機能

Deep Security 特長

Deep Securityでは、必要な保護機能だけを利用することで、変化するビジネス要件に合わせて適切な保護のみを導入することができます。

もちろんフル機能を用いてサーバを要塞化することも可能です。すべてのモジュールの機能は、サーバまたは仮想マシンに単一のDeep Security Agentとしてデプロイされます。
このAgentはDeep Security Managerによって一元管理され、物理・仮想・クラウドのすべてに対応できるようになっています。

Deep Security 機能

IPS/IDS（侵入防御）

脆弱性に対応するIPS/IDSルール「仮想パッチ」によって、脆弱性を突いた攻撃からサーバを保護します。
対応している脆弱性は、Windows、Linux、Solarisなど主要なサーバOSや、Apache、WordPress、BIND、Microsoft SQL、Oracle等100以上の 　　アプリケーションやミドルウェアです。また、Windowsアップデートに対しては、直に対応したIPSルール「仮想パッチ」をリリースすることで、最新の脆弱性に対する保護をすることが可能です。
全てのルールは、防御モード（パケットを破棄するモード）と、検出モード（イベントのみをログに記録しトラフィックは通過させるモード）を選択することが可能です。
Deep Securityの導入に伴い、正常パケットを止めてしまう等の誤検知が心配な場合は、初めは検知モードで導入し、アプリケーションの動作が確認されてから防御モードにするなどの方法で、安全に導入することが可能です。

不正プログラム対策

サーバに不正プログラムが感染することを防止します。不正プログラムがサーバに侵入しようとした際に検出するリアルタイム検索や、毎週/毎日など事前に設定した時間に検索を行うスケジュール検索によりサーバを不正プログラム感染から保護します。

Webレピュテーション

サーバがWebサイトにアクセスするなどの通信が発生する際にTrend Micro Smart Protection Networkに自動的に問い合わせを行い、接続先ドメイン、Webサイト、Webページが不正な場合にはアクセス自体をブロックすることによって不正プログラムのサーバへの感染、情報漏えいなどを防ぐことができます。

ファイアウォール

適正なサーバ運用に必要なポートおよびプロトコルを介した通信を可能にし、それ以外のポートおよびプロトコルはすべてブロックすることで、サーバへの不正アクセスのリスクを低減します。

アプリケーションコントロール

サーバにインストールされたアプリケーションをホワイトリスト化し、許可されていないプログラムが実行された時に検知・ブロックする機能です。
未知の不正プログラムの実行を防止したり、サーバの用途を限定したりしたい時などに有効です。

変更監視

ディレクトリ、レジストリキーおよび値など、オペレーティングシステムとアプリケーションの重要なファイルを監視して、その変更を検出します。

セキュリティログ監視

オペレーティングシステムおよびアプリケーションのログからセキュリティイベントを収集して分析する機能を提供します。
セキュリティログ監視ルールを設定することで、複数のログエントリに埋もれた重要なセキュリティイベントの識別を実施します。
これらのイベントは SIEMまたは一元化されたログサーバに転送して、関連付け、レポートを作成して、アーカイブすることが可能です。

Deep Securityの各コンポーネント

Deep Security Manager（ソフトウェア）

Deep Security Managerは、Webベースの強力な中央管理システムです。
Deep Security Managerは、データベースを使用しており、セキュリティ管理者が実行する包括的なセキュリティポリシーの作成や管理、記録（ログ）を集中的に管理します。
また、状況を把握するためのダッシュボードやレポートの作成、サーバに対するタスクを作成するなど、Deep Securityにおけるすべての管理処理を実行します。

Deep Security Relay（ソフトウェア）

Deep Securityは新たな脅威に対応するため、Deep Securityソフトウェアや不正プログラムのパターンファイル、IPSルールなどを日々アップデートする必要があります。
Deep Securityシステムにおいて、コンポーネント・パターンファイルのアップデートを実行するのがRelayサーバです。
Relayサーバはインターネット上から最新コンポーネント・パターンファイルをダウンロードし、Deep Security AgentおよびDeep Security Virtual Applianceに最新コンポーネントを配信します。
そのため、Relayサーバは必ず1台は必要になります。なお、IPSルールはDeep Security Managerから配信されます。

Deep Security Agent（ソフトウェア）

Deep Security Agentは、最小限のリソースで最大限のセキュリティ保護を提供するソフトウェアで、サーバ上に直接インストールされ動作します。
Deep Security Agentは、ネットワークレイヤーで動作するファイアウォールおよびIPS/IDS（侵入防御）エンジンと、OS上の保護を提供する変更監視機能およびセキュリティログ監視機能により、これまで個別に提供されていたセキュリティ保護機能を一括で提供できます。

Deep Security Virtual Appliance（仮想アプライアンス）

Deep Security Virtual Applianceは、仮想化環境で実行されるセキュリティコンポーネントです。
Agentが直接サーバOS上にインストールされるのに対して、Deep Security Virtual ApplianceはESXi上で実行される仮想マシンとして動作し、ゲストOS上にソフトウェアをインストールすること無く、Deep Securityのセキュリティ機能をエージェントレスで提供することができるので、ゲストOSのリソースを消費せずにゲストOSを保護できます。
また、仮想化されているゲストOSを一括して保護できるメリットもあります。なお、Webレピュテーション、IPS/IDS、ファイアウォール、変更監視をエージェントレスで実装するにはVMware NSXが必要です。