Embed Size (px)
Citation preview
オフィスあんしんセキュリティサービス 大型アップデートガイド
株式会社シマンテック
目次
01. はじめに ......................................................................................................................................... 3
02. 大型アップデートの実施経緯 ......................................................................................................... 3
03. Symantec Endpoint Protection Cloud とは........................................................................ 4
04. 大型アップデート前の確認事項 ..................................................................................................... 6
05. 大型アップデートの流れ ................................................................................................................. 7
06. 大型アップデートで端末の更新に失敗した場合 .......................................................................... 18
07. 大型アップデートの進捗状況確認 ............................................................................................... 18
08. 大型アップデート前の確認事項:システム要件の変更 ............................................................... 19
09. 大型アップデート前の確認事項:利用又は設定変更できなくなる機能 ..................................... 21
10. 大型アップデート前の確認事項:引き継がれない情報 .............................................................. 26
11. 大型アップデート前の確認事項:端末の状態確認 ................................................................... 27
12. 大型アップデート前の確認事項:レガシーOS に対する救済措置 .............................................. 29
13. 大型アップデート前の確認事項:マニュアル/リモートプッシュアップデートの必要性 ...................... 30
14. 大型アップデートにおけるその他の注意事項 ................................................................................ 32
15. 変更履歴 ................................................................................................................................... 34
3
01. はじめに 本資料は富士ゼロックス株式会社が提供する「オフィスあんしんセキュリティサービス」をご契約いただいているお客様に対して提供されます。2018年 11月中旬から順次展開される大型アップデートを円滑に実施していただくために必要な措置や留意事項をまとめています。 02. 大型アップデートの実施経緯 「オフィスあんしんセキュリティサービス」のサービスインフラは、現在、シマンテックの「Symantec Endpoint Protection Small Business Edition」を利用しています。「Symantec Endpoint Protection Small Business Edition」は、2013 年 1 月にリリースされてから脅威の動向や様々なセキュリティニーズに応えるべくアップデートを繰り返してきました。 しかしながら、すでにリリースから 5 年以上が経過しており、サービス設備の老朽化や脅威対策製品として求められる要求に追随していくことを考慮すると現在のサービス設備では限界が生じています。また、「オフィスあんしんセキュリティサービス」をご利用いただくお客様より様々なご意見を頂戴した上でご期待に添えるように仕様改修を行っていく必要が出てきています。 今回実施する大型アップデートでは、サービスインフラを含む全ての環境を刷新することでお客様により快適なセキュリティ対策環境をご提供させていただきます。なお、大型アップデート後はお客様に提供される管理コンソール(管理者向け、ユーザ向け)上の製品表記が「Symantec Endpoint Protection Cloud」に変更されます。
4
03. Symantec Endpoint Protection Cloud とは 大型アップデートによって新しいサービスインフラとして機能する「Symantec Endpoint Protection Cloud」は、外部からの脅威に対して基本ライセンスで端末やサーバに必要となる全ての保護機能を実装することができるクラウド型エンドポイントセキュリティサービスです。 従来のアンチウイルス機能に加えて、脆弱性保護、挙動解析、レピュテーション、脅威予測(AI)、サンドボックスと言った次世代技術を取り込み包括的なセキュリティ対策環境を提供します。 シマンテックは Gartner社の Magic Quadrant for Endpoint Protection Platforms 2018 において、競合他社を大きく引き離して業界のリーダーとして位置付けられました。
5
現行版と大型アップデート後の保護機能比較は以下のとおりです。大型アップデートにより最新の保護エンジンに切り替わり、脅威に対してさらに高い保護能力を発揮します。
6
04. 大型アップデート前の確認事項 大型アップデートを実施するにあたって現在のご利用環境について事前の確認をお願いします。各項目の詳細については下表「参照先」列にあるページにて説明をしていますので該当する項目があれば、必ずご確認をお願いします。
確認 確認項目 内容 参照先
□ システム要件の変更
大型アップデート後はシステム要件や通信要件が変更になりますので、現在の運用環境と照合して不整合が生じないか確認してください。
P19 へ
□ 利用又は設定変更できなくなる機能
大型アップデート後は現在利用できていた一部の機能が利用できなくなります。該当する機能を利用していないか確認し、代替策を講じることができるのであれば事前に対応の検討を行ってください。
P21 へ
□ 引き継がれない情報
大型アップデート後はサービスインフラが刷新されますのでログ情報として蓄積されていた警告情報、レポートが引き継がれません。これまでの情報の保存が必要な場合は事前に抽出を行ってください。
P26 へ
□ 端末の状態確認
大型アップデートは管理コンソール上でオンライン状態の端末に対して実行されます。管理コンソール上でステータス異常が出ている端末がいないか事前に確認して必要な処理を行ってください。
P27 へ
□ レガシーOS への救済措置
大型アップデート後はシステム要件が変更になり、マイクロソフト社やアップル社がサポートを終了した OS についてはアップグレード対象から除外されます。別途用意された救済策を確認した上で対応方針を検討してください。
P29 へ
□ マニュアル/リモートプッシュアップデートの必要性
大型アップデートはシステムポリシーで設定されたアップデート間隔で自動的に作業が開始されます。業務で利用するサーバ等、マニュアル/リモートプッシュアップデートが必要な端末については事前に抽出を行ってください。
P30 へ
7
05. 大型アップデートの流れ 大型アップデートの準備が整うと「オフィスあんしんセキュリティサービス」の管理コンソールのダッシュボード(ログイン後の最初に表示されるページ)の上部にアップデートバナーが表示されます。 アップデートバナー内にある「アップグレード準備」という文字列をクリックすると専用ページへアクセスすることができます。
8
専用ページでは大型アップデートに関する重要な情報が表示されます。大型アップデートを開始するためには、表示された自動アップグレードまでの期限内にお客様にて「今すぐアップグレード」ボタンを押していただく必要があります。なお、期限内に「今すぐアップグレード」ボタンを押さなかった場合は、承諾したとみなされ次の処理が自動的に開始されます。 なお、「今すぐアップグレード」ボタンを押した後のポリシー変更や端末の追加/削除は実施しないでください。管理コンソールのアップデート時に正しく情報が反映されなくなる場合があります。 注意:本資料で表示される自動アップグレードまでの期限は大型アップデートを実行することに対しての承諾確認の期限です。期限を過ぎると「今すぐアップグレード」ボタンが自動的に押された状態となり、大型アップデートに必要な次の処理へ自動的に進みます。 プレビューモードについて 専用ページからアクセスできる「プレビューモード」が、現在のオフィスあんしんセキュリティサービスの管理コンソールに登録された情報を引き継いで、新しい管理コンソールでの使用感を確認することができる機能です。現在のコンソールとの表示方法の違い等を事前に確認することができます。なお、プレビューモードであるため、新しい管理コンソール側では一切の設定変更を行うことができません。
9
プレビューモードへの初回アクセス時には「SEP Cloud の利用規約」が表示されて同意する必要があります。新しい管理コンソールの具体的な操作方法については、「オフィスあんしんセキュリティサービス_インストールガイド」を参照してください。 専用ページから「今すぐアップグレード」ボタンを押した場合と期限内に押さなかった場合の処理フローの違いは以下のとおりです。 期限内に「今すぐアップグレード」ボタンを押した場合 「今すぐアップグレード」ボタンを押した場合、富士ゼロックスの管理システム上に大型アップデート承認依頼が作成されます。富士ゼロックスはこの依頼に対して順次承認処理(1~5 営業日程度)を行います。この処理が完了するとオフィスあんしんセキュリティサービスの管理者には、シマンテックの名義で以下の様なメールが送信されます。なお、このメールはシマンテックの「Symantec Endpoint Protection Cloud」の利用開始に伴い自動的に発行されるものとなりますので、オフィスあんしんセキュリティサービスのご利用に際して利用することはありません。このメールが届くタイミングで管理コンソールが新しいものに切り替わります。 シマンテックから届くメールの詳細は以下のとおりです。シマンテックのシステムが自動的に発行しているメールであり、オフィスあんしんセキュリティサービスをご利用のお客様において直接的に関係のない内容となります。 送信:SymantecFulfillment <[email protected]> 件名:お客様のサブスクリプション番号 JP-XXXXXXXXX、フルフィルメント ID(XXXXXX) 本文: 購入したという旨の内容がありますが、今回の大型アップデートにおいてサービスインフラが「Symantec Endpoint Protection Cloud」に変更された場合、全てのお客様に対してシマンテックが自動発行しているテンプレート文が送付されます。本文中に有効期限や更新に関する内容がありますが、オフィスあんしんセキュリティサービスは自動更新の
10
サービスとなりますので、本文に記載の内容について影響を受けません。シマンテックの問い合わせ窓口に関する情報もありますが、ご利用いただいているオフィスあんしんセキュリティサービスのサポートをご利用いただくようお願いします。 管理コンソールが切り替わってから 24 時間後+α(現行のオフィスあんしんセキュリティサービスの「システムポリシー」において「ソフトウェアの更新スケジュール」で設定した値又は新しい管理コンソールで設定できる「クライアントのスケジュール設定」で指定した日時)に端末に対するアップデートが開始されます。 なお、オフィスあんしんセキュリティサービスの初期設定では、「ソフトウェアの更新スケジュール」が「常時」になっているため、各端末に対してランダムに大型アップデート処理が実行されます。実行タイミングは独自のランダム化アルゴリズムによって展開されるため、あらかじめどのタイミングでどの端末がアップデートされるのかを特定することはできません。任意のタイミングでアップデートしたい場合は、後述する端末のアップデート方法を確認した上で操作を行ってください。 期限内に「今すぐアップグレード」ボタンを押さなかった場合 期限内に「今すぐアップグレード」ボタンを押さなかった場合は、期限後に自動的に大型アップデート承認依頼が作成されて富士ゼロックスに承認処理待ちアカウントとして引き渡されます。その後のフローは「今すぐアップグレード」ボタンを押した場合と同じになります。
11
<端末のアップデート> 管理コンソールが切り替わると新しい管理コンソールから管理下にいる端末に対してクライアントエージェントの入れ替え指示が行われて自動的にアップデートが開始(「ソフトウェアの更新スケジュール」が「常時」になっている場合)されます。なお、端末のアップデートは以下の方法が選択できます。 なお、どのアップデート方法を選択しても対象端末上ではバックグラウンドでクライアントエージェントの入れ替え作業が行われます。なお、作業途中で再起動が必要となります。 サーバ OS にクライアントエージェントをインストールしている場合には、後述する「【重要】サーバ OS をアップデートする場合の推奨手順」を必ずご参照の上でアップデートタイミングを調整してください。
12
自動アップデート 管理コンソールのシステムポリシーの「ソフトウェアの更新スケジュール」が「常時」「就業時間中」「就業時間外」「週末のみ」になっている場合は、この方法でアップデートが行われます。なお、「無効化」に設定していた場合は 30 日間自動アップデートが延期されますが、その間に何もしなければ 30日後に自動アップデートが順次開始されます。 また、システムポリシーの設定に基づく更新スケジュールは、下記の設定画面アクセスした日から 7日間先までの間でスケジュールを調整することができます。指定した日時の後、システムポリシーの「ソフトウェアの更新スケジュール」に基づいてアップデートが行われます。(この設定はクライアント OS のみ適用されます。) この方法では端末を利用するユーザはアップデートを意識することなく(作業開始時と再起動時には通知あり)、スケジュールに従いクライアントエージェントの入れ替えが行われます。 リモートプッシュアップデート 新しい管理コンソールにリストされている管理下の端末に対して、管理者が任意のタイミングでアップデート実行の指示を出すことができます。自動アップデートと同じく、アップデートが開始されると端末を利用するユーザはアップデートを意識することなく(作業開始時と再起動時には通知あり)、クライアントエージェントの入れ替えが行われます。
13
リモートプッシュアップデートの実施手順 01. 新しい管理コンソールにログイン 02. 画面左側のメインメニューから「グループ、ユーザ、デバイス」を選択 03. 中央の「管理対象デバイス」タブを選択 04. 端末の一覧が表示されるのでアップグレードしたい端末の右端にある「▽」を選択
※複数の端末を同時に処理する場合は対象端末行をクリックしていき画面下の「処理」ボタンを選択 05. リストから「今すぐアップグレード」を選択 注意 システムポリシーの「ソフトウェアの更新スケジュール」が「常時」になっている場合は並行してアップデート処理が展開されますので、自動的にアップデート処理を行いたくない場合は「ソフトウェアの更新スケジュール」をあらかじめ「30 日」(以前の管理コンソールでは「無効化」と表示)にすることで 30日間自動アップデートを延期させることができます。 なお、リモートプッシュアップデートを行う際には実行前に再起動のタイミング等について調整することができます。
14
マニュアルアップデート 新しい管理コンソールから再配布可能パッケージを作成して、アップデートを実行したい端末上で再配布可能パッケージを実行することでアップデートプロセスを開始できます。アップデートが開始されると端末を利用するユーザはアップデートを意識することなく(作業開始時と再起動時には通知あり)、クライアントエージェントの入れ替えが行われます。 マニュアルアップデートの実施手順 01. 新しい管理コンソールにログイン 02. 画面左側のメインメニューから「設定」を選択 03. 中央の項目から「SEP Cloud インストールパッケージ」内にある「>」を選択 04. 「グループへの追加」欄が端末を紐付けるグループになっているか確認 05. 「パッケージクリエータのダウンロード」をクリック 06. 「SEP_cloud_package.exe」をダウンロードして実行 07. 生成された「SEPC_install.exe」と「SEPC_Package フォルダ」を対象端末へ移動 08. 「SEPC_install.exe」を実行 注意 システムポリシーの「ソフトウェアの更新スケジュール」が「常時」になっている場合は並行してアップデート処理が展開されますので、自動的にアップデート処理を行いたくない場合は「ソフトウェアの更新スケジュール」を「30 日」(以前の管理コンソールでは「無効化」と表示)にすることで 30日間自動アップデートを延期させることができます。 【重要】サーバOS をアップデートする場合の推奨手順 クライアント OS と違い、特定業務で利用するアプリケーションが稼動している場合が多く、自動アップデートによって予期せぬ再起動が生じることでシステムトラブルを発生させる可能性があります。今回の大型アップデートの対象にサーバOS が含まれている場合は、以下の方法にて自動アップデートを制御した上で「リモートプッシュアップデート」又は「マニュアルアップデート」にて任意のタイミングでアップデートを実施していただくことを推奨します。 まずは「今すぐアップグレード」ボタンを押す前に、管理コンソールの「システムポリシー」の「ソフトウェアの更新スケジュール」を「無効化」にしておくと、管理コンソールが新しくなってから 30日後に対象端末の自動アップデートが開始されるようにスケジュールされます。
15
対象端末の自動アップデートまで 30 日間の猶予ができるため、この期間内でサーバを再起動しても問題ない時間を確保して「リモートプッシュアップデート」又は「マニュアルアップデート」を実行します。なお、それぞれの手順は前述の実施手順を参考にしてください。 端末のアップデートが開始されると以下の流れで作業が進行します。新しい管理コンソールから必要なデータが端末に自動配信されるため、ユーザ側で作業を実施する必要はありません。途中で再起動要求がかかりますので、作業途中のデータを保存した上で再起動を行ってください。 端末側でアップデートが開始されるとアップグレードウィザード(Symantec Download Manager)が起動します。
16
「今すぐアップグレード」ボタンを押すと作業が開始されます。「今すぐアップグレード」ボタンを押した後はバックグラウンドでアップグレードウィザードが実行されるため表示が消えます。アップデート中は従来どおり、クライアントを利用して業務を継続することができます。 既存のクライアントエージェントが削除されると再起動が必要になるため、再起動を要求するウィンドウが表示されます。作業中のファイル等を保存していただき「今すぐに再起動」ボタンを押します。再起動後、しばらくすると新しいエージェントが起動しますので、「保護されています」が確認できたらアップデート作業は完了となります。 なお、ユーザコンソールから実行できる「ライブアップデート」と「スキャン」内にある「クイックスキャン」を実施いただくことで各種動作の正常性を確認することもできます。
17
【重要】Mac OS Xのアップデート方法 現在の「オフィスあんしんセキュリティサービス」では Mac OS X 向けのクライアントエージェントは管理外クライアントとして運用されており、管理コンソール上ではステータスの確認ができません。そのため、大型アップデートにおいても Mac OS X端末については手動でアップデートを実施する必要があります。管理コンソールが新しくなったら、Mac OS X を管理コンソールの管理下に置くための新しいクライアントエージェントを取得できるようになります。 具体的なインストール手順は「オフィスあんしんセキュリティサービス_インストールガイド」の「10. Mac OS X クライアントへのエージェントインストール」をご参照ください。
18
06. 大型アップデートで端末の更新に失敗した場合 端末に対してのアップデートはバックグラウンドで自動的に実行されますが、端末が作業途中でオフラインになったり、何らかの理由で管理コンソールと接続が切れた場合にはアップデートが失敗する場合があります。また、新しいクライアントエージェントがインストールされてもアクティベーションが正常に完了せずアップデートに失敗した場合、新しい管理コンソールから対象端末に対してマニュアルアップデートと同じ手順で新規インストールを行う必要があります。 具体的な手順は下記の手順書をご参照ください。 ・対象端末がWindows クライアント OS の場合の手順書 https://opencds.fujixerox.co.jp/gen/symantec_ep_aux/symfaq-05-02-3-client.pdf ・対象端末がWindows サーバ OS の場合の手順書 https://opencds.fujixerox.co.jp/gen/symantec_ep_aux/symfaq-05-02-3-server.pdf 07. 大型アップデートの進捗状況確認 大型アップデート処理の間、現在のアップデートの進行状況を示す状態が存在します。新しい管理コンソールの「グループ、ユーザ、デバイス」の「管理対象デバイス」タブ内にあるフィルタを適用すると、特定の状態にあるデバイスをすべて表示できます。
19
08. 大型アップデート前の確認事項:システム要件の変更 大型アップデート後のサービスインフラではシステム要件が変更になります。現在の「オフィスあんしんセキュリティサービス」では動作対象となっていたいくつかの OS がサポート対象から外れることになります。
デバイスタイプ サポート OS
Windows OS Client Windows 7、Windows 8、Windows 8.1、Windows 10
Windows OS Server
Windows Server 2008 R2 SP1 Windows Server 2012、2012 R2 Windows Small Business Server 2011 Windows Server 2016、2019 Windows Storage Server 2008R2、 2012、2012R2、 2016
Mac OS X Mac OS X 10.10
なお、各 OS において Edition に関する記載がない場合は全ての Edition をサポートします。
通信が必要な URL(ポート 80/443) 通信が必要な URL(ポート 80/443) dls.symantec.com faults.qalabs.symantec.com stats.norton.com has.spserv.microsoft.com faults.norton.com hb.lifecycle.norton.com cloudconnect2.norton.com help.symantec.com/home/SEPC csas.symantec.com/status/simple lcsitemain.symantec.com ent-shasta-rrs.symantec.com lc1alt.symantec.com usea1.r3.securitycloud.symantec.com login.symantec.com liveupdate.symantecliveupdate.com mdm.securitycloud.symantec.com spoc-pool-gtm.norton.com mysymantec.force.com oms.symantec.com oem.lifecycle.norton.com sf.symcd.com o2.norton.com buy-download.norton.com pif2.symantec.com definitions.symantec.com pki-scep.symauth.com symantec.com ratings-wrs.symantec.com norton.com sasmain.symantec.com avs-avpg.crsi.symantec.com sas1alt.symantec.com bash-avpg.crsi.symantec.com sepc.securitycloud.symantec.com csasalt.symantec.com sigs.symantec.com central.b6.crsi.symantec.com sitedirector.symantec.com central.nrsi.symantec.com spoc.norton.com central.avsi.symantec.com spoc.symantec.com shasta-clt.symantec.com shasta-ars.symantec.com
20
通信が必要な URL(ポート 80/443) 通信が必要な URL(ポート 80/443) shasta-mr-healthy.symantec.com stats.qalabs.symantec.com shasta-mr-clean.symantec.com stnd-ipsg.crsi.symantec.com shasta-nco-stats.symantec.com ss.symcb.com shasta-rrs.symantec.com usea1.r3.securitycloud.symantec.com/r3_epmp_i
ファイアウォール装置等において SSL通信の復号化機能を利用している場合は、443/TCPで通信するホストを除外登録してください。途中経路で復号化を行うと正常な通信が行えなくなる場合がありますのでご注意ください。 なお、通信が必要な URL の最新情報は以下を参照してください。 https://support.symantec.com/en_US/article.TECH246975.html ファイアウォールのアクセスコントロール、コンテンツフィルタリングやプロキシ製品を利用している場合、以下のドメインに対して HTTP/HTTPS の通信をバイパスするように除外設定することが推奨されます。
プロトコル 対象ドメイン
HTTP/HTTPS *.force.com、*.microsoft.com、*.norton.com、*.spn.com *.symantec.com、*.symantecliveupdate.com、*.symauth.com *.symcb.com、*.symcd.com
なお、「オフィスあんしんセキュリティサービス」では管理コンソールへのアクセスについてはサポート対象のブラウザの最新版を使用することが推奨されています。ブラウザのサポートは OS によって異なり、サポート対象外のブラウザを使用すると端末の登録が失敗する場合があります。
OS サポート対象のブラウザ(管理コンソールの閲覧/操作)
Windows 7 Internet Explorer 9.0以降、Firefox 47.x以降、Chrome 53.x以降
Windows 8 Internet Explorer 9.0以降、Firefox 47.x以降、Chrome 53.x以降
Windows 8.1 Internet Explorer 9.0以降、Firefox 47.x以降、Chrome 53.x以降
Windows 10 Edge 1.0以降
Mac OS X Safari 7以降
21
09. 大型アップデート前の確認事項:利用又は設定変更できなくなる機能 大型アップデート後のサービスインフラでは、これまで利用することができた一部の機能について提供を終了させていただくことになりました。 全画面の検出【設定変更不可】 本機能は端末が全画面表示された際にリソース消費を最適化するために、オフィスあんしんセキュリティサービスのクライアントエージェントのスキャン動作を制限します。大型アップデート後も引き続き利用できますが、ユーザが本機能をオフ/オンすることができなくなります。 USB ストレージデバイス制御(パスワードによる遮断強制解除のみ)【提供終了】 本機能は遮断設定されている USB ストレージデバイスに対して管理者が設定したパスワードをユーザコンソールで入力することで一時的に遮断設定を解除することができます。大型アップデート後には本機能は削除されます。なお、USB ストレージデバイス制御機能は引き続きご利用いただくことができます。 ローカル更新ホスト【提供終了】 本機能は端末台数の多い拠点やネットワーク帯域を効率的に使うための代理応答機能をクライアントに付与するものです。大型アップデート後は負荷を軽減する仕組みへ変更されるため、本機能は提供終了となります。ローカル更新ホストに指定された端末は大型アップデート時に自動的に解除されてアップデートされます。 プログラム制御【提供終了】→アプリケーション制御機能又はファイアウォールポリシーの追加で代替可能 本機能はクライアントエージェントがインストールされた端末内で動作するアプリケーションプログラムの情報を抽出して、そのアプリケーションプログラムが発行する通信に対して許可/遮断の制御を行うことができます。許可を設定した場合、指定したアプリケーションプログラムが発行する通信を許可するポリシーがファイアウォールに自動的に追加されます。また、遮断を設定した場合は、指定したアプリケーションプログラムが発行する通信を遮断するポリシーがファイアウォールに自動的に追加されます。なお、大型アップデート前に登録したものは変更不可のポリシーとして引き継がれます。 本機能は大型アップデートに伴い提供を終了しますが、アプリケーション制御又はファイアウォールポリシー追加で同様の処理を実現させることができます。
22
セキュリティポリシーのアプリケーション保護欄にある「アプリケーション制御」では、ファイアウォールで制御されたポリシー下において管理者が指定したアプリケーションがネットワークへアクセスすることに対して例外的に動作を「許可」又は「遮断」することができます。なお、現在はWindows デバイスのみ適用が可能です。 本機能は「プログラム制御」のようにクライアントエージェントがインストールされた端末内で動作するアプリケーションをリストアップするのではなく、管理者が個別に許可又は遮断したいアプリケーションをフルパスで指定する必要があります。自社専用アプリケーション等、ファイアウォールポリシーによって動作への干渉を行わないようにする必要がある場合には、あらかじめ動作を許可する設定にしておくことを推奨しています。
アプリケーション保護欄にあるアプリケーション制御の「追加」を選択してください。
アプリケーションの追加画面から制御するアプリケーション情報を登録します。
以下に Google Chromeの動作を許可する場合の登録例を示します。
23
以下にファイアウォールポリシーの追加によりアプリケーション等の通信を許可する設定方法を例示します。 <ファイアウォールポリシーの設定例> 通信要件が明確になっている場合 上図の構成を例にするとユーザ端末(192.168.1.1)にインストールされたアプリケーションプログラム Aは処理実行時にアウトバウンド通信で TCP/443 ポートで通信先ホスト(172.16.1.1)に接続します。現在のファイアウォールポリシーではこの通信は遮断されてしまうため接続を許可する設定を行いたい。 ファイアウォールのポリシー作成方法の詳細については、インストールガイドを参照してください。ポリシーの追加手順は以下のとおりです。
24
01. 管理コンソールにログイン 02. メインメニューの「ポリシー」を選択 03. 中央の「セキュリティポリシー」を選択して編集したいポリシーを選択 04. 編集画面の「ネットワーク保護」欄の「ファイアウォールルール」から「ルールの追加」を選択 05. 「ルールの追加」ウィンドウが表示されたら前ページの設定例の内容に参考にして編集 06. 設定が完了したら「追加」を選択 07. 作成したポリシーが追加されたことを「ファイアウォールルール」欄から確認 08. 問題がなければ「ポリシーを保存」を選択して編集内容を保存 大型アップデート後に特定アプリケーションの通信が遮断されてしまう場合には、ユーザコンソールからログを確認することで許可すべき情報を確認することができます。通信を遮断されてしまった端末上からユーザコンソールを起動します。メニューから「履歴」を選択して「ファイアウォール -活動」を表示します。履歴の中から目的のログを確認します。右下の「その他のオプション」を選択すると詳細が表示され、許可すべき情報が表示されます。
25
通信要件がどうしても明確にできない場合 ファイアウォールの役割はユーザにとって、通すべき通信と通すべきではない通信をルールとして定義することで適切な通信制御を行うことにあります。そのため、不用意に通信を許可又は遮断すると予期せぬ問題を誘発する恐れがあります。以下に案内する暫定対処策は、プログラム制御で実施していたポリシーを適切にファイアウォールルールに移管できない場合の暫定的な対応策となります。恒久的な対処としては推奨しませんので、あらかじめご了承ください。 なお、設定手順は前述の例示したものと同じです。 通信要件を明確にできない場合の暫定対処策として指定したホストからの通信を全て許可する設定を投入した場合、セキュリティレベルの低下が懸念されます。「オフィスあんしんセキュリティサービス」では、このような設定をした場合においてもファイアウォール以外に以下の 2 つの機能が「通信」の安全性を維持するために動作しています。そのため、ファイアウォールルールの強度を弱めても極端なセキュリティレベルの低下は発生しないように設計されています。ただし、100%の安全を担保するものではありませんので、あらかじめ了承の上で設定してください。
機能名 効果
脆弱性保護機能
パケットレベル(OSI 参照モデル第二階層/データリンク層)、ネットワークレベル(OSI 参照モデル第五階層/セッション層)及びアプリケーションレベル(OSI 参照モデル第七階層/アプリケーション層)で不正アクセスを検出できるようにシマンテックが独自にカスタマイズしたシグネチャを実装しています。
メモリエクスプロイト緩和機能
脆弱性を悪用する際に発生するメモリ領域の改竄動作を検知することで特定の脆弱性に依存せずに攻撃を検知できます。侵入防止と連携して攻撃パターンによる照合と脆弱性悪用時に発生する特有のふるまいを監視することで侵入を阻止します
26
10. 大型アップデート前の確認事項:引き継がれない情報 大型アップデートが行われるとサービスインフラが変更となるため、一部の情報については引き継ぐことができなくなります。監査記録として必要な情報があれば、大型アップデート前にレポート機能を使ってダウンロードしておくことを推奨します。
管理コンソール上のカテゴリ 引き継ぎの有無
認証情報 全て引き継ぎます。
ダッシュボードのサマリ情報 全て引き継がれません。
コンピュータ アップデート後のシステム要件でサポートされる端末の情報は全て引き継ぎます。
システムポリシー 全て引き継ぎます。
セキュリティポリシー 一部の移行対象外機能を除いて全て引き継ぎます。
ユーザ 全て引き継ぎます。
警告 全て引き継がれません。
レポート 全て引き継がれません。
設定 全て引き継がれません。
なお、現状の「オフィスあんしんセキュリティサービス」における運用情報については、メインメニューの「レポート」より過去1 年間まで遡って PDF/HTML/CSV 形式で抽出することができます。大型アップグレードが開始されると現状の管理コンソールへのアクセスができなくなりますので、情報の抽出が必要な場合は、必ず事前に作業を行ってください。レポートの作成手順はコチラを参照してください。
27
11. 大型アップデート前の確認事項:端末の状態確認 大型アップデートを実行する際にアップデート処理を正常に完了させるためには、管理下にある端末が管理コンソール上で「オンライン」の状態である必要があります。アップデートを実施する前に管理下にある端末の状態を確認しておくことを推奨します。 端末の状態確認 管理コンソールのメインメニュー「コンピュータ」から管理下にある端末の一覧が確認できます。コンピュータのエイリアスの横に状態を示すアイコンが表示されます。 リスクあり:端末にとって致命的な問題を抱えている可能性があります。 要確認 :致命的な問題につながる軽微な問題を抱えている可能性があります。 「オフライン」状態になっていなければ、「リスクあり」又は「要確認」の状態表示があってもアップデートを実行することが可能です。但し、アップデートとは別に原因を確認した上で正常化しておくことを推奨します。
28
端末側では正常稼働しているが管理コンソールでは「オフライン」状態になっている場合 端末側のユーザコンソール上では正常に稼働している状態なのに、管理コンソールから当該端末のコンピュータエイリアスを確認すると「オフライン」と表示されていることがあります。端末側のエージェントと管理コンソールとの間の通信が正常に行われていない可能性があります。端末がこの状態にある場合、端末が正常にアップデート指示を受信できないため、自動的にアップデートの処理が実行されません。 対応策①:アップデート前にエージェントを再インストールする。 対応策②:管理コンソールのアップデート後に手動で新しいエージェントを上書きインストールする。 同じコンピュータエイリアスを持つ端末が登録されている場合 端末のインストールが失敗して何度か再インストールをしたことがある場合、同一のコンピュータエイリアスを持つ端末が登録されてしまうことがあります。どちらも同一の端末を示す情報ですが、「オフィスあんしんセキュリティサービス」では端末と管理コンソール上のコンピュータエイリアスは一意に紐付きます。そのため、重複している場合においても、どちらか一方は「オフライン」と表示されています。この状態ではコンピュータエイリアスに端末が紐付いていないため、アップデートの処理は実行されません。 対応策①:正となるコンピュータエイリアスを残し、不要なコンピュータエイリアスを削除する。
29
12. 大型アップデート前の確認事項:レガシーOS に対する救済措置 「07.大型アップデート前の確認事項:システム要件の変更」にて記載のとおり、アップデート後はマイクロソフト社及びアップル社がサポートを終了したレガシーOS に対しては継続して「オフィスあんしんセキュリティサービス」をご利用いただくことはできなくなります。 そのため、サポート対象外となる端末をご利用のお客様に対しては以下の救済措置を提供させていただきます。なお、原則としてシマンテックとして公式サポートを終了しているレガシーOS になりますので、お客様の責任でご利用いただきますようお願い申し上げます。 選択肢 1:移行せずに現行のオフィスあんしんセキュリティサービスのエージェントを継続利用する 【非推奨】 レガシーOS にインストールされている「オフィスあんしんセキュリティサービス」のクライアントエージェントは大型アップデートに際して自動的に更新及び削除されません。大型アップデート後も保護機能は継続して機能する予定ですが、何らかの問題が生じて再設定や再インストールが必要になった場合、管理コンソールが新しい環境へ移管されているため設定変更やインストールパッケージを再入手できなくなりますので環境を再構築することができません。なお、近い将来、シマンテックが「Symantec Endpoint Protection Small Business Edition」の提供を終了した場合、定義ファイル等の更新を停止する予定があり、停止後は製品を継続して利用することができなくなります。 選択肢 2:Symantec Endpoint Protection 12.1 へ移行する 【推奨】 現在の「オフィスあんしんセキュリティサービス」と同等の機能を持つオンプレミス版の「Symantec Endpoint Protection 12.1」へ移行します。クライアントエージェントが異なるため、再インストールが必要となりますが、管理コンソールを必要とせず単体利用が可能でユーザコンソールで設定の編集を行うことができます。選択肢 1よりも長い期間稼働させることができます。なお、将来的にシマンテックが「Symantec Endpoint Protection 12.1」の提供を終了した場合、定義ファイル等の更新を停止する予定があり、停止後は製品を継続して利用することはできますが各種情報が更新されなくなります。 レガシーOS に対する救済措置の詳細については、「オフィスあんしんセキュリティサービス~レガシーOS 用エージェント移行手順書~」を参照してください。
30
13. 大型アップデート前の確認事項:マニュアル/リモートプッシュアップデートの必要性 大型アップデートはスケジュールに基づいて自動アップデートされます。アップデートプロセスにおいて端末の再起動を求められるため、サーバ等の特殊用途で利用している端末については再起動のタイミングを調整する必要があります。端末のアップデート開始タイミングは管理コンソールの「システムポリシー」内の「ソフトウェアの更新スケジュール」で設定された項目に基づいて実行されますので、事前に調整をお願いします。
設定値 動作仕様
常時 管理コンソールのアップデートから 24時間後にアップデート開始
就業時間中 管理コンソールのアップデートから 24時間後の午前 8時から午後 5時の間にアップデート開始
就業時間外 管理コンソールのアップデートから 24時間後の午後 5時から午前 8時の間にアップデート開始
週末のみ 管理コンソールのアップデートから 24時間後の最初の土曜日及び日曜日にアップデート開始
無効化 管理コンソールのアップデートから 1日(24時間)+30日後にアップデート開始
例えば、以下のように端末の用途に基づいてシステムポリシーを変更することができます。
31
大型アップデート前の管理コンソールからシステムポリシーを変更する 01. 管理コンソールにログイン 02. メインメニューの「ポリシー」を選択 03. 左側のメニューから「グローバル」>「システム」を選択 04. 設定を適用したい端末に割り当てているポリシーを選択又は「ポリシーの追加」を選択 05. 編集画面の「ソフトウェアの更新スケジュール」欄から任意の設定を選択 06. 作成したポリシーが意図したグループに適用されているか「グループ」欄から確認 07. 問題なければ「保存および適用」を選択して編集内容を保存 なお、サーバ OS や特殊用途の端末にてスケジュールに基づいて端末のアップデートを行う場合は、前述(p14)の「【重要】サーバ OS をアップデートする場合の推奨手順」を参照してください。
32
14. 大型アップデートにおけるその他の注意事項 大型アップデートを実行する上で注意すべき事項を以下に記載します。 管理コンソール切り替え後にアラートメールが届く 管理コンソールが切り替わり端末のアップデートが可能になった状態で一定時間作業を行わない場合には管理者宛にアラートが送られます。 アラート名:SEP SBE のアップグレードを保留中です 送信条件:管理コンソール切り替え後、アップデートが 7日以内に完了しなかった場合 アラート名:SEP SBE をすぐにアップグレードする必要があります 送信条件:管理コンソール切り替え後、アップデートが 30日以内に完了しなかった場合 リモートプッシュアップデートを実行したにも関わらずアップデートが開始されない 管理コンソールから端末を指定してリモートプッシュアップデートを実行したにも関わらずアップデートが開始されない場合、シマンテックのサーバから配信される「SEPC_Setup.exe」の実行時に Windows OS 側で証明書の有効性を正しく判断できずにエラーが発生している可能性があります。この場合、配信されるファイルは実行されません。 証明書の有効性確認はWindows OS の機能となり、Windows Update により端末を最新の状態にアップデートすることで問題を解決することができる場合があります。 パスワードポリシーの変更について 大型アップデート後の追加機能として「パスワード保護」があります。アップデート後に本機能の設定パラメータを変更すると、端末側で「次回ログイン時にパスワードを変更する」にチェックが入り、Windows 再起動後にパスワード変更を求められます。 この事象は本機能によって端末側のパスワード強度が監査され、ポリシーで定義されるレベルよりも低い強度の場合は変更を要求されます。なお、AD 等の制御している場合に本機能の設定は無視されます。本問題を回避するには事前に「セキュリティポリシー」から「パスワード保護」をオフにしていただくことで回避できます。 メンテナンス情報をメールで受信する方法 管理コンソールのダッシュボードに表示される「Symantec Endpoint Protection Cloud のニュース」の内容を指定したメールアドレスに送信したい場合には以下の手順で登録をしてください。 01. Symantec Status(https://sepc.status.symantec.com/)にアクセス 02. 画面右上の「SUBSCRIBE TO UPDATES」をクリック
33
03. 情報を送信したいメールアドレスを入力して「SUBSCRIBE VIA EMAIL」をクリック
34
15. 変更履歴 更新日 更新内容
2018年 6月 20日 大型アップデートガイド Version1.0.0をリリース
2018年 8月 22日 大型アップデートガイド Version1.1.0をリリース
大型アップデート開始時期を変更
システム要件にWindows Storage Serverの情報を追加
システム要件の Mac OS Xのサポート要件を変更
システム要件の通信が必要な URLを更新
利用できなくなる機能に「全画面検出」「USB ストレージデバイス制御
(パスワードによる遮断強制解除機能のみ)を追加
2018年 10月 25日 大型アップデートガイド Version1.2.0をリリース
全体の構成を変更
アップデートプロセスにおける参考となる画面ショットを追加
2018年 11月 20日 システム要件にWindows Server 2012のサポートを追記
システム要件にWindows Storage Server 2012のサポートを追記
アップデートプロセスにおける参考となる画面ショットを追加
大型アップグレード処理開始時に送信される通知メールの説明を追加
2018年 12月 14日 項目「06.大型アップデートで端末の更新に失敗した場合」を追加
項目「14.大型アップデートにおけるその他の注意事項」を追加
2019年 1月 8日 項目「14.大型アップデートにおけるその他の注意事項」を更新
2019年 1月 18日 項目「09.大型アップデート前の確認事項:利用又は設定変更できなくな
る機能」を更新
システム要件の通信が必要な URLと許可すべきドメインの情報を更新
2019年 4月 1日 軽微な文言修正を実施
2019年 4月 11日 項目「06.大型アップデートで端末の更新に失敗した場合」を更新
2019年 4月 12日 項目「08.大型アップデート前の確認事項:システム要件の変更」の「通
信が必要な URL」を更新
2019年 8月 5日 項目「08.大型アップデート前の確認事項:システム要件の変更」の「通
信が必要な URL」を更新
