Trend Micro Deep Security

サーバ環境は物理サーバに始まり、現在では仮想サーバやクラウド環境など多種に渡ります。そのため、重要サーバを狙う標的型サイバー攻撃対策を、それぞれのサーバ環境に合わせ導入するという企業も多いのではないでしょうか。そのような環境では導入コストや運用コストがかかり、セキュリティポリシーの統一性が失われ、管理者の負担も増える一方です。
Deep Securityは、サーバの物理・仮想・クラウド環境にまたがってセキュリティ課題をトータルにシンプルに解決します。

Deep Securityは、オンプレミス環境、各種クラウド環境、仮想サーバ環境に対し、標的型攻撃などのセキュリティ課題をトータルに解決するオールインワン機能を提供します。環境に合わせた、導入・運用コストを低減しながら、社内サーバのセキュリティポリシーの統一化を実現します。

ソフトウェアベンダーが提供する本来のセキュリティパッチを早急に適用する事が難しい環境へ、暫定的なセキュリティを担保するために、仮想的なパッチを提供します。ルールに基づいて脆弱性を突く攻撃パケットを検知しブロックすることにより、お客様の環境を保護します。
本来のセキュリティパッチは脆弱性のあるソフトウェアそのものにインストールするため、適用の工数および慎重な事前検証が必要ですが、仮想パッチはルールとしてエージェントに適用されますので、対象のソフトウェアにインストールすることなく、保護可能です。また、予期せぬ事態が生じた場合のロールバックも容易に実現できます。
推奨設定の検索を活用することで、対象サーバのOSやミドルウェアをチェックし必要な仮想パッチを自動的に適用することが可能です。ネットワーク型IDS/IPSに比べて容易な運用ができます。

ホスト型セキュリティのため、物理サーバやインスタンス増減の際のボトルネックの考慮が不要で、障害時の影響も物理サーバやインスタンス単位に抑えることができます。また、Auto scaling機能により、動的に増えるインスタンスに対し自動的にDeep Securityエージェントのインストールが可能です。予め設定したセキュリティポリシーを自動的に適用することができるため、管理者が都度設定する必要がありません。

従来、各ゲストOSにインストールを必要としていたマルウェア対策では、各ゲストOSのCPUやメモリ等のリソースの消費により、仮想サーバ自体のリソースに高負荷がかかる課題（アンチウイルスストーム）がありました。Deep Security Virtual Applianceは独立した仮想マシン上でマルウェア検索やパターンファイルのアップデートといった集中処理が行われます。ゲストOSにエージェント型の対策製品をインストールする必要がないため、リソース消費の効率化とマルウェア検索時間の削減を実現しながら、仮想サーバのパフォーマンスを損なわない対策を実施することが可能です。

Deep Securityは、以下7つの機能を1つの製品で提供します。

ウイルスがサーバに侵入しようとした際に検出するリアルタイム検索や、毎週/毎日など事前に設定した時間に検索を行うスケジュール検索によりサーバをウイルス感染から保護します。さらに、Webレピュテーション機能^※1も実装されています。

• ※1　不正なURLをクリックした際に、そのURL先にリダイレクトされることを防ぐ機能

サーバがWebサイトにアクセスするなどの通信が発生する際にSmart Protection Network^※2に自動的に問い合わせを行い、接続先ドメイン、Webサイト、Webページが不正な場合にはアクセス自体をブロックすることによって不正プログラムのサーバへの感染、情報漏えいなどを防ぐことができます。

• ※2　迅速に脅威を特定しアーカイブする、世界規模のクラウド型セキュリティインフラ

仮想パッチとは、脆弱性を狙う攻撃コードをネットワークレベルでブロックすることで仮想的にパッチが当たっている状態のことで、脆弱性を突いた攻撃からサーバを保護します。Windows、Linux、Solaris等のサーバOSを始め、Apache、BIND、Microsoft SQL、Oracle等100以上のアプリケーションに対応しており、Webアプリケーションの脆弱性を突いた攻撃からサーバを保護することができます。独自のアプリケーションの脆弱性に対しては個別のカスタマイズルールを作ることで対応可能です。

全てのルールは、防御モード^※3と、検出モード^※4を選択することが可能です。誤検知が心配な場合は、初めは検知モードで導入し、アプリケーションの動作が確認されてから防御モードにするなどの方法で、安全に導入することが可能です。

• ※3　パケットを破棄するモード
• ※4　イベントのみをログに記録しトラフィックは通過させるモード

IPアドレス、MACアドレス、ポートのフィルタリングをサーバごとに細かく設定できます。ネットワークごとのポリシー作成も可能です。

Deep Securityではあらかじめ用意されている共通テンプレート（Webサーバ用、DNSサーバ用等）を利用し、ポリシ設定をスピーディに行うことができます。TCP、UDP、ICMPの各プロトコル、IP、ARPなどの各フレームワークに対応します。個別にサーバごとに行っていた設定も、Deep Securityマネージャを通じて、サーバの種類ごと、設置しているセグメントごとにポリシーを設けて一括設定、集中管理することができます。

予め指定したファイルやレジストリ、ファイル権限、ポート等を監視し、変更があった場合に管理者に通知する機能です。PCI DSS 10.5.5の準拠を支援し、ファイルのプロパティなどから整合性を監視します。不正な変更があった場合の警告、重要なシステム変更時の通知、レポート生成が可能です。

Windowsのイベントログやアプリケーションのログを監視し、予め決められた閾値を超えた場合に管理者にアラートを上げることができます。また、複数のログからセキュリティイベントを監視して、相関的に監視・分析することで疑わしいふるまいと判断しアラートを上げることができます。イベント発生時には、ログをSIEMや、既存の監視システムのログ管理サーバなどに転送することも可能です。

サーバにインストールされたアプリケーションをホワイトリスト化し、許可されていないプログラムが実行された時に検知・ブロックする機能です。サーバに新しいアプリケーションを追加したり既に実行されているアプリケーションのバージョンアップをする場合、Deep Securityの管理コンソール上でアプリケーションコントロールを「メンテナンスモード」に変更して、その間に追加・変更されたアプリケーションを許可するルールセットに追加することが可能です。

最終更新日：2017年6月8日