Trend Micro Deep Security
Trend Micro Deep Security とは
サーバー環境は物理サーバーに始まり、現在では仮想サーバーやクラウド環境など多種に渡ります。そのため、重要サーバーを狙う標的型サイバー攻撃対策を、それぞれのサーバー環境に合わせ導入するという企業も多いのではないでしょうか。そのような環境では導入コストや運用コストがかかり、セキュリティポリシーの統一性が失われ、管理者の負担も増える一方です。
Deep Securityは、サーバーの物理・仮想・クラウド環境にまたがってセキュリティ課題をトータルにシンプルに解決します。
このようなお悩みはありませんか?
- 課題
- 解決
-
課題
- 異なるサーバー環境のセキュリティ対策をできるだけ簡単に実施したい。
-
解決
マルウェア対策、IPS/IDS、FWなど、サーバーセキュリティに必要なセキュリティ機能をオールインワンで提供。
-
課題
- 新たな脅威に対して、管理者の負荷を減らして迅速に対応したい。
-
解決
サーバーの脆弱性を自動で見つけだし、自動で仮想パッチを適用することが可能。
-
課題
- 既存のネットワーク構成を変えずにサーバーセキュリティを導入したい。
-
解決
サーバー環境に合わせた保護モジュールの提供により、ネットワーク構成の変更不要。
Deep Security 概要
Deep Securityは、オンプレミス環境、各種クラウド環境、仮想サーバー環境に対し、標的型攻撃などのセキュリティ課題をトータルに解決するオールインワン機能を提供します。環境に合わせた、導入・運用コストを低減しながら、社内サーバーのセキュリティポリシーの統一化を実現します。
仮想パッチによるシステムの保護
ソフトウェアベンダーが提供する本来のセキュリティパッチを早急に適用することが難しい環境へ、暫定的なセキュリティを担保するために、仮想的なパッチを提供します。ルールにもとづいて脆弱性を突く攻撃パケットを検知しブロックすることにより、お客さまの環境を保護します。
本来のセキュリティパッチは脆弱性のあるソフトウェアそのものにインストールするため、適用の工数および慎重な事前検証が必要ですが、仮想パッチはルールとしてエージェントに適用されますので、対象のソフトウェアにインストールすることなく、保護可能です。また、予期せぬ事態が生じた場合のロールバックも容易に実現できます。
推奨設定の検索を活用することで、対象サーバーのOSやミドルウェアをチェックし必要な仮想パッチを自動的に適用することが可能です。ネットワーク型IDS/IPSに比べて容易な運用ができます。
正規パッチの適用作業スケジュールを計画的に行える
ホスト型のセキュリティ対策(Deep Securityエージェント/エージェント型)
ホスト型セキュリティのため、物理サーバーやインスタンス増減の際のボトルネックの考慮が不要で、障害時の影響も物理サーバーやインスタンス単位に抑えることができます。また、Auto scaling機能により、動的に増えるインスタンスに対し自動的にDeep Securityエージェントのインストールが可能です。あらかじめ設定したセキュリティポリシーを自動的に適用することができるため、管理者が都度設定する必要がありません。
Deep Security 主な機能
Deep Securityは、以下7つの機能を1つの製品で提供します。
不正プログラム(マルウェア)対策
ウイルスがサーバーに侵入しようとした際に検出するリアルタイム検索や、毎週/毎日など事前に設定した時間に検索を行うスケジュール検索によりサーバーをウイルス感染から保護します。さらに、Webレピュテーション機能*1も実装されています。
- *1不正なURLをクリックした際に、そのURL先にリダイレクトされることを防ぐ機能
Webレピュテーション
サーバーがWebサイトにアクセスするなどの通信が発生する際にSmart Protection Network*2に自動的に問い合わせを行い、接続先ドメイン、Webサイト、Webページが不正な場合にはアクセス自体をブロックすることによって不正プログラムのサーバーへの感染、情報漏洩などを防ぐことができます。
- *2迅速に脅威を特定しアーカイブする、世界規模のクラウド型セキュリティインフラ
IPS/IDS(侵入防御)
仮想パッチ(脆弱性ルール適用)
仮想パッチとは、脆弱性を狙う攻撃コードをネットワークレベルでブロックすることで仮想的にパッチが当たっている状態のことで、脆弱性を突いた攻撃からサーバーを保護します。Windows、Linux、SolarisなどのサーバーOSを始め、Apache、BIND、Microsoft SQL、Oracleなど100以上のアプリケーションに対応しており、Webアプリケーションの脆弱性を突いた攻撃からサーバーを保護することができます。独自のアプリケーションの脆弱性に対しては個別のカスタマイズルールを作ることで対応可能です。
防御モード/検出モード
すべてのルールは、防御モード*3と、検出モード*4を選択することが可能です。誤検知が心配な場合は、初めは検知モードで導入し、アプリケーションの動作が確認されてから防御モードにするなどの方法で、安全に導入することが可能です。
- *3パケットを破棄するモード
- *4イベントのみをログに記録しトラフィックは通過させるモード
ファイアウォール
サーバー・ネットワークごとの細かなポリシー設定
IPアドレス、MACアドレス、ポートのフィルタリングをサーバーごとに細かく設定できます。ネットワークごとのポリシー作成も可能です。
共通テンプレート
Deep Securityではあらかじめ用意されている共通テンプレート(Webサーバー用、DNSサーバー用など)を利用し、ポリシー設定をスピーディーに行うことができます。TCP、UDP、ICMPの各プロトコル、IP、ARPなどの各フレームワークに対応します。個別にサーバーごとに行っていた設定も、Deep Securityマネージャを通じて、サーバーの種類ごと、設置しているセグメントごとにポリシーを設けて一括設定、集中管理することができます。
変更監視
あらかじめ指定したファイルやレジストリ、ファイル権限、ポートなどを監視し、変更があった場合に管理者に通知する機能です。PCI DSS 10.5.5の準拠を支援し、ファイルのプロパティなどから整合性を監視します。不正な変更があった場合の警告、重要なシステム変更時の通知、レポート生成が可能です。
セキュリティログ監視
Windowsのイベントログやアプリケーションのログを監視し、あらかじめ決められた閾値を超えた場合に管理者にアラートを上げることができます。また、複数のログからセキュリティイベントを監視して、相関的に監視・分析することで疑わしいふるまいと判断しアラートを上げることができます。イベント発生時には、ログをSIEMや、既存の監視システムのログ管理サーバーなどに転送することも可能です。
アプリケーションコントロール
サーバーにインストールされたアプリケーションをホワイトリスト化し、許可されていないプログラムが実行されたときに検知・ブロックする機能です。サーバーに新しいアプリケーションを追加したりすでに実行されているアプリケーションのバージョンアップをする場合、Deep Securityの管理コンソール上でアプリケーションコントロールを「メンテナンスモード」に変更して、その間に追加・変更されたアプリケーションを許可するルールセットに追加することが可能です。
最終更新日:2023年12月6日
