしてあげれば勝手にホワイトリストが出来るということです。
逆にブラックリストを手動で作成することも可能です。

こちらの機能は別途試してみた記事を作成予定です。

画像

スマートフォルダ機能追加

Deep SecurityはAWSアカウントと連携して自動でインスタンスを登録することが出来ます。
便利な機能なのですが、管理対象外のインスタンスも表示されて見づらくなるというデメリットが有りました。

「スマートフォルダ」という機能では、ルールを作成することでインスタンスをフィルタリングして一つのフォルダを作ることが出来ます。
例えば、AWSのタグでフィルタリングすることで、プロジェクト毎、ユーザ毎にフォルダを作成することが出来ます。
指定するフィルタはAND条件やOR条件で結びつけることが可能です。

以下画像の設定では、タグのキーが「Project」値が「hogehoge」かつDeep Security Agentが有効化されているものだけ表示するフォルダを作成可能です。

画像

Dockerサポート

9.6でもDockerコンテナの保護は一部できたのですが、10になり正式にDockerコンテナの保護がサポートされました。
Deep Security AgentをホストOSにインストールすることで保護を行います。
ホストとコンテナで保護できる内容が違うようなので注意が必要です。

  • ホストの保護
    • 侵入防御
    • 不正プログラム対策
    • 変更監視
    • セキュリティログ監視
    • アプリケーションコントロール
    • ファイアウォール
    • Webレピュテーション
  • コンテナの保護
    • 侵入防御
    • 不正プログラム対策

Docker対応は別途試してみた記事を作成予定です。

注意点

Deep Security 10からDeep Security Agentのシステム要件のメモリ量が増えています。
バージョンアップを考えている方はご注意下さい。

  • DS9.6まで
    • 512MB
  • DS10
    • 1GB
    • 不正プログラム対策+侵入防御使用時: 2GB を推奨
    • 全機能が有効の場合は 5GB を推奨

全機能使うときは5GB…なかなかヘビーです。

最後に

他にも新たなプラットフォームに対応したなどアップデートはありますが、個人的に熱い機能を列挙しました。
詳しい内容はTrend Microのヘルプセンターをを御覧ください。

各機能の詳細については機能検証ブログを各予定ですのでお楽しみに!

注釈