このコンテンツはオフライン用のローカルバージョンで、内容が古くなっている場合があります。最新のドキュメントを確認するには、https://help.deepsecurity.trendmicro.com/ja-jpにオンラインでアクセスしてください。

Deep SecurityでのTLS 1.2の使用

Transport Layer Security (TLS) と以前のSecure Sockets Layer (SSL) は、異なるエンドポイント間の安全な接続を可能にする暗号化プロトコルです。Deep Securityコンポーネントは、通信する必要がある場合に、相互にサポートされている最新バージョンの暗号化プロトコルを特定し、そのバージョンを使用してセッション期間中のすべての通信を保護します。TLSの最新バージョンは1.2です。SSLはセキュリティ上の問題により、廃止されました。

トレンドマイクロでは、すべてのコンポーネント間でTLS 1.2通信を使用することを推奨しています。このページでは、TLS 1.2のメリットと、Deep Security環境でTLS 1.2を使用および強制する方法について説明します。

このページのトピック:

• TLS 1.2のメリット
• TLS 1.2のアーキテクチャ
• TLS 1.2を強制せずに使用する
• TLS 1.2を強制する
• TLS 1.2の強制を無効にする
• TLS 1.2適用後のAgent、Virtual Appliance、Relayのインストールに関するガイドライン

TLS 1.2のメリット

TLS 1.2の主なメリットは次のとおりです。

• セキュリティ向上。TLS 1.2は最新の攻撃コードから保護できるように強化されています。
• PCIへの準拠。Payment Card Industry Data Security Standard (PCI DSS) は、カード所有者のデータの安全を促進する情報セキュリティ基準です。PCIに準拠するには、該当する接続のSecure Sockets Layer (SSL) および初期のTLSを無効にする必要があります。PCIへの準拠の詳細については、Deep SecurityによるPCI DSS要件への対応を参照してください。

TLS 1.2のアーキテクチャ

下の図は、Deep SecurityアーキテクチャにおけるTLS通信を示しています。

図1は、Deep Security as a Service環境におけるTLS通信を示しています。図に示されているとおり、バージョン10.0以降のAgentはTLS 1.2を介してDeep Security as a Serviceと通信しますが、バージョン9.6のAgentは初期のTLSを介して通信します。同様に、新しいサードパーティのアプリケーションではTLS 1.2が使用されていますが、古いアプリケーションでは初期のTLSが使用されています。Deep Security as a Serviceを使用している場合は、TLS 1.2を強制することができません。

図2は、TLS 1.2が強制されていない (初期設定の) オンプレミス環境におけるTLS通信を示しています。図に示されているとおり、10.0以降のAgentはTLS 1.2を介してDeep Security Managerと通信しますが、バージョン9.6のAgentは初期のTLSを介して通信します。同様に、新しいサードパーティのアプリケーションとVirtual ApplianceはTLS 1.2を使用しますが、古いアプリケーションは初期のTLSを使用します。

図3は、TLS 1.2が強制されている場合のTLS通信を示しています。図に示されているとおり、バージョン9.6 のAgentも古いサードパーティのアプリケーションも、Deep Security Managerと通信できなくなります。TLSの強制の詳細については、TLS 1.2を強制するを参照してください。

図1: Deep Security as a Service、TLS 1.2の強制なし

図2: オンプレミス、TLS 1.2の強制なし

図3: オンプレミス、TLS 1.2の強制あり

TLS 1.2を強制せずに使用する

TLS 1.2を強制せずにDeep SecurityコンポーネントでTLS 1.2を使用する場合、コンポーネントでTLS 1.2がサポートされていることを確認してください。2つのコンポーネントがTLS 1.2をサポートしている場合、自動的にTLS 1.2が通信に使用されます。一方のコンポーネントのみがTLS 1.2をサポートしていない場合は、以前のバージョンのTLSまたはSSLのネゴシエーションが行われます。

次の記載に従い、利用しているDeep SecurityコンポーネントがTLS 1.2をサポートしていることを確認し、必要な場合はDeep Securityコンポーネントをアップグレードしてください。

TLS 1.2を強制して初期のTLSとSSLが使用されないようにするには、TLS 1.2を強制するを参照してください。

Deep Security Managerを確認してアップグレードする

• 次のいずれかのバージョンのDeep Security Managerを使用していることを確認します。別のバージョンを使用している場合はアップグレードしてください。
  • ManagerでTLS 1.2を強制する予定がある場合は、Deep Security Manager 10.0 Update 8以降を使用します。TLS 1.2の強制をサポートしているのは、10.0 Update 8以降のManagerのみです。
  • ManagerでTLS 1.2を強制する予定がない場合は、Deep Security Manager 10.0以降を使用します。TLS 1.2通信をサポートしているのは、10.0以降のManagerのみです。
• アップグレード手順については、Deep Security Managerのインストールの種類に応じて、次のいずれかのセクションを参照してください。
  • Deep Security AMI from the AWS Marketplaceのアップグレード
  • Deep Security Manager VM for Azure Marketplaceのアップグレード
  • Deep Securityのインストール (オンプレミスインストールのDeep Security Managerの場合)

Deep Security Managerデータベースを確認する

• Deep Security ManagerデータベースとしてMicrosoft SQL Serverを使用している場合は、データベースがTLS 1.2をサポートしているかを確認します。サポートしていない場合は、データベースをアップグレードしてください。解説については、こちらのMicrosoftのWebサイトを参照してください。
• PostgreSQLデータベースを使用している場合は、TLS 1.2がサポートされているため、何もする必要はありません。
• Oracleデータベースを使用している場合は、データベースとManager間の通信でTLSではなく、Oracleのネイティブの暗号化がサポートされているため、何もする必要はありません。
• 初期設定では、データベース (SQL Server、PostgreSQL、またはOracle) とDeep Security Manager間の通信は暗号化されていません。暗号化は手動で有効にすることができます。

Deep Security Agentを確認する

• 既存のDeep Security Agentがある場合は、バージョンが10.0以降であることを確認します。TLS 1.2をサポートしているのは、10.0以降のAgentのみです。

アップグレードされていないAgent (10.0より以前のAgent) が残っていると、そのAgentは初期のTLSを介して通信するため、TLS 1.2を強制することはできません。

Agentをアップグレードするには

1. Deep Security Managerに最新のDeep Security Agentソフトウェアを手動または自動でインポートします。詳細については、Deep Securityソフトウェアのアップデートを参照してください。
2. Deep Security Agentをアップグレードします。
   • Agentを自動的にアップグレードするには、アップグレードを開始するを参照してください。
   • Agentを手動でアップグレードするには、Agentを手動でアップグレードするを参照してください (オンプレミスインストールのDeep Security Managerでのみ使用可能)。

Deep Security Relayを確認する

• 次のいずれかのバージョンのDeep Security Relayを使用していることを確認します。別のバージョンを使用している場合はアップグレードしてください。
  • RelayでTLS 1.2を強制する予定がある場合は、Deep Security Relay 10.0 Update 8以降を使用します。TLS 1.2の強制をサポートしているのは、10.0 Update 8以降のRelayのみです。
  • RelayでTLS 1.2を強制する予定がない場合は、Deep Security Relay 10.0以降を使用します。TLS 1.2通信をサポートしているのは、10.0以降のRelayのみです。

Relayをアップグレードするには、Agentのアップグレードと同じ手順に従います。

1. Deep Security Managerに最新のDeep Security Relayソフトウェアを手動または自動でインポートします。詳細については、Deep Securityソフトウェアのアップデートを参照してください。

2. Relayをアップグレードします。

   • Relayを自動的にアップグレードするには、アップグレードを開始するを参照してください。
   • Relayを手動でアップグレードするには、Agentを手動でアップグレードするを参照してください (オンプレミスのDeep Security Managerでのみ使用可能)。

Deep Security Virtual Applianceを確認する

このセクションの説明は、オンプレミスインストールのDeep Security Managerにのみ該当します。

Deep Security Virtual Appliance 10.0以降を使用していることを確認してください。Applianceをアップグレードするには、「Deep Security Virtual Applianceのアップグレード」を参照してください。

• Virtual Applianceに必要なvSphereおよびNSXソフトウェアの最小バージョンでは、TLS 1.2はすでにサポートされています。詳細については、システム要件を参照してください。

TLS 1.2を強制する

TLS 1.2の強制は、Deep Security as a Service環境では利用できません。

必要に応じて、初期のTLS (1.0、1.1) およびSSLの使用が許可されないようにTLS 1.2の使用を強制できます。

このセクションのトピック:

• TLS 1.2を強制できるコンポーネント
• TLS 1.2を強制した場合の動作
• TLS 1.2の強制の条件
• Deep Security ManagerでTLS 1.2を強制する
• Deep Security RelayでTLS 1.2を強制する
• ManagerのGUIポート (4119) でのみTLS 1.2を強制する
• TLS 1.2の強制をテストする

TLS 1.2を強制できるコンポーネント

TLS 1.2を強制できるコンポーネントは次のとおりです。

• Deep Security Manager
• Deep Security Relay

TLS 1.2を強制した場合の動作

TLS 1.2を強制すると、ManagerとRelayで初期のTLS (1.0、1.1) やSSLを使用した接続が許可されなくなり、これらの古いプロトコルの使用を試みるアプリケーションは、アクセスが拒否されて正常に機能しなくなります。

TLS 1.2を強制しない場合、ManagerとRelayで初期のTLSとSSLに加えてTLS 1.2接続も許可されます。そのため、古いアプリケーションと新しいアプリケーションの両方が接続できます。

TLS 1.2の強制の条件

TLS 1.2を強制できるのは、Deep Security Agentすべてが、TLS 1.2がサポートされているバージョンである10.0以降にアップグレードされている場合のみです。

次に該当する場合、TLS 1.2は強制できません。

• Windows 2000など、10.0以降のAgentが利用できない古いOSを保護している場合。現在のOSで10.0以降のAgentが利用可能かどうかを確認するには、こちらを参照してください。
• 古いサードパーティコンポーネントを使用していて、Deep Security Managerとの通信に初期のTLSまたはSSLを使用する必要がある場合。

すべてのAgentをアップグレードすることが不可能な場合は、引き続きManagerのGUIポートでのみTLS 1.2を強制できます。詳細については、ManagerのGUIポート (4119) でのみTLS 1.2を強制するを参照してください。

Deep Security ManagerでTLS 1.2を強制する

1. 開始する前に、すべてのコンポーネントがTLS 1.2をサポートしていることを確認します。TLS 1.2を強制せずに使用する を参照してください。
2. Deep Security Managerコンピュータで、java.securityファイルを開きます。Windowsの場合、初期設定では「c:\Program Files\Trend Micro\Deep Security Manager\jre\lib\security\」にあります。
3. 次の行に、下線が引かれている太字の項目を追加します (この行がない場合は、行全体を追加します)。

   jdk.tls.disabledAlgorithms=SSLv3, RC4, MD5withRSA, DH keySize < 1024, EC keySize < 224, DES40_CBC, RC4_40,TLSv1, TLSv1.1

   この設定により、Deep Security ManagerのJava実行環境で、脆弱な各種アルゴリズムとプロトコルが無効になります。詳細については、https://www.java.com/en/configure_crypto.htmlを参照してください。

4. ファイルを保存します。
5. Deep Security Managerサービスを再起動します。

Deep Security RelayでTLS 1.2を強制する

1. 開始する前に、すべてのコンポーネントがTLS 1.2をサポートしていることを確認します。TLS 1.2を強制せずに使用する を参照してください。
2. Deep Security Managerのコマンドプロンプトで次のコマンドを入力します。

   dsm_c -action changesetting –name "settings.configuration.restrictRelayMinimumTLSProtocol" -value "TLSv1.2"

   このコマンドを実行すると、すべてのDeep Security Relayに関連するポリシーが新しいTLS 1.2の要件を使用して、すべて更新されます。

3. Relayに関連するポリシーを再送信します。
   1. Deep Security Managerで、[コンピュータ] をクリックし、コンピュータのリストで対象とするRelayを見つけます。どのRelayかわからない場合は、上部にある [管理] をクリックします。左側の [アップデート] を展開し、[Relayグループ] をクリックします。メイン画面でRelayグループをダブルクリックします。[メンバー] 見出しの下を見てRelayを確認します。
   2. コンピュータのリストでRelayをダブルクリックします。
   3. メイン画面で [処理] タブをクリックします。
   4. [ポリシーの送信] をクリックしてポリシーを再送信します。
   5. 各Relayにポリシーを再送信します。

ManagerのGUIポート (4119) でのみTLS 1.2を強制する

Deep Security ManagerでTLS 1.2を強制するおよびDeep Security RelayでTLS 1.2を強制するで説明したとおり、Deep Security ManagerおよびRelayで完全な強制が不可能な場合にのみ、このセクションを読んでください。

このセクションでは、ポート4119の最小TLSバージョンをTLS 1.2に設定する方法について説明します。通常、ポート4119で接続するアプリケーションは、WebブラウザとREST APIまたはSOAP APIクライアントです。TLS 1.2をサポートしていない古いDeep Securityコンポーネントは引き続き、初期のTLSまたはSSLを使用してManagerに接続できます (初期設定ではポート4120を使用)。

1. ManagerのGUIポート (4119) で初期のTLSとSSLを無効にします (すでに無効になっている可能性があります)。
   1. Deep Security Managerのインストールディレクトリのルートにあるconfiguration.propertiesファイルを開きます。
   2. serviceName=の下にあるprotocols=設定を探します。

      この設定は、WebブラウザおよびREST APIまたはSOAP APIクライアントのサーバとして機能しているDeep Security Managerへの接続に使用可能なプロトコルを定義しています。

   3. protocols=設定がある場合は、ポート4119でTLS 1.2のみが許可されるように、この設定を削除します。
   4. ファイルを保存します。

2. 古いDeep Security AgentおよびApplianceが引き続きポート4120 (初期設定) でDeep Security Managerに接続できるように、Java実行環境で以前のバージョンのSSLとTLSを有効にします。

   1. Deep Security Managerコンピュータで、java.securityファイルを開きます。Windowsの場合、初期設定では「c:\Program Files\Trend Micro\Deep Security Manager\jre\lib\security\」にあります。
   2. 次の行にTLSの項目がある場合、削除します。

      jdk.tls.disabledAlgorithms=SSLv3, RC4, MD5withRSA, DH keySize < 1024, EC keySize < 224, DES40_CBC, RC4_40,TLSv1, TLSv1.1

      この設定により、Deep Security ManagerのJava実行環境で、脆弱な各種アルゴリズムとプロトコルが無効になります。TLSv1とTLSv1.1を削除すると、これらのプロトコルの使用が許可されます。configuration.propertiesのprotocols=設定により、この設定がオーバーライドされます。そのため、ポート4119では初期のTLSは禁止されたままになります。詳細については、次のページを参照してください。https://www.java.com/en/configure_crypto.html

   3. ファイルを保存します。
3. Deep Security Managerサービスを再起動します。

TLS 1.2の強制をテストする

1. 初期TLS 1.2を強制したDeep Securityコンポーネントで、次のnmapコマンドを実行します。

nmap --script ssl-enum-ciphers <ds_host> -p <ds_port> -Pn

指定する項目は次のとおりです。

• <ds_host>は、ManagerまたはRelayのIPアドレスまたはホスト名に置き換えます。
• <ds_port>は、TLSが使用されている待機ポートに置き換えます。Managerの場合は4119、Relayの場合は4122、Agentの場合は4118です (Managerからの有効化を使用した場合)。

この応答ではTLS 1.2のみが表示されます。応答の例は次のとおりです。

PORT STATE SERVICE

443/tcp open https

| ssl-enum-ciphers:

| | TLSv1.2:

| ciphers:

| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A

| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A

| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A

| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A

| TLS_RSA_WITH_AES_256_GCM_SHA384 (rsa 2048) - A

| TLS_RSA_WITH_AES_128_GCM_SHA256 (rsa 2048) - A

| TLS_RSA_WITH_AES_256_CBC_SHA256 (rsa 2048) - A

| TLS_RSA_WITH_AES_128_CBC_SHA256 (rsa 2048) - A

| TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A

| TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A

| TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C

| compressors:

TLS 1.2の強制を無効にする

TLS 1.2を強制した後で、初期のTLS (1.0、1.1) やSSLを使用した接続がDeep Security ManagerおよびRelayによって受け入れられるように強制を無効にする必要性が生じた場合は、次の手順に従います。

Deep Security ManagerでTLS 1.2の強制を無効にする

1. Deep Security Managerコンピュータで、java.securityファイルを開きます。Windowsの場合、初期設定では「c:\Program Files\Trend Micro\Deep Security Manager\jre\lib\security\」にあります。
2. 次の行からTLSの項目を削除します。

   jdk.tls.disabledAlgorithms=SSLv3, RC4, MD5withRSA, DH keySize < 1024, EC keySize < 224, DES40_CBC, RC4_40,TLSv1, TLSv1.1

   この設定により、Deep Security ManagerのJava実行環境で、脆弱な各種アルゴリズムとプロトコルが無効になります。TLSv1とTLSv1.1を削除すると、これらが有効になります。詳細については、https://www.java.com/en/configure_crypto.htmlを参照してください。

3. ファイルを保存します。
4. Deep Security Managerサービスを再起動します。

ManagerのGUIポート (4119) でTLS 1.2の強制を無効にする

1. Deep Security Managerのインストールディレクトリのルートにあるconfiguration.propertiesファイルを開きます。
2. serviceName=の下に次の行をそのまま追加します。

   protocols=TLSv1,TLSv1.1,TLSv1.2

   この設定は、(ポート4119を使用する) WebブラウザおよびREST APIまたはSOAP APIクライアントのサーバとして機能しているDeep Security Managerへの接続に使用可能なプロトコルを定義しています。

3. ファイルを保存します。
4. Deep Security Managerサービスを再起動します。

Deep Security RelayでTLS 1.2の強制を無効にする

1. Deep Security Managerのコマンドプロンプトで次のコマンドを入力します。

   dsm_c -action changesetting –name "settings.configuration.restrictRelayMinimumTLSProtocol" -value "TLSv1"

   このコマンドを実行すると、すべてのDeep Security Relayに関連するすべてのポリシーが、初期のTLS 1.0の要件を使用して更新されます。

2. Relayに関連するポリシーを再送信します。
   1. Deep Security Managerで、[コンピュータ] をクリックし、コンピュータのリストで対象とするRelayを見つけます。どのRelayかわからない場合は、上部にある [管理] をクリックします。左側の [アップデート] を展開し、[Relayグループ] をクリックします。メイン画面でRelayグループをダブルクリックします。[メンバー] 見出しの下を見てRelayを確認します。
   2. コンピュータのリストでRelayをダブルクリックします。
   3. メイン画面で [処理] タブをクリックします。
   4. [ポリシーの送信] をクリックしてポリシーを再送信します。
   5. 各Relayにポリシーを再送信します。

TLS 1.2適用後のAgent、Virtual Appliance、Relayのインストールに関するガイドライン

このセクションでは、TLS 1.2を強制した後でAgent、Virtual Appliance、およびRelayをインストールする場合の特別な注意事項について説明します。TLS 1.2を強制しなかった場合、注意事項はないため、このセクションを読む必要はありません。

このセクションのトピック:

• TLS 1.2の強制後に新しいAgentとRelayをインストールする場合の一般的なガイドライン
• TLS 1.2の強制後にインストールスクリプトを使用する場合のガイドライン
• TLS 1.2の強制後にDeep Security Virtual Applianceをインストールする場合のガイドライン

TLS 1.2の強制後に新しいAgentとRelayをインストールする場合の一般的なガイドライン

• 10.0以降のAgentとRelayをインストールする必要があります。TLS 1.2をサポートしているのは、10.0以降のAgentとRelayのみです。
• 9.6以前のDeep Security AgentまたはRelayをインストールする必要がある場合は、TLS 1.2を強制したコンポーネント (Manager、Relay、またはManagerのGUIポート4119) でTLS 1.2の強制を無効にする必要があります。

TLS 1.2の強制後にインストールスクリプトを使用する場合のガイドライン

TLS 1.2の強制を有効にした後、インストールスクリプトを使用して10.0以降のAgentとRelayをインストールすることができます。ここでは、インストールスクリプトを確実に機能させるためのガイドラインを示します。

1. WindowsコンピュータにAgentまたはRelayをインストールする場合は、TLS 1.2をサポートしているPowerShell 4.0以降を使用します。
2. PowerShell 4.0がサポートされていないWindows XP、2003、または2008にインストールする場合は、以下の回避策を参照してください。
3. LinuxにAgentまたはRelayをインストールする場合は、TLS 1.2をサポートしているcurl 7.34.0以降を使用します。
4. 初期設定でcurl 7.19が使用されるLinux 6にインストールする場合は、次のいずれかの手順を実行します。
   • curl 7.34.0以降にアップグレードする
   または
   • 以下の回避策を参照して手順に従う

回避策

TLS 1.2の強制後に、

• PowerShell 4.0がサポートされていないWindows XP、2003、または2008にインストールする場合

  または

• アップグレードが不可能な、curl 7.19がインストールされたLinux 6コンピュータにインストールする場合
  

この場合は、次の手順を実行してください。

1. Deep Security Managerで、使用しているOS用のAgentインストールパッケージをダウンロードします。詳細については、Deep Security Agentソフトウェアの入手を参照してください。
2. インストールパッケージをWebサーバにコピーします。
3. インストールスクリプトの使用の手順に従って、コンピュータを追加して保護します。ただし、Deep Security Managerを使用してスクリプトを生成する代わりに、以下に示すWindowsスクリプトまたはLinuxスクリプトを使用します。

Windowsスクリプト:

baseUrl変数は、Webサーバ上のAgentパッケージのURLに設定する必要があります。

$env:LogPath = "$env:appdata\Trend Micro\Deep Security Agent\installer"

New-Item -path $env:LogPath -type directory

Start-Transcript -path "$env:LogPath\dsa_deploy.log" -append

echo "$(Get-Date -format T) - DSA download started"

$baseUrl=<server/package>

echo "$(Get-Date -format T) - Download Deep Security Agent Package" $sourceUrl

(New-Object System.Net.WebClient).DownloadFile($sourceUrl, "$env:temp\agent.msi")

if ( (Get-Item "$env:temp\agent.msi").length -eq 0 ) {

echo "Failed to download the Deep Security Agent.Please check if the package is on the server."

exit 1 }

echo "$(Get-Date -format T) - Downloaded File Size:"(Get-Item "$env:temp\agent.msi").length

echo "$(Get-Date -format T) - DSA install started"

echo "$(Get-Date -format T) - Installer Exit Code:"(Start-Process -FilePath msiexec -ArgumentList "/i $env:temp\agent.msi /qn ADDLOCAL=ALL /l*v `"$env:LogPath\dsa_install.log`"" -Wait -PassThru).ExitCode

Stop-Transcript

echo "$(Get-Date -format T) - DSA Deployment Finished"

Linuxスクリプト:

Linuxディストリビューションごとに適したスクリプトを使用します。

<server/package>は、Webサーバ上のAgentパッケージのURLに置き換えます。

RPMパッケージマネージャを使用するLinuxディストリビューションの場合:

#!/usr/bin/env bash

curl <server/package> -o /tmp/agent.rpm –silent

rpm -ihv /tmp/agent.rpm

DebianベースのLinuxディストリビューションの場合:

#!/usr/bin/env bash

curl <server/package> -o /tmp/agent.deb –silent

dpkg -i /tmp/agent.deb

TLS 1.2の強制後にDeep Security Virtual Applianceをインストールする場合のガイドライン

TLS 1.2の強制後にVirtual Applianceをインストールする必要がある場合は、バージョン10.0以降をインストールしてください。このヘルプセンターの他の部分で説明されている手順を使用してインストールを実行します。特別な作業は不要です。