公開日
2022年10月24日
Step by Step! Apex One SaaSアップデートエージェントの設定方法
こんにちは、エンドポイントセキュリティ製品 ソリューションアーキテクトの栁です。
今回はTrend Micro Apex One™ SaaS(以降、Apex One SaaS)におけるアップデートエージェントの設定方法についてご紹介します。
Apex One SaaS 管理コンソールの複雑さから手順を迷われる方も多いと思いますので、なるべく分かりやすく解説していきます。
アップデートエージェントとは
アップデートエージェントとは、Apex One SaaSのセキュリティエージェント(Windows プラットフォーム)(以降、エージェント)にコンポーネントを配信できるようにする機能です。
アーキテクチャと利用例については図をご参照ください。
Apex One SaaSにおけるコンポーネントとは、エージェントが使用するパターンファイルやエンジンとドライバ、メンテナンスのタイミングで配信されるエージェントプログラムのことを指します。
通常、エージェントはインターネットを通じてApex One SaaSサーバからコンポーネントをダウンロードするため、オンプレミス版の製品等と比較してインターネット側のネットワーク使用量は増加します。
ネットワーク使用量の増加を気にされるお客様にとって、アップデートエージェントはこの対策として有効で、使用量を削減しネットワーク帯域の負荷を軽減できます。図の通り、Apex One SaaSサーバからコンポーネントを受け取るのはアップデートエージェントのみとなり、配下のエージェント群はローカルネットワークを通じてアップデートエージェントからコンポーネントをダウンロードするためです。
アップデートエージェントを設定することにより、日々の運用で発生するダウンロードトラフィックを1日1エージェントあたり約3.98MB、およそ4分の1削減できます。
なおアップデートエージェントを介して行われる通信はコンポーネントアップデートのみであり、その他はApex One SaaSサーバやSmart Protection Network(以降、SPN)に直接通信する点についてご注意ください。
SPNは最新の脅威に対してプロアクティブな保護を提供するように設計された次世代のクラウド-エージェント型のコンテンツセキュリティ基盤です。トラフィックの内、「ホワイトリストチェック」「Smart Protection Feedback」「機械学習検索&レピュテーション」の通信先となります。
(Trend Micro Apex One™ SaaS 導入・移行ガイドより)
設定手順
ここからは、実際に設定を行う手順を紹介していきます。設定は以下の流れで行います。
①アップデートエージェントとするエージェントの決定
②アップデートエージェント用ポリシーの作成と割り当て(Apex Centralコンソール)
③エージェントアップデート元の変更設定(Apex Oneコンソール)
①アップデートエージェントとするエージェントの決定
まず始めに、アップデートエージェントとするエージェントを決めましょう。エージェントからはアップデートエージェントのIPアドレスかホスト名に対して通信することになるため、エージェント群から通信可能な環境に配置されたエージェントを選択しましょう。選択した端末にエージェントがインストールされていない場合はあらかじめインストールを行ってください。
ここでは、ローカルネットワーク(192.168.0/24)内の1つの端末(CLIENT3 192.168.0.202)をアップデートエージェントとします。
②アップデートエージェント用ポリシーの作成と割り当て(Apex Centralコンソール)
ここからの操作で、エージェントをアップデートエージェントとして動作させるためのポリシーを作成して、①で決めたエージェントに割り当てていきます。
以前の記事でもご紹介しましたが、ポリシーの管理はApex One SaaSのコンソール(Apex Centralコンソール)から行います。
Apex Centralコンソールにログインしたら上部メニュー「ポリシー」内の「ポリシー管理」をクリックし、「製品」のドロップダウンから「Apex Oneセキュリティエージェント」を選択します。
アップデートエージェント用にポリシーを作成していきますが、多くの場合すでに該当する端末群で使用しているポリシーがあると思いますので、それをコピーする形で作成していきましょう。コピーするポリシーを選択して「設定のコピー」をクリックします。もちろん、新規に「作成」して各種検索設定をイチから行う形でも問題ありません。
「ポリシーのコピーと作成」画面に遷移しますので、まずはポリシー名を設定しましょう。ポリシー名は分かりやすく「アップデートエージェント」等とすると良さそうです。
続けて同じ画面内で対象を設定しますが、ここでは割り当てる対象(=アップデートエージェントとするエージェント)が決まっているはずなので「対象の指定」から割り当てを行います。
「対象の指定」、「選択」の順にクリックすると対象を検索するモーダルが表示されます。
検索の手段は複数ありますが、ここではホスト名が分かっているため「キーワードに一致」から「ホスト名」で検索を行います。
検索結果が表示されるので、アップデートエージェントとするエージェントを選択し「選択した対象を追加」、「OK」の順にクリックします。
「ポリシーのコピーと作成」画面に戻りますので、対象がカウントされていることを確認しましょう。複数のアップデートエージェントを配置する場合は「対象の管理」から同じ手順で対象を追加できます。
続けて、左側ペインの下部「エージェント設定」から「アップデートエージェント」を選択します。画面が切り替わったら表示されるチェックボックスをすべて有効にして「配信」をクリックします。
ポリシー管理画面に戻りますので、作成したポリシーが表示され。配信が進んでいることを確認しましょう。
作成直後ステータスは「保留中」となりますが、通常10-20分ほどで配信が完了し「配信済み」になります。
配信が完了したらApex Centralコンソールで行うポリシーの設定は完了です。
ここまでの手順でポリシーを割り当てたエージェントが、アップデートエージェントとして動作することになります。
③エージェントアップデート元の変更設定(Apex Oneコンソール)
ここからは、アップデートエージェントの配下のエージェント群が、Apex One SaaSサーバの代わりにアップデートエージェントからコンポーネントを取得するよう設定を行っていきます。
設定は、Apex Oneコンソールの「エージェントアップデート元」から行います。
まずはApex Oneコンソールにアクセスします。上部メニュー「ディレクトリ」内の「製品サーバ」を選択し、表示されるApex Oneコンソールのリンクをクリックします。
新しいタブでApex Oneコンソールが開くので、上部メニュー「アップデート」内の「エージェント>アップデート元」を選択します。
初期設定では「標準のアップデート元」が選択されており、すべてのエージェントがApex One SaaSサーバから直接コンポーネントをダウンロードしていることが確認できます。
「ユーザ指定アップデート元」を選択して、すべてのチェックボックスが有効になっていることを確認します。
基本的には、アップデートに接続できない場合にApex One SaaSサーバからもアップデートを取得できるよう、チェックボックスは有効のままとします。
「ユーザアップデート元リスト」テーブル内の「追加」をクリックし、表示される画面「IPアドレスの範囲とアップデート元の追加」で設定を行います。
「IPv4」にて、アップデートエージェントの配下のとするエージェント群のIPアドレス範囲を設定します。ここでは、ローカルネットワーク(192.168.0/24)内のホストアドレスをすべて指定しています。
「アップデート元」では、まず「アップデートエージェント」をクリックしてドロップダウンにて先ほどポリシーを割り当てたアップデートエージェントが選択されていることを確認します。アップデートエージェントが複数存在する場合は適当なアップデートエージェントを選択しましょう。
続けて、エージェントがアップデートエージェントへの通信に使用するアドレスをIPアドレスかホスト名から選択します。典型的な環境では、IPアドレスが変動してもホスト名で通信可能なため「ホスト名」を選択すると良さそうです。業務サーバ等IPアドレスを固定している場合であれば、「IPアドレス」を選択しても問題ないでしょう。
「IPアドレスの範囲とアップデート元の追加」のすべての設定が完了したら「保存」をクリックします。
「エージェントアップデート元」の画面に戻りますので、設定した内容が「ユーザアップデート元リスト」に反映されていることを確認したら、「すべてのエージェントに通知」をクリックします。
ここではホスト名で通信を行うよう設定しています。「外部ソース:https://CLIENT3:21112」とあるように、配下のエージェント群はアップデートエージェントのTCP 21112ポートに対して通信する形となりますので、ファイアウォール等による制御がある場合には通信要件を改めて確認しておきましょう。
(Trend Micro Apex One™ SaaS 導入・移行ガイドより)
複数のIP範囲におけるアップデートエージェントを指定する場合(例えば、各拠点にアップデートエージェントを配置されたい場合)も同じ手順を繰り返し行うことになります。
以上で、アップデートエージェントに関するすべての設定が完了しました。
よくいただくご質問
Q: 同一IP範囲内にアップデートエージェントを複数設置できますか?
A: 同一IP範囲内に複数設置することは可能です。
ただし、アップデートエージェント間で負荷を分散するような機能はございません。「ユーザアップデート元リスト」の順序に従って通信を行うため、複数のアップデートエージェントが動作している場合には、範囲内のすべてのエージェントが、順序が上位のアップデートエージェントに通信します。一方のアップデートエージェントが停止した際のバックアップとしては有効です。
Q: 1台のアップデートエージェントで何台のエージェント群に対応できますか?
A: 以下のヘルプページをご参照ください。Apex One SaaSセキュリティエージェントおよびアップデートエージェントとしてのみ動作する各スペックの端末にて対応可能な台数の目安となる数値をご案内しております。
数値はあくまでもトレンドマイクロ社内において実施したテストをもとにしたものであるため、目安としてご参考にしてください。まずはIPアドレス体系等に沿って少ない台数から設定することを推奨します。
https://success.trendmicro.com/solution/1034989
Q: アップデートエージェント用に専用のサーバを用意する必要がありますか?
A: エージェント(Windows プラットフォーム)としてのシステム要件を満たす端末は、サーバOSかクライアントOSかにかかわらずすべてアップデートエージェントとすることができます。
ただし、先述の通りスペックと対応可能な台数については考慮が必要です。
Q: Macでもアップデートエージェントを使えますか?
A: Windowsのみで使用可能な機能となります。Mac版のエージェントはアップデートエージェントとすることができず、また、アップデートエージェントを参照することもできません。
Q: インターネットに接続できない環境でも、アップデートエージェントに通信できればApex One SaaSを使えますか?
A: いいえ、通信要件の通りエージェントはApex One SaaSと通信出来る必要があります。アップデートエージェントを介して行われる通信はコンポーネントアップデートのみとなります。
https://success.trendmicro.com/jp/solution/000238720
Q: オンプレミス版のApex Oneからエージェントを移行する際に発生するトラフィックを、アップデートエージェントで軽減できますか?
A: 「Apex One SaaS 移行前の確認ポイント 4選!」でもご紹介した通り、移行時のアップデートにて200~300MB/台程度のトラフィックが発生しますが、これをアップデートエージェントで軽減することはできかねます。
段階的にエージェントの移行作業を行った上で、移行完了後にアップデートエージェントの設定を実施いただき、日々の運用で生じるトラフィックの軽減策としてお役立てください。
まとめ
以上、アップデートエージェントの概要から、その設定方法とよくいただくご質問を紹介いたしました。特に複雑な設定は不要であることを本記事にて実感いただければ幸いです。
アップデートエージェントの活用は、SaaS版への移行検討で重要なネットワーク負荷の懸念に応えるソリューションです。ぜひご参考にしていただき、機能を活用しながらSaaS版のメリットを享受していただければと思います。
記事内で引用したTrend Micro Apex One™ SaaS 導入・移行ガイドや関連ウェビナーについても掲載しておきます。
Trend Micro Apex One™ SaaS 導入・移行ガイド
Trend Micro Apex One™ SaaS 導入・移行ガイド ~いつでも見られるオンデマンドウェビナー~
最後までお読みいただきありがとうございました!
トレンドマイクロ株式会社
セキュリティエキスパート本部 セールスエンジニアリング部
エンドポイントセキュリティチーム ソリューションアーキテクト
栁 竜馬