Comments
Transcript
Microsoft Exchange Server 2007環境にウイルス対策保護機能を実装
Microsoft Exchange Server 2007環境にウイルス対策保護 機能を実装した場合の影響 概要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . このテストで採用したウイルス対策の方針 . . . . . . . . . . . . . . . . . ソリューションの構成 . . . . . . . . . . . . . . . . . . . . . . . . . . . . AD環境 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Exchange Server 2007環境 . . . . . . . . . . . . . . . . . . . . . . . . Exchangeハブ トランスポート サーバの役割 . . . . . . . . . . . . . . . メールボックス サーバの役割 . . . . . . . . . . . . . . . . . . . . テスト . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Symantec Mail Security 6.0 for Microsoft Exchangeを使用したテスト . . . . . . . Symantec Mail Security 6.0 for Microsoft Exchangeのテスト結果 . . . . . . . . Trend Micro InterScan for Microsoft Exchange Serverバージョン8.0を使用したテスト Trend Micro InterScan for Microsoft Exchange Serverバージョン8.0のテスト結果 ベスト プラクティスと結果 . . . . . . . . . . . . . . . . . . . . . . . . . 両製品に共通するベスト プラクティス . . . . . . . . . . . . . . . . . . 両製品に共通する結果 . . . . . . . . . . . . . . . . . . . . . . . . 両製品に共通する主な利点 . . . . . . . . . . . . . . . . . . . . . . 両製品に共通する主な制限 . . . . . . . . . . . . . . . . . . . . . . 結論 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 参照先 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . HPのソリューションとホワイト ペーパー . . . . . . . . . . . . . . . . . Symantec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Trend Micro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 2 4 4 4 4 4 6 6 9 10 12 13 13 13 13 13 14 15 15 15 15 概要 メッセージング ソリューション全体を設計するうえで、セキュリティは必須の要素です。非常に感染力 の強いウイルスによって、メッセージング環境内にある重要なデータの削除、パフォーマンスの低 下、Microsoft Exchange Server 2007データベースの破壊など、深刻な被害を受ける可能性があり ます。その対策として、メッセージング ソリューション全体の設計に、ウイルス対策保護機能を 組み込むことを強くお勧めします。 ウイルス対策保護機能の配備の目標は、ウイルスによる脅威、セキュリティ上のリスク、不明な添付 ファイル、スパムなどのさまざまな攻撃からメッセージング環境全体を保護することにより、潜在的な 災害を防止することです。 本書で説明するテストの主な目的は、Exchange Server 2007メッセージング環境に業界標準のウイル ス対策保護機能を実装したときに、ハブ トランスポート サーバのパフォーマンスがどのような影響を受 けるのかを判断することでした。テストは、ウイルスに対するプロアクティブな保護に限定しました。こ のテストでは、スパムに対する保護や、感染したシステムのクリーニング(除去)機能を追加した場合 に、全体的なパフォーマンスに及ぼす影響を評価していないことをご注意ください。 2番目の目的は、ウイルス対策ソリューションを動作させるために、ハブ トランスポート サーバで 追加のリソースが必要とされるかどうかを判断することでした。 このテストでは、一般的に配備されているウイルス対策ソリューションとして、次の2つの製品を 使用しました。 • Symantec Mail Security 6.0 for Microsoft Exchange • Trend Micro InterScan for Microsoft Exchange Serverバージョン8.0 注記: このテストの結果は、本書で説明する2つのウイルス対策製品の比較結果として解釈しないでください。また、これらの結果 は、HPがどちらかの製品を推奨するものでもありません。 このテストの結果は、メッセージング ソリューション全体の一部としてウイルス対策保護機能を実装す るときに、Exchange Server 2007ベースライン環境の推奨構成以外に、追加のサーバ リソースが必 要かどうかを判断する目的で使用できます。 このテストで採用したウイルス対策の方針 Microsoft Exchange 2007環境ではすべてのメール トラフィックがExchangeハブ トランスポート サーバを 経由するため、アーキテクチャ上の大きな利点があります。この設計により、どのメッセージもトランス ポート ルールやジャーナリング ポリシーを回避できなくなります。その結果、会社のポリシーと法規 制に対するコンプライアンスを実現できます。 この改良された設計により、Exchange環境の中ではExchangeハブ トランスポート サーバにのみウイル ス対策保護機能を実装するだけで十分なように見えます。ただし、この手法を実装するのは、基本的 な保護対策に過ぎないと考えてください。2番目の保護対策として、専用のメールボックス サーバにも ウイルス対策保護機能をインストールする必要があります。一部のウイルスは、すべてのExchange サーバに対応するすべてのExchangeデータベースをスキャンした場合のみ検出できるからです。 2 Microsoft Exchange 2007メッセージング環境におけるウイルス対策ソリューションは、次の3つのレベ ルに配備できます。 1. エッジ トランスポート サーバ上(実装されている場合) 2. ハブ トランスポート サーバ上 3. メールボックス サーバ上 本書で説明するテストでは、ハブ トランスポート サーバ レベルでウイルス対策保護機能を実装し、ハ ブ トランスポート サーバのパフォーマンスに対する影響のみに注目しました。 3 ソリューションの構成 Active Directory(AD)環境とExchange Server 2007環境の両方でHP ProLiant BL480cブレード サーバ を使用しました。図1に、このテストで使用したウイルス対策ソリューションの構成図を示します。 AD環境 Windows Server 2003, Enterprise x64 Edition Service Pack 1オペレーティング システム(OS)を次の ように構成しました。 • ドメイン コントローラ(DC)サーバ1台、グローバル カタログ(GC)サーバ1台、ドメイン ネーム システム(DNS)サーバ1台 • 単一のフォレスト内に単一のドメイン Exchange Server 2007環境 Exchange Serverのそれぞれの役割の要件については、以下の項で説明します。これらの構成は、 Microsoftのガイドラインに基づいています。詳細は、次のWebサイトを参照してください。 http://technet.microsoft.com/en-us/library/bb738124.aspx http://technet.microsoft.com/en-us/library/aa998874.aspx Exchangeハブ トランスポート サーバの役割 • Microsoft Windows Server 2003 Enterprise Edition R2およびExchange Server 2007を実行して いるHP ProLiant BL480cサーバ ブレード1台 • 2基のデュアルコア インテルXeon 5160 3.0GHzプロセッサ、4MB L2キャッシュ搭載 • 4GBのRAM メールボックス サーバの役割 • メールボックス サーバの役割のみをインストールしたExchange Server 2007サーバ1台 • Microsoft Windows Server 2003 Enterprise Edition R2およびExchange Server 2007の両方を実行し ているHP ProLiant BL480cサーバ ブレード1台 • 2基のデュアルコア インテルXeon 5160 3.0GHzプロセッサ、4MB L2キャッシュ搭載 • 2個のデュアルポート4Gb Emulex LPe1105 - HPファイバ チャネル ホスト バス アダプタ(HBA)(メ ザニン カード) • マルチパス用に、Full-Featured Microsoft Multipath I/O Device Specific Module(MPIO DSM) 4 図1 ウイルス対策の構成 1. ADサーバ 2. Exchangeハブ トランスポート サーバ 3. Exchangeメールボックス サーバ(専用) 5 テスト Symantec Mail Security 6.0 for Microsoft Exchangeを使用したテスト Microsoft ExchangeのLoad Generator(LoadGen)ツールを使用して、5,000ユーザーによる負荷のシミュ レーションを実行しました。5,000ユーザーすべてがOutlook 2003クライアントをオンライン モードで使用 し、ヘビー ユーザー プロファイルを設定しました。 このテストでは、Exchangeハブ トランスポート サーバにウイルス対策保護機能を実装した場合に、 CPUのオーバーヘッドに対してどのような影響が発生するかに注目しました。表1に、使用した Symantecの設定を示します。 表1 使用したSymantecの設定 設定の名前 設定のステータスまたはレベル Enable virus scanning Enabled Bloodhound detection level Medium Delete mass-mailer worm-infected messages (no notifications) Enabled Basic Virus Rule (Repairs message part) Enabled Unrepairable Virus Rule (Quarantine) Enabled Security Risk Rule (Quarantine) Enabled Enable Auto-protect Enabled Enable background scanning Not enabled 以下の3つの図で、これらの設定を構成するために使用したSymantecのGUIの各タブを示します。 図2に、SymantecのGUIのうち[Home]タブを示します。特に関係のある設定は、サービスのステータス (起動済みかどうか)、ウイルス定義(パターン)の日付、アクティビティの要約です。 6 図2 Symantecの[Home]タブの設定 このテストで使用した[Bloodhound detection]レベルは、デフォルトの[Medium]です。表2に、 [Bloodhound detection]レベルの他の選択肢と、大量送信メールの処理に関する情報を示します。 Bloodhoundは、検出レベル アルゴリズムに関するSymantec社の商標名です。 表2 Bloodhoundと大量送信メールの設定 Bloodhound detection Delete mass-mailer worm-infected messages (no notifications) 次の[Bloodhound detection]レベルを指定します。 • [Off]:Bloodhound検出を無効にする • [Low]:サーバのパフォーマンスは最適になるが、潜在的な脅威を検 出できない可能性がある • [Medium](デフォルト):脅威の検出とサーバのパフォーマンスのバラ ンスを保つ • [High]:脅威の検出率を高めるが、サーバのパフォーマンスに影響を 及ぼす可能性がある 大量送信メールのメッセージを自動的に削除します。 このオプションを無効にした場合、感染した大量送信メールのメッセージは、通 常の感染したメッセージと同じ方法で処理されます。 [Policies]タブ(図3)に、設定済みの[Antivirus Settings]セクションを示します。これは、検出レベルを 表しています。このタブにある[Rules]および[Basic Virus Rule]の各セクションに、ウイルスが検出され たときに実行されるアクションも表示されています。 7 図3 Symantecの[Policies]タブの設定 [Scans]タブ(図4)に示すように、指定したスケジュールに基づいてバックグラウンド スキャンを実行す ることもできます。バックグラウンド スキャンは、Exchangeデータベースをスキャンする必要がある場合 に、特にメールボックス サーバに関係します。 8 図4 Symantecの[Background Scanning Options]の設定 Symantec Mail Security 6.0 for Microsoft Exchangeのテスト結果 ウイルス対策ソリューションを実装するときに考慮すべき主な要素は、そのソリューションがCPU動作 に及ぼす影響です。ウイルス対策ソリューションの実装によって、CPU使用率が受ける影響を理解す ると、CPUリソースのサイズを正しく設定するのに役立ちます。 また、その他の場合でもよく見られるように、RAMの容量が重要です。しかしながら、今回のテスト結果 では、ハブ トランスポート サーバに関してMicrosoftが推奨するメモリ要件で十分なことが示されまし た。テスト中にページングは見られませんでした。これは、ウイルス対策ソリューションの実装によっ て、少なくともテストした構成に関してRAMのボトルネックが発生しなかったことを示しています。 ウイルス対策保護機能を実装しない場合、2基のデュアルコア プロセッサを使用する環境でCPU 使用率は5%でした。Exchangeハブ トランスポート サーバでSymantecのウイルス対策ソフトウェ アを設定した場合、CPU使用率は9%でした。 ウイルス対策保護機能を実装した状況で、デュアルコア プロセッサの数を減らすことによってCPU動作 が受ける影響を評価するために、デュアル コア プロセッサを1基だけ使用してテストを実施しました。こ のテスト結果から、プロセッサの数を減らすと、CPU使用率が18.7%に高まることが示されました。ただし、 使用するコアの数を半分にすれば、CPU動作の値は2倍に増えるため、これは予期される結果です。 結論として、このテストでは、CPU動作が直線的に変化し、ウイルス対策ソリューションによって使用さ れるプロセッサ コアの数に比例することが示されました。 9 Trend Micro InterScan for Microsoft Exchange Serverバージョン8.0を 使用したテスト Symantecのテストの場合と同様、LoadGenツールを使用して、専用のメールボックス サーバ上で5,000 ユーザーによる負荷のシミュレーションを実行しました。5,000ユーザーすべてがOutlook 2003クライア ントをオンライン モードで使用し、ヘビー ユーザーのプロファイルを設定しました。 このテストでは、Exchangeハブ トランスポート サーバにウイルス対策保護機能を実装した場合に、 CPUのオーバーヘッドに対してどのような影響が発生するかに注目しました。表3に、使用した Trend Microの設定を示します。 表3 使用したTrend Microの設定 設定の名前 設定のステータスまたはレ ベル Enable transport level real-time virus scan Enabled (Scan) All attachment files Enabled Scan message body Enabled Enable IntelliTrap (relevant to compressed files) Enabled Additional Threat Scan (Spyware and Adware) Enabled Specify action per detected threat—Viruses (Clean and Notify) Enabled Specify action per detected threat—Worms/Trojans (Replace with text/file and Notify) Enabled 図5と図6に、Trend MicroのGUIのうち[Virus Scan]タブの重要な設定を示します。これらの設定には、 トランスポート レベルのウイルス スキャン、ウイルスを検出したときに実行するアクション、Exchangeの ストアをスキャンするかどうかが含まれます。 10 図5 Trend Microの[Virus Scan]の[Target]オプション 図5に示すIntelliTrap機能は、圧縮ファイルに対するヒューリスティック評価を行うために使用されます。 この機能を使用すると、通常とは異なるファイル圧縮方式を使用しているウイルスが検出されないとい うリスクが軽減されます。この機能では、圧縮済みファイルが検出対象になります。 11 図6 Trend Microの[Virus Scan]の[Action]オプション Trend Micro InterScan for Microsoft Exchange Serverバージョン8.0の テスト結果 Trend Microのテストでも、ウイルス対策ソリューションを実装するときに考慮すべき主な要素は、 そのソリューションがCPU動作に及ぼす影響であることが示されました。ウイルス対策ソリューショ ンの実装によって、CPU使用率が受ける影響を理解すると、CPUリソースのサイズを正しく設定す るのに役立ちます。 Trend Microのテスト結果から、少なくとも今回テストした構成については、ハブ トランスポート サーバ に関してMicrosoftが推奨するメモリ要件で十分なことが示されました。Symantecのテストを実施したと きと同様に、Trend Microのテスト中も、ページングは見られませんでした。 ウイルス対策保護機能を実装しない場合、2基のデュアルコア プロセッサを使用する環境でCPU 使用率は5%でした。Exchangeハブ トランスポート サーバでTrend Microのウイルス対策ソフトウェ アを設定した場合、CPU使用率は16%でした。 ウイルス対策保護機能を実装した状況で、デュアルコア プロセッサの数を減らすことによってCPU動作 が受ける影響を評価するために、デュアル コア プロセッサを1基だけ使用してテストを実施しました。こ のテスト結果から、プロセッサの数を減らすと、CPU使用率が30%に高まることが示されました。ただし、 使用するコアの数を半分にすれば、CPU動作の値は2倍に増えるため、これは予期される結果です。 結論として、Symantecのテストを実施した場合と同様、このテストでは、CPU動作が直線的に変化し、 ウイルス対策ソリューションによって使用されるプロセッサ コアの数に比例することが示されました。 12 ベスト プラクティスと結果 以下の項で示すベスト プラクティスと結果は、本書で説明したテスト シナリオだけに適用される ものです。 両製品に共通するベスト プラクティス • メッセージ ソリューションの設計には、必ずウイルス対策保護機能を組み込む。 • 特定のウイルス対策ソリューションを動作させるためにCPUリソースのサイズを設定する。 • Exchangeハブ トランスポート サーバ上で、プロアクティブなウイルス対策保護機能を実装する。 • Exchangeメールボックス サーバ上で、リアクティブなウイルス対策保護機能を実装する。 両製品に共通する結果 • ウイルス対策ソリューションを実装すると、CPUのパフォーマンスは影響を受けるが、その度合い はそれぞれの構成によって異なる。 • このテストで使用したウイルス対策の構成では、Exchangeハブ トランスポート サーバにRAMを追 加する必要はない。 • プロセッサ コアの数を変更した場合、CPUのオーバーヘッドは直線的に変化した。 両製品に共通する主な利点 • このテストで使用したウイルス対策製品はいずれも、メモリ内スキャンの利点を活かし、柔軟性が 高く、シグネチャの手動および自動更新が可能であり、レポート機能が含まれている。 • このテストで使用した2つの製品は、条件を満たすパフォーマンスを達成する。 • 実装によってメモリ使用率に及ぼす影響に関して、これら2つの製品の間に大きな違いはない。 注記: Symantecに関しては、Virus Scanning Application Program Interface(VSAPI)のスレッド数およびスキャン プロセス数に関す る柔軟性がより高かった。これは手動で変更することも、管理コンソールから変更することもできる。 両製品に共通する主な制限 • どちらの製品も、Exchange Server 2007のクライアント アクセス サーバ(CAS)の役割をサポー トしていない。 • どちらの製品も、Exchange Server 2007のユニファイド メッセージング(UM)の役割をサポー トしていない。 13 結論 このテストの結果に基づいて、以下のようにあらゆるMicrosoft Exchangeメッセージング ソリューション に対してウイルス対策保護機能を導入し、ウイルスの攻撃による被害を防止することをお勧めします。 • Exchangeハブ トランスポート サーバ上にプロアクティブなウイルス保護機能を実装し、Exchange メールボックス サーバ上でプロアクティブとリアクティブ両方の保護機能を実装する。 • ウイルス対策保護機能を実装した場合はCPUのオーバーヘッドが増加することを計画に入れる。ウ イルス対策保護機能がない場合は、ハブ トランスポート サーバで測定されたベースラインCPU動 作は5%だった。ウイルス対策保護機能を実装した場合は、CPU動作の9%~16%の増加が見られた。 • ウイルス対策保護機能を動作させるために、Exchangeハブ トランスポート サーバに追加のRAMを 準備する必要はなかった。追加しても、パフォーマンスは向上しない。 このテストで使用したどちらの製品も、現時点ではExchange Server 2007のクライアント アクセス サー バ(CAS)の役割や、ユニファイド メッセージング(UM)をサポートしていませんが、重要なのはトータル メッセージング ソリューション全体の計画の中にウイルス対策保護機能を組み込むことです。 プロアクティブな対策を実施することにより、重要なリソースを、ウイルスによる攻撃がもたらす深刻な 被害から保護することができます。ウイルス対策保護機能を実装することにより、メッセージング データ の損失、パフォーマンスの低下、Microsoft Exchange Server 2007データベースの破壊を防止できます。 14 参照先 この項では、参考情報とそのURLを示します。 HPのソリューションとホワイト ペーパー • HPカスタマ フォーカス テスト http://www.hp.com/go/hpcft(英語) • 『Microsoft Exchange Server 2007環境におけるHP製サーバとHP StorageWorks EVA8000のベス ト プラクティス』 http://h50146.www5.hp.com/products/storage/whitepaper/pdfs/4aa1-4704jap_pd.pdf(日本語) • 『Microsoft Exchange Server 2007およびiSCSI環境におけるHP製サーバとHP Enterprise Virtual Array 8000用のベスト プラクティス』 http://h50146.www5.hp.com/products/storage/whitepaper/pdfs/4aa1-4703jap_jp.pdf(日本語) Symantec • Symantec製品情報 http://www.symantec.com/business/products/overview.jsp?pcid=2242&pvid=846_1 Trend Micro • Trend Micro製品情報 http://www.trendmicro.com/ftp/documentation/guides/SMEXV8.0_b1181_ScanMailGSG.pdf © 2007 Hewlett-Packard Development Company, L.P. 本書の内容は、将来予告なしに 変更されることがあります。Hewlett-Packard Company製品およびサービスに対する 保証については、当該製品およびサービスの保証規定書に記載されています。本書 のいかなる内容も、新たな保証を追加するものではありません。本書の内容につ きましては万全を期しておりますが、本書の技術的あるいは校正上の誤り、省略 に対しては責任を負いかねますのでご了承ください。 インテル、IntelおよびXeonは、米国およびその他の国におけるIntel Corporationの 商標または登録商標です。Microsoftは、米国におけるMicrosoft Corporationの登 録商標です。 4AA1-6193JAP、2007年11月 15