Oracle ZFS Storage ApplianceにおけるSophos Endpoint Protection
by user
Comments
Transcript
Oracle ZFS Storage ApplianceにおけるSophos Endpoint Protection
オラクル・テクニカル・ホワイト・ペーパー 2014 年 1 月
Oracle ZFS Storage Appliance における
Sophos Endpoint Protection の構成方法
Oracle ZFS Storage ApplianceにおけるSophos Endpoint Protectionの構成方法
目次
はじめに ......................................................................... 2
VSCAN の仕組み .................................................................... 3
SESC のインストールおよび Oracle ZFS Storage Appliance の構成 ...................... 5
SESC および SAVDI ソフトウェアの導入 ........................................... 6
前提条件 ........................ エラー! ブックマークが定義されていません。
ネットワーク・トポロジの計画 ............................................. 6
SESC ウイルス・スキャナのインストール ..................................... 7
Oracle ZFS Storage Appliance とウイルス・スキャン・サービスの接続 ............ 12
ウイルス・スキャン・サービス構成の確認........................................... 12
構成のベスト・プラクティス ...................................................... 15
Oracle ZFS Storage Appliance 用に最適化された構成ファイルの使用 .............. 15
アーカイブ・タイプのファイルの処理 .......................................... 16
システム時間の同期 .......................................................... 17
結論 ............................................................................ 17
付録:参考資料 .................................................................. 18
図の目次
図 1:ファイルのウイルス・スキャンの手順 .......................................... 4
図 2:SESC Standalone インストーラ ................................................ 7
図 3:SESC インストール・ウィザード ............................................... 8
図 4:Sophos ライセンス・ログイン資格証明の入力 .................................... 8
図 5:Sophos の自動更新用のプロキシ情報の指定 ...................................... 9
図 6:セットアップ・ウィザードを使用した SAVDI コンポーネントのインストール ....... 10
図 7:SESC の Update Now のアクティブ化............................................ 10
図 8:SESC のスキャンのステータス画面............................................. 11
図 9:ICAP を介した Oracle ZFS Storage Appliance スキャン・エンジン ................ 12
図 10:ウイルス保護のための Oracle ZFS Storage Appliance の共有の設定 ............. 13
図 11:SAV Dynamic Interface Logs フォルダのフォルダ構造 .......................... 14
図 12:ICAP スキャン・ログ・ファイル ............................................. 15
Oracle ZFS Storage ApplianceにおけるSophos Endpoint Protectionの構成方法
はじめに
企業にとって、マルウェアの脅威から電子データを効率的に保護することは、全社的なバックアッ
プ/リストアおよびディザスタ・リカバリ・プロセスを備えることと同じくらい重要です。コンピ
ュータ・ウイルス、フィッシング詐欺、アドウェア、スパイウェアにより、電子データが操作また
は破壊されるリスクにさらされ、データ・サービスの運用と可用性に影響が及び、情報が漏洩した
り、意図しないコンテンツに誘導されたりする結果を招きます。電子データ・リポジトリのコンテ
ンツを悪意のあるソフトウェアによる破壊から保護する機能、潜在的なリスクになるファイルを隔
離および廃棄する機能は、どの企業のデータ保護戦略にも欠かせない要素です。
Oracle ZFS Storage Appliance は、VSCAN という統合型オンデマンド・ウイルス・スキャン・サー
ビスを使用して、コンピュータ・ウイルスからデータを保護します。VSCAN サービスは、Internet
Content Adaptation Protocol(ICAP)に基づいており、外部ウイルス・スキャン・エンジンと連
携します。このエンジンは、パフォーマンスとセキュリティ上の理由のため、Oracle ZFS Storage
Appliance と同じ LAN セグメントにある別のホストで稼働する必要があります。このホワイト・ペ
ーパーで説明するソリューションでは、Sophos Endpoint Protection ソフトウェアを外部ウイル
ス・スキャン・エンジンとして使用します。
Sophos Endpoint Protectionは、疑わしいパターンがないか疑わしいファイルを分析し、スキャン
結果をOracle ZFS Storage Appliance VSCANサービスに渡します。VSCANはスキャン結果を基に、
ファイルをユーザーに対してアクセス可能にするか、ファイルを隔離してアクセスをブロックしま
す。VSCANサービスによって隔離されたファイルは、使用されるアクセス・プロトコル(CIFS
[Common Internet File System]またはNFS [Network File System])に関係なく、ユーザーか
らアクセスできなくなります。
このドキュメントでは、Oracle ZFS Storage Appliance VSCAN サービスとともに使うウイルス・ス
キャン・エンジンとして使用する Sophos Endpoint Protection のインストールおよび構成につい
て説明します。
2
Oracle ZFS Storage ApplianceにおけるSophos Endpoint Protectionの構成方法
VSCANの仕組み
データが格納されているボリュームでウイルス・スキャンが有効になっている場合、スキャンが全
ファイルに対して開始されることはありません。代わりに、VSCANサービスは、"ファイル・オープ
ン"または"ファイル・クローズ"リクエストが発行されるたびに、ウイルス・スキャン・エンジン
(この場合、Sophos Endpoint Protectionアンチウイルス・スキャナ)へのウイルス・スキャンの
リクエストを開始します。したがって、作成、変更、または読み取りのためにオープンされたファ
イルのみがスキャンされます。
このアプローチではファイルがオンデマンドのみでスキャンされるため、効率性が保証されます。
逆に、予防的にファイル・システムのコンテンツをスキャンすることはできません。2つ目の制限
として、CIFSやNFS v4など、"ファイル・オープン"および"ファイル・クローズ"要求を発行するア
クセス・プロトコルを使用する共有のみが、VSCANサービスを使ったウイルス保護の対象となるこ
とが挙げられます。NFS v3は、ICAPクライアントをトリガーする"ファイル・オープン"または"フ
ァイル・クローズ"要求を発行しないため、NFS v3を使用した共有ファイルシステムは、VSCANを使
ってスキャンすることはできません。
注:その代わり、アンチウイルス・クライアントを実行するホスト・サーバーにマウントまたはマ
ッピングしてからローカルでスキャンすれば、共有ファイルシステムをスキャンできます。
VSCANサービスは、スキャンの結果を処理するときに使用する次のファイル属性を保持しています。
ファイルの最新スキャンで使われたウイルス・スキャン・エンジンの構成(スキャンスタン
プといいます)。
ウイルス・スキャン・エンジンから返されたファイルの評価に基づいて、ファイルが隔離さ
れたかどうか。
ファイルが変更または名前変更されたときにファイル・システムによって設定される変更済
みの属性。ファイルのスキャンに成功すると、VSCANサービスは変更済みの属性を消去しま
す。
ファイルのスキャンは、"ファイル・オープン"または"ファイル・クローズ"要求が開始され、且つ
次のいずれかの条件を満たした時に実行されます。
ファイルにスキャンスタンプ属性が無い。これは、ファイルがまったくスキャンされていな
いことを示します。
ファイルのスキャンスタンプが、ウイルス・スキャン・エンジンの現在の構成で指定された
ウイルス・パターンとスキャン・オプション(ISTag文字列)に一致しない。
ファイルの変更済み属性が消去されていない。
VSCAN サ ー ビ ス は 、 ICAP を 使 っ て ウ イ ル ス ・ ス キ ャ ン ・ エ ン ジ ン と 通 信 し ま す 。 Oracle ZFS
Storage ApplianceはICAPクライアントとして動作し、ウイルス・スキャン・エンジンはICAPサー
バーとして動作します。Oracle ZFS Storage Applianceから、ファイルをスキャンするよう要求さ
れると、ファイルは分析のため、暗号化されずにICAPサーバーに送信されます。
3
Oracle ZFS Storage ApplianceにおけるSophos Endpoint Protectionの構成方法
ファイルスキャン要求がICAPサーバーによって実行されている間、ファイルへのアクセスは拒否さ
れます。アクセス制御リスト(ACL)で定義されたファイルへのユーザー権限は、Oracle ZFS
Storage ApplianceがICAPサーバーの応答を待機している間、有効にはなりません。
ウイルス・スキャン・エンジンにより、ファイルにウイルスが含まれていることが報告されると、
VSCANサービスはファイルの拡張システム属性(ESA)にav_quarantinedビットを設定します。これ
により、クライアントはこれ以降、ファイルにアクセスできなくなります。
注:ウイルス・スキャン・エンジンがICAPリクエストに応答しない場合に、データが使用できなく
なることを防ぐため、VSCANサービスで2つ以上のウイルス・スキャン・エンジンを使用するように
構成することを推奨します。
ICAPサーバーはOracle ZFS Storage Applianceでの登録または認証を行わなくても、スキャン要求
を処理できます。
図1は、ウイルスに対して保護された、Oracle ZFS Storage Applianceの共有ファイルシステムの
データに対し、NASクライアントからアクセスが要求された場合のICAPクライアントとICAPサーバ
ー間のやり取りを示します。この処理の流れは7つのステップから構成され、NSF v4またはCIFSプ
ロトコルを使って共有ボリュームのファイルにアクセスを要求するNASクライアントのリクエスト
によって始まります。
図1:ファイルのウイルス・スキャンの手順
、NFS v4/CIFSの共有ファイルシステム上のファイルにクライアントからアクセスするとき、また
はファイルを作成するとき、次の一連の処理が行われます。
1. クライアントがファイルにアクセスします。
2. Oracle ZFS Storage Applianceは、スキャンスタンプ情報とファイル・オープンまたはファ
イル・クローズの操作リクエスト情報を使って、ファイルにスキャンが必要かどうかを判別しま
す。スキャンが不要な場合(ファイルがスキャン済みで更新されていない場合)は、クライアン
トに対してアクセスが許可され、コンテンツが返されます(したがって、次のステップは実行さ
れません)。
4
Oracle ZFS Storage ApplianceにおけるSophos Endpoint Protectionの構成方法
3. ファイルにスキャンが必要な場合、スキャン要求がSESCに発行されます。
4.
SESCスキャン・エンジンによってファイルがスキャンされます。
5. SESCスキャン・エンジンは、次のいずれかの結果でOracle ZFS Storage Applianceに応答し
ます。
a) ファイルは問題なし
b) ウイルスが検出され、ファイルを隔離
6. Oracle ZFS Storage Applianceは、SESCの応答に応じて、次のいずれかの処理を行います。
a) ファイルの保存/ 読み込み
b) ESAに設定されたav_quarantinedにより、これ以上のクライアント・アクセスを拒否
7. Oracle ZFS Storage Applianceは、それぞれのアクションについて以下のようにクライアン
トに応答します。
a) クライアント・アクセス許可
b) クライアント・アクセス拒否
注:前述したように、NFSv3を使用した場合、スキャン要求は実行されません。ただし、感染した
とマークされたファイルはNFSv3を介してアクセスすることはできません。
SESCのインストールおよびOracle ZFS Storage Applianceの構成
Sophos Endpoint Protection製品スイートにはSophos Endpoint Security and Control(SESC)が
含まれており、Sophos Antivirus Dynamic Interface(SAVDI)と組み合わせて使用することで、
Oracle ZFS Storage Appliance用のアンチウイルス・スキャン・ソリューションを構築可能です。
SESCコンポーネントとSAVDIコンポーネントは、各種プラットフォームをサポートしています。
SESCコンポーネントは、Standaloneインストール・パッケージ・オプション内にあり、各種オペレ
ーティング・システムに対応するバージョンがあります。SAVDIコンポーネントは、Anti-Virus
for Network Storageパッケージ内にあるのでOracleプラットフォーム・バージョンを選択してく
ださい。このホワイト・ペーパーのインストールの例では、Microsoft Windows 2003 Serverが動
作するマシンを使用します。
SESCコンポーネントには、アンチウイルス・スキャン・エンジン、およびユーザーがアンチウイル
ススキャン環境を設定・監視、そしてシステムを維持するための機能を設定、するためのコンソー
ルが含まれています。SAVDIコンポーネントは、Oracle ZFS Storage Applianceとアンチウイル
ス・スキャン・エンジン間のICAPプロトコル処理を行います
5
Oracle ZFS Storage ApplianceにおけるSophos Endpoint Protectionの構成方法
仮想環境を使用することも可能で、Oracle VM Serverや、Oracle VM VirtualBoxをデスクトップ仮
想クライアントおよびテスト環境で使用することも可能です。
このホワイト・ペーパーの例では、全体を通じてWindows版のSESCを使用します。
インストールイメージについては、SophosのWebサイトにあるEndpoint Protectionのページを参照
してください。Sophos Endpoint Protectionは、Sophos Endpoint Security and Controlともいい
ます。
SESCおよびSAVDIソフトウェアの導入
Oracle ZFS Storage ApplianceにSophos Endpoint Protectionを導入する前に、次の準備作業を行
います。
導入準備作業Oracle ZFS Storage Appliance製品ページのオンライン・ヘルプまたはPDF版で、
Oracle ZFS Storage Applianceのウイルス・スキャン・サービスの説明項目の確認(「付録
A:参考資料」を参照)
Sophos Web サ イ ト に あ る 『 Sophos Endpoint Security and Control 』 の ド キ ュ メ ン ト と
『Sophos SAVDI Quick Start Guide』の確認
必要なプラットフォームに対応するEndpoint SecurityとSAVDIのパッケージの入手
SESCとSAVDIパッケージのハードウェア要件に対する、使用する(仮想)ハードウェア・プラ
ットフォームの仕様の確認
Sophosへのアクセスにプロキシ・サーバーが必要な場合は、プロキシ・サーバーがSophosへの
ウイルス更新リクエストへの接続をサポートしているか
Oracle ZFS Storage ApplianceへのWebブラウザの接続確認。
Oracle ZFS Storage Appliance上の保護対象の共有ファイルシステムでCIFSまたはNFS v4プロ
トコルが使用されていることの確認
必要なネットワーク環境の準備と、動作確認
Oracle ZFS Storage ApplianceとSESCサーバー間をポート1344パススルーを使ってICAP TCPトラ
フィックが通過できるように、ファイアウォールを構成する必要があるかどうか
ネットワーク・トポロジの計画
Oracle ZFS Storage ApplianceがSESCのサービスにアクセスするには、TCP/IPネットワーク接続が必要です。
最小限の構成の場合、Oracle ZFS Storage ApplianceへとSESCでネットワーク接続がそれぞれ1ポート必要
で、小規模な構成にはこれで十分です。この構成では、すべてのネットワーク・トラフィックが、Oracle
ZFS Storage ApplianceとSESC双方の1つのネットワーク・ポートを通ります。
Oracle ZFS Storage Applianceでは、クライアント・データと管理I/Oのトラフィックを分離する
ことお勧めします。ウイルス・スキャン・サービスにより、ICAPインタフェースのデータ・トラフ
ィックがさらに発生します。Oracle ZFS Storage Applianceとクライアント間のデータI/Oのパフ
6
Oracle ZFS Storage ApplianceにおけるSophos Endpoint Protectionの構成方法
ォーマンスがこのI/Oの影響を受けないようにするには、ICAP接続用の別のサブネットを使用しま
す。
また、SESCネットワーク管理トラフィックをICAPネットワーク・トラフィックから分離するように、
SESCを構成することもできます。ウイルスのシグネチャやスキャン・エンジンの更新がないか確認
するために、管理インタフェースもインターネットに接続します。予備のネットワーク・ポートを
SESCサーバー上で使用できる場合、管理用トラフィックとインターネット・トラフィックを分離す
ることができます。
SESCウイルス・スキャナのインストール
アンチウイルス・ソフトウェアのインストールに使用するサーバーのオペレーティング・システム
が最新のパッチ・レベルになっていることを確認します。
必要なインストール・イメージをスキャン・サーバーまたは仮想スキャン・サーバーにインストー
ルします。
まず、SESCパッケージをインストールします。
図2:SESC Standaloneインストーラ
インストール・ウィザードにより、SESCパッケージとSophos Autoupdateパッケージのインストー
ルがガイドされます。
7
Oracle ZFS Storage ApplianceにおけるSophos Endpoint Protectionの構成方法
図3:SESCインストール・ウィザード
Sophosから提供されたライセンス・ログイン用のユーザIDとパスワードを入力します。
図4:Sophosライセンス・ログイン資格証明の入力
8
Oracle ZFS Storage ApplianceにおけるSophos Endpoint Protectionの構成方法
外部Webサイトへのアクセスにプロキシ・サーバーが必要な場合は、次のダイアログ・ウィンドウ
を使用して、サーバーがWindowsのコントロール・パネルのインターネット・オプションの設定で
適切に設定されていることを確認してください。
図5:Sophosの自動更新用のプロキシ情報の指定
9
Oracle ZFS Storage ApplianceにおけるSophos Endpoint Protectionの構成方法
次の手順では、SAVDIコンポーネントをインストールします。
図6:セットアップ・ウィザードを使用したSAVDIコンポーネントのインストール
インストールが完了したら、次の画面のメニュー・オプションで表示されている'Update now'を使
ってウイルス・シグネチャ・ファイル更新をリクエストすることで、SESCの自動更新機能で使用さ
れるインターネット接続をテストできます。
図7:SESCのUpdate Nowのアクティブ化
10
Oracle ZFS Storage ApplianceにおけるSophos Endpoint Protectionの構成方法
インストール・プロセスの最後に、アンチウイルス・スキャン環境の現在のステータスが表示されます。
図8:SESCのスキャンのステータス画面
コンソールのStatusセクションの'Items in Quarantine'には、SAVDIインタフェースを介して隔離
されたファイルではなく、ローカル・サーバー上のスキャン・エンジンによって隔離されたファイ
ルが表示されます。Oracle ZFS Storage Appliance上のSAVDI/ICAPによるウイルス検出の監視方法
については、「ウイルス・スキャン・サービス構成の確認」の章を参照してください。
11
Oracle ZFS Storage ApplianceにおけるSophos Endpoint Protectionの構成方法
Oracle ZFS Storage Applianceとウイルス・スキャン・サービスの接続
SESCスキャン・エンジンが起動しましたので、次にOracle ZFS Storage Applianceをセットアップ
し て ICAP イ ン タ フ ェ ー ス 経 由 で ス キ ャ ン ・ エ ン ジ ン に 接 続 で き ま す 。 「 Configuration 」 →
「Services」を選択して、Virus Scanサービスに移動します。Scanning Enginesの前の「+」ボタン
を使って、SESCにアクセスできるIPアドレスとポート番号を指定します。
図9:ICAPを介したOracle ZFS Storage Applianceスキャン・エンジン
File Extensionsで、スキャン・エンジンによってファイルのサブセットをスキャンまたは除外す
る一連のルールを作成できます。
これで、Oracle ZFS Storage Applianceはウイルス・スキャン機能を使用できます。次の項に示す
ように、SharesやProjectsのプロパティ・ウィンドウのウイルス・スキャン・チェックボックスを
使って、必要なShares/Projectsの機能を有効にします。
ウイルス・スキャン・サービス構成の確認
ウイルス・スキャン・サービスが正しく機能することを確認するには、Webサイトeicar.orgのウイ
ルス・テスト・ファイルを使用します。テスト用に設定されたOracle ZFS Storage Applianceの共
有ファイルシステムへアクセス可能なテスト・マシンにこれらのファイルをコピーします。参考と
して、Sophos SAV Dynamic InterfaceのSAVDI ICAPテスト・ガイドを参照してください。
Oracle ZFS Storage Appliance上にテスト用のCIFS/NFS共有ファイルシステムを作成して、その
Virus scanオプションを有効にします。
12
Oracle ZFS Storage ApplianceにおけるSophos Endpoint Protectionの構成方法
図10:ウイルス保護のためのOracle ZFS Storage Applianceの共有の設定
SESCを稼働するマシンで、SAVDIデーモンをデバッグ・モードで実行するように設定します。それ
には、ディレクトリC:\Program Files\Sophos\SAV Dynamic Interfaceにあるファイル
savdid.confを編集します。savdid.confのloglevel:0を含む行をloglevel:2に変更します。
この変更を行ったら、コマンド・プロンプトで次のコマンドを使って、SAVDIDデーモンを再起動し
ます。
C:\> cd \Program Files\Sophos\SAV Dynamic Interface
C:\>Program Files\Sophos\SAV Dynamic Interface>net stop savdid
C:\>Program Files\Sophos\SAV Dynamic Interface>savdid.exe -uninstall
C:\>Program Files\Sophos\SAV Dynamic Interface>savdid.exe -l -c savdid.conf
120130:142245 0003407 Process starting
PID:3460
Sophos SAVDID プロセスはログ・ファイルの保存先として、ディレクトリ C:\Documents and
Settings\All Users\Application Data\Sophos\SAV Dynamic Interface\Logs を使
用します。
13
Oracle ZFS Storage ApplianceにおけるSophos Endpoint Protectionの構成方法
図11:SAV Dynamic Interface Logsフォルダのフォルダ構造
ウイルス・テスト・ファイルを共有ファイルシステムにコピーするためにクライアントに共有ファ
イルシステムをマウントします。Eicarテスト・ファイルをダウンロードして、NFS共有のディレク
トリにコピーします。感染したファイルと感染していないファイルへのアクセス動作の違いを確認
できるように、通常のテキスト・ファイルを1つ以上追加します。コピーしたらファイルにアクセ
スして、ウイルスを含むとして検出されたファイルへのアクセスが拒否されることを確認します。
以下は、NASクライアント上のCLI セッションでのテスト手順を示しています。
root@edinburgh # ls
Eicar.org files
root@edinburgh # cp -R *files /av/avtest/testrun1
root@edinburgh # cd /av/avtest/testrun1/Eicar.org files
root@edinburgh # pwd
/av/avtest/testrun1/Eicar.org files
root@edinburgh # cat * >/dev/null
cat: cannot open eicar_com.zip
cat: cannot open eicar.com
cat: cannot open eicar.com.txt
cat: cannot open eicarcom2.zip
root@edinburgh # ls -l
total 10
-rwxr-xr-x+
1 nobody
nobody
184 Oct 20 18:05 eicar_com.zip
-rwxr-xr-x+
1 nobody
nobody
68 Oct 20 18:06 eicar.com
-rwxr-xr-x+
1 nobody
nobody
68 Oct 20 18:04 eicar.com.txt
-rwxr-xr-x+
1 nobody
nobody
308 Oct 20 17:58 eicarcom2.zip
-rwxr-xr-x+
1 nobody
nobody
63 Oct 20 17:42 website.txt.txt
root@edinburgh #
14
Oracle ZFS Storage ApplianceにおけるSophos Endpoint Protectionの構成方法
次 に 、 SAVDID の デ ィ レ ク ト リ C:\Documents and Settings\All Users\Application
Data\Sophos\SAV Dynamic Interface\Logs にあるログ・ファイルを調べて、ウイルスを含
むファイルが検出されているかどうかを確かめます。
120227:154011 [4F4B9B54/3] 20040203 Virus found during virus scan 120227:154207
[4F4B9B55/1] 00030406 Client request RESPMOD icap://XXX.XXX.XXX.108:1344/avscan
ICAP/1.0 120227:154207 [4F4B9B55/1] 00030406 Client request Host: aie-ss7210-1 Allow:
204 Encapsulated: req-hdr=0, res-hdr=73, res-body=120 120227:154207 [4F4B9B55/1]
00030406 Client request GET http://aie-ss7210-1/export/avtest/testrun1/eicar_com.zip
HTTP/1.1 120227:154207 [4F4B9B55/1] 00030406 Client request HTTP/1.1 200 OK TransferEncoding: chunked 120227:154207 [4F4B9B55/1] 00030406 Client request b8 120227:154207
[4F4B9B55/1] 00030406 Client request 120227:154207 [4F4B9B55/1] 00030405 Threat found
Identity:'EICAR-AV-Test' "\eicar.com"
120227:154207 [4F4B9B55/1] 20040203 Virus found during virus scan
ま た 、 Virus Scan Services の 情 報 ウ ィ ン ド ウ に あ る Logs オ プ シ ョ ン を 使 っ て 、 Oracle ZFS
Storage Applianceで報告された感染ファイルを確認することもできます。Log of vscanオプショ
ンを使って、NFS共有にコピーされたテスト・ファイルもここで報告されていることを確認します。
図12:ICAPスキャン・ログ・ファイル構成のベスト・プラクティス
次のファイル処理ケースを参照して、これらを管理するための推奨設定について検討してください。
Oracle ZFS Storage Appliance用に最適化された構成ファイルの使用
Sophos SAVDIコンポーネントには、Oracle ZFS Storage Applianceに最適化された構成ファイルが
含まれています。この構成ファイルの最大スキャン・スレッド数を32に増やし、Oracle ZFS
Storage Appliance vscanリクエストへのサービス・リスナーのみをICAPインタフェースを介して
構成します。
次の手順は、Oracle ZFS Storage Appliance用に最適化された構成ファイルを使用するためにスキ
ャン・サービスを再起動しています。Windowsコマンドラインを使ってスキャン・サービスを停止
し、configファイルを置き換え、スキャン・サービスを再起動しています。
15
Oracle ZFS Storage ApplianceにおけるSophos Endpoint Protectionの構成方法
C:\> cd \Program Files\Sophos\SAV Dynamic Interface
C:\>Program Files\Sophos\SAV Dynamic Interface>net stop savdid
C:\>Program Files\Sophos\SAV Dynamic Interface>savdid.exe -uninstall
C:\>Program Files\Sophos\SAV Dynamic Interface>rename savdid.conf savdid.conf.org
C:\>Program Files\Sophos\SAV Dynamic Interface>copy icap-sun-w32.conf savdid.conf
C:\>Program Files\Sophos\SAV Dynamic Interface>savdid.exe -install
C:\>Program Files\Sophos\SAV Dynamic Interface>net start savdid
SAV Dynamic Interface サービスが起動中です..
SAV Dynamic Interface サービスが正常に起動しました
C:\>Program Files\Sophos\SAV Dynamic Interface>
アーカイブ・タイプのファイルの処理
MIMEファイル・タイプとzipアーカイブ・タイプ・ファイルを処理する方法では特別な考慮が必要
です。アーカイブ・ファイルの一部である圧縮ファイルには、ウイルスの脅威が潜んでいることが
あるからです。アーカイブを解凍し、アーカイブ内の個々のファイルをスキャンしてウイルスの存
在を調べないと、ウイルスは検出できません。
ユーザーがアーカイブ・ファイルを解凍し、その時にウイルス・スキャナでその脅威を検出するま
で待つこともできます。あるいは、ファイルがファイル・システムに追加されたらすぐに解凍する
ように、ウイルス・スキャナを設定することも可能です。そうすることで、zipファイルが組織の
インフラストラクチャにさらにコピーされることを防ぎます。このアプローチの場合、ウイルス・
スキャナに余分な負担がかかり、パスワードで保護されていないか暗号化されていないアーカイブ
しか処理できません。したがって、アーカイブ・ファイル内のファイルに潜むウイルスの脅威を検
出する方法として、zipファイル・コンテンツのスキャンを有効にすることは100%信頼できる方法
ではありません。
デフォルトの構成ファイルでは、スキャン・エンジンでzipアーカイブを解凍し、そのコンテンツ
をスキャンしてウイルスを調べるオプションは有効にされていません。このオプションを追加する
には、次に示すようにsavdid.confファイルを編集して、オプション
savigrp:GrpArchiveUnpack 1 を config ファイルの Scanner セクションに追加します。
Scanner {
# See SAVDI Documentation for details for configuring
# SAVDI
type:SAVDI
inprocess:YES
savists:EnableAutoStop 1
# savdigrp: grpuser 1
savigrp:GrpArchiveUnPack 1
# maxscantime:60
}
前述のCLIプロシージャに従って、スキャン・エンジンを停止し、構成ファイルを説明のとおりに
16
Oracle ZFS Storage ApplianceにおけるSophos Endpoint Protectionの構成方法
編集してから、スキャン・エンジンを再起動します。
システム時間の同期
ログ情報を容易に相互参照できるように、Oracle ZFS Storage ApplianceとSESCサーバー間の時間
を相互に同期させることをお勧めします。時間を同期させる簡単な方法は、Oracle ZFS Storage
ApplianceとSESCサーバーの両方でNTP(Network Time Protocol)を設定する方法です。
結論
Sophos Endpoint ProtectionとOracle ZFS Storage Applianceを併用すると、ネットワーク・アタ
ッチ・ストレージに保存された貴重なデータを保護するためのスケーラブルで信頼性の高いウイル
ス・スキャン・ソリューションを実現することができます。このソリューションにより、ファイル
をスキャンする負荷をOracle ZFS Storage Applianceから外部アンチウイルス・スキャン・プラッ
トフォームにオフロードできるため、Oracle ZFS Storage Appliance上の性能を最大化できる一方
で、Sophos Endpoint Protectionアンチウイルス・ソリューションに組み込まれた専用のソリュー
ションを利用してファイルのスキャンを実行し、ワーム、ウイルス、トロイの木馬の脅威を検出で
きます。
さらに、このソリューションではOracle ZFS Storage Applianceの統合型VSCANウイルス・スキャ
ン・サービスを利用して、VirusScanアンチウイルス・プラットフォームのスキャン結果を基にフ
ァイルの隔離を行うことができます。
このアンチウイルス・ソリューションは、モバイル・コードや圧縮ファイル形式などの主要な全フ
ァイル・タイプのウイルス、ワーム、トロイの木馬を検出して、迅速なウイルス対策を確実に行っ
て財務、データ、生産性の損失というリスクを軽減する製品としてオラクルの認定を受けています。
17
Oracle ZFS Storage ApplianceにおけるSophos Endpoint Protectionの構成方法
付録:参考資料
注:Sun ZFS Storage Appliance、Sun ZFS Storage 7000、およびZFS Storage Applianceはすべて、
同じOracle ZFS Storage Appliance製品ファミリのことを指しています。引用しているドキュメン
トや画面のコードの中には、従来の製品ファミリを使用しているものがあります。
5. Oracle ZFS Storage Appliance製品のドキュメント
http://www.oracle.com/technetwork/jp/documentation/oracle-unified-ss193371.html
6. 『Oracle ZFS Storage Appliance管理ガイド』はOracle ZFS Storage Applianceのヘ
ルプ・コンテキストで参照できます。
Oracle ZFS Storage Applianceのヘルプ機能には、ブラウザ・ユーザー・インタフェ
ースからアクセスできます。
7. Oracle ZFS Storage Appliance製品情報
http://www.oracle.com/jp/storage/nas/overview/index.html
8. Oracle ZFS Storage Applianceホワイト・ペーパー
http://www.oracle.com/technetwork/jp/server-storage/sun-unifiedstorage/documentation/index.html
9. 製品Wikiページ
https://wikis.oracle.com/display/FishWorks/Fishworks
10. Sophos Webサイト
https://www.sophos.com/ja-jp.aspx
11.『Sophos SAVDI ICAP Test Guide』
http://www.sophos.com/en-us/medialibrary/PDFs/install
guides/SAVDIICAP_Test_Guide.pdf
12. Sophos SAV Dynamic Interfaceドキュメント
http://www.sophos.com/support/docs/SAV_Dynamic_Interface-all.html
13. Sophos Endpoint Security Control Windowsドキュメント
http://www.sophos.com/support/docs/Endpoint_Security_Control_Windowsall.html
14. Sophos Endpoint Protection Enterpriseドキュメント
http://www.sophos.com/support/docs/Endpoint_Security_Data_Protectionall.html
15. Oracle VM VirtualBox
http://www.oracle.com/technetwork/jp/serverstorage/virtualbox/overview/index.html
16. Oracle VM Server
http://www.oracle.com/jp/technologies/virtualization/oraclevm/overview/index
.html
18
Oracle ZFS Storage Appliance における
Copyright © 2014, Oracle and/or its affiliates.All rights reserved.本文書は情報提供のみを目的として提供さ
Sophos Endpoint Protection の構成方法
れており、ここに記載される内容は予告なく変更されることがあります。本文書は、その内容に誤りがな
2014 年 1 月、バージョン 2.0、
いことを保証するものではなく、また、口頭による明示的保証や法律による黙示的保証を含め、商品性な
著者:Peter Brouwer
いし特定目的適合性に関する黙示的保証および条件などのいかなる保証および条件も提供するものではあ
共著者:Thomas Hanvey
りません。オラクル社は本文書に関するいかなる法的責任も明確に否認し、本文書によって直接的または
間接的に確立される契約義務はないものとします。本文書はオラクル社の書面による許可を前もって得る
ことなく、いかなる目的のためにも、電子または印刷を含むいかなる形式や手段によっても再作成または
送信することはできません。
Oracle および Java は Oracle およびその子会社、関連会社の登録商標です。その他の名称はそれぞれの会
社の商標です。
Intel および Intel Xeon は Intel Corporation の商標または登録商標です。すべての SPARC 商標はライセン
スに基づいて使用される SPARC International, Inc.の商標または登録商標です。AMD、Opteron、AMD ロ
ゴおよび AMD Opteron ロゴは、Advanced Micro Devices の商標または登録商標です。UNIX は X/Open
Company, Ltd.によってライセンス提供された登録商標です。0611