oracle zfs storage applianceにおけるsophos …...oracle zfs storage applianceにおけるsophos...

20
オラクル・テクニカル・ホワイト・ペーパー 2014 1 Oracle ZFS Storage Appliance における Sophos Endpoint Protection の構成方法

Upload: others

Post on 12-Jun-2020

16 views

Category:

Documents


0 download

TRANSCRIPT

Page 1: Oracle ZFS Storage ApplianceにおけるSophos …...Oracle ZFS Storage ApplianceにおけるSophos Endpoint Protectionの構成方法 2 はじめに 企業にとって、マルウェアの脅威から電子データを効率的に保護することは、全社的なバックアッ

オラクル・テクニカル・ホワイト・ペーパー

2014年 1月

Oracle ZFS Storage ApplianceにおけるSophos Endpoint Protectionの構成方法

Page 2: Oracle ZFS Storage ApplianceにおけるSophos …...Oracle ZFS Storage ApplianceにおけるSophos Endpoint Protectionの構成方法 2 はじめに 企業にとって、マルウェアの脅威から電子データを効率的に保護することは、全社的なバックアッ

Oracle ZFS Storage ApplianceにおけるSophos Endpoint Protectionの構成方法

目次

はじめに ......................................................................... 2 VSCANの仕組み .................................................................... 3 SESCのインストールおよび Oracle ZFS Storage Applianceの構成 ...................... 5

SESCおよび SAVDIソフトウェアの導入 ........................................... 6

前提条件 ........................ エラー! ブックマークが定義されていません。

ネットワーク・トポロジの計画 ............................................. 6

SESCウイルス・スキャナのインストール ..................................... 7

Oracle ZFS Storage Applianceとウイルス・スキャン・サービスの接続 ............ 12

ウイルス・スキャン・サービス構成の確認 ........................................... 12 構成のベスト・プラクティス ...................................................... 15

Oracle ZFS Storage Appliance用に最適化された構成ファイルの使用 .............. 15

アーカイブ・タイプのファイルの処理 .......................................... 16

システム時間の同期 .......................................................... 17

結論 ............................................................................ 17 付録:参考資料 .................................................................. 18

図の目次

図 1:ファイルのウイルス・スキャンの手順 .......................................... 4 図 2:SESC Standaloneインストーラ ................................................ 7 図 3:SESCインストール・ウィザード ............................................... 8 図 4:Sophosライセンス・ログイン資格証明の入力 .................................... 8 図 5:Sophosの自動更新用のプロキシ情報の指定 ...................................... 9 図 6:セットアップ・ウィザードを使用した SAVDIコンポーネントのインストール ....... 10 図 7:SESCの Update Nowのアクティブ化............................................ 10 図 8:SESCのスキャンのステータス画面............................................. 11 図 9:ICAPを介した Oracle ZFS Storage Applianceスキャン・エンジン ................ 12 図 10:ウイルス保護のための Oracle ZFS Storage Applianceの共有の設定 ............. 13 図 11:SAV Dynamic Interface Logsフォルダのフォルダ構造 .......................... 14 図 12:ICAPスキャン・ログ・ファイル ............................................. 15

Page 3: Oracle ZFS Storage ApplianceにおけるSophos …...Oracle ZFS Storage ApplianceにおけるSophos Endpoint Protectionの構成方法 2 はじめに 企業にとって、マルウェアの脅威から電子データを効率的に保護することは、全社的なバックアッ

Oracle ZFS Storage ApplianceにおけるSophos Endpoint Protectionの構成方法

2

はじめに

企業にとって、マルウェアの脅威から電子データを効率的に保護することは、全社的なバックアッ

プ/リストアおよびディザスタ・リカバリ・プロセスを備えることと同じくらい重要です。コンピ

ュータ・ウイルス、フィッシング詐欺、アドウェア、スパイウェアにより、電子データが操作また

は破壊されるリスクにさらされ、データ・サービスの運用と可用性に影響が及び、情報が漏洩した

り、意図しないコンテンツに誘導されたりする結果を招きます。電子データ・リポジトリのコンテ

ンツを悪意のあるソフトウェアによる破壊から保護する機能、潜在的なリスクになるファイルを隔

離および廃棄する機能は、どの企業のデータ保護戦略にも欠かせない要素です。

Oracle ZFS Storage Appliance は、VSCAN という統合型オンデマンド・ウイルス・スキャン・サー

ビスを使用して、コンピュータ・ウイルスからデータを保護します。VSCAN サービスは、Internet

Content Adaptation Protocol(ICAP)に基づいており、外部ウイルス・スキャン・エンジンと連

携します。このエンジンは、パフォーマンスとセキュリティ上の理由のため、Oracle ZFS Storage

Appliance と同じ LAN セグメントにある別のホストで稼働する必要があります。このホワイト・ペ

ーパーで説明するソリューションでは、Sophos Endpoint Protection ソフトウェアを外部ウイル

ス・スキャン・エンジンとして使用します。

Sophos Endpoint Protectionは、疑わしいパターンがないか疑わしいファイルを分析し、スキャン

結果をOracle ZFS Storage Appliance VSCANサービスに渡します。VSCANはスキャン結果を基に、

ファイルをユーザーに対してアクセス可能にするか、ファイルを隔離してアクセスをブロックしま

す。VSCANサービスによって隔離されたファイルは、使用されるアクセス・プロトコル(CIFS

[Common Internet File System]またはNFS [Network File System])に関係なく、ユーザーか

らアクセスできなくなります。

このドキュメントでは、Oracle ZFS Storage Appliance VSCAN サービスとともに使うウイルス・ス

キャン・エンジンとして使用する Sophos Endpoint Protection のインストールおよび構成につい

て説明します。

Page 4: Oracle ZFS Storage ApplianceにおけるSophos …...Oracle ZFS Storage ApplianceにおけるSophos Endpoint Protectionの構成方法 2 はじめに 企業にとって、マルウェアの脅威から電子データを効率的に保護することは、全社的なバックアッ

Oracle ZFS Storage ApplianceにおけるSophos Endpoint Protectionの構成方法

3

VSCANの仕組み

データが格納されているボリュームでウイルス・スキャンが有効になっている場合、スキャンが全

ファイルに対して開始されることはありません。代わりに、VSCANサービスは、"ファイル・オープ

ン"または"ファイル・クローズ"リクエストが発行されるたびに、ウイルス・スキャン・エンジン

(この場合、Sophos Endpoint Protectionアンチウイルス・スキャナ)へのウイルス・スキャンの

リクエストを開始します。したがって、作成、変更、または読み取りのためにオープンされたファ

イルのみがスキャンされます。

このアプローチではファイルがオンデマンドのみでスキャンされるため、効率性が保証されます。

逆に、予防的にファイル・システムのコンテンツをスキャンすることはできません。2つ目の制限

として、CIFSやNFS v4など、"ファイル・オープン"および"ファイル・クローズ"要求を発行するア

クセス・プロトコルを使用する共有のみが、VSCANサービスを使ったウイルス保護の対象となるこ

とが挙げられます。NFS v3は、ICAPクライアントをトリガーする"ファイル・オープン"または"フ

ァイル・クローズ"要求を発行しないため、NFS v3を使用した共有ファイルシステムは、VSCANを使

ってスキャンすることはできません。

注:その代わり、アンチウイルス・クライアントを実行するホスト・サーバーにマウントまたはマ

ッピングしてからローカルでスキャンすれば、共有ファイルシステムをスキャンできます。

VSCANサービスは、スキャンの結果を処理するときに使用する次のファイル属性を保持しています。

ファイルの最新スキャンで使われたウイルス・スキャン・エンジンの構成(スキャンスタン

プといいます)。

ウイルス・スキャン・エンジンから返されたファイルの評価に基づいて、ファイルが隔離さ

れたかどうか。

ファイルが変更または名前変更されたときにファイル・システムによって設定される変更済

みの属性。ファイルのスキャンに成功すると、VSCANサービスは変更済みの属性を消去しま

す。

ファイルのスキャンは、"ファイル・オープン"または"ファイル・クローズ"要求が開始され、且つ

次のいずれかの条件を満たした時に実行されます。

ファイルにスキャンスタンプ属性が無い。これは、ファイルがまったくスキャンされていな

いことを示します。

ファイルのスキャンスタンプが、ウイルス・スキャン・エンジンの現在の構成で指定された

ウイルス・パターンとスキャン・オプション(ISTag文字列)に一致しない。

ファイルの変更済み属性が消去されていない。

VSCANサービスは、ICAPを使ってウイルス・スキャン・エンジンと通信します。Oracle ZFS

Storage ApplianceはICAPクライアントとして動作し、ウイルス・スキャン・エンジンはICAPサー

バーとして動作します。Oracle ZFS Storage Applianceから、ファイルをスキャンするよう要求さ

れると、ファイルは分析のため、暗号化されずにICAPサーバーに送信されます。

Page 5: Oracle ZFS Storage ApplianceにおけるSophos …...Oracle ZFS Storage ApplianceにおけるSophos Endpoint Protectionの構成方法 2 はじめに 企業にとって、マルウェアの脅威から電子データを効率的に保護することは、全社的なバックアッ

Oracle ZFS Storage ApplianceにおけるSophos Endpoint Protectionの構成方法

4

ファイルスキャン要求がICAPサーバーによって実行されている間、ファイルへのアクセスは拒否さ

れます。アクセス制御リスト(ACL)で定義されたファイルへのユーザー権限は、Oracle ZFS

Storage ApplianceがICAPサーバーの応答を待機している間、有効にはなりません。

ウイルス・スキャン・エンジンにより、ファイルにウイルスが含まれていることが報告されると、

VSCANサービスはファイルの拡張システム属性(ESA)にav_quarantinedビットを設定します。これ

により、クライアントはこれ以降、ファイルにアクセスできなくなります。

注:ウイルス・スキャン・エンジンがICAPリクエストに応答しない場合に、データが使用できなく

なることを防ぐため、VSCANサービスで2つ以上のウイルス・スキャン・エンジンを使用するように

構成することを推奨します。

ICAPサーバーはOracle ZFS Storage Applianceでの登録または認証を行わなくても、スキャン要求

を処理できます。

図1は、ウイルスに対して保護された、Oracle ZFS Storage Applianceの共有ファイルシステムの

データに対し、NASクライアントからアクセスが要求された場合のICAPクライアントとICAPサーバ

ー間のやり取りを示します。この処理の流れは7つのステップから構成され、NSF v4またはCIFSプ

ロトコルを使って共有ボリュームのファイルにアクセスを要求するNASクライアントのリクエスト

によって始まります。

図1:ファイルのウイルス・スキャンの手順

、NFS v4/CIFSの共有ファイルシステム上のファイルにクライアントからアクセスするとき、また

はファイルを作成するとき、次の一連の処理が行われます。

1. クライアントがファイルにアクセスします。

2. Oracle ZFS Storage Applianceは、スキャンスタンプ情報とファイル・オープンまたはファ

イル・クローズの操作リクエスト情報を使って、ファイルにスキャンが必要かどうかを判別しま

す。スキャンが不要な場合(ファイルがスキャン済みで更新されていない場合)は、クライアン

トに対してアクセスが許可され、コンテンツが返されます(したがって、次のステップは実行さ

れません)。

Page 6: Oracle ZFS Storage ApplianceにおけるSophos …...Oracle ZFS Storage ApplianceにおけるSophos Endpoint Protectionの構成方法 2 はじめに 企業にとって、マルウェアの脅威から電子データを効率的に保護することは、全社的なバックアッ

Oracle ZFS Storage ApplianceにおけるSophos Endpoint Protectionの構成方法

5

3. ファイルにスキャンが必要な場合、スキャン要求がSESCに発行されます。

4. SESCスキャン・エンジンによってファイルがスキャンされます。

5. SESCスキャン・エンジンは、次のいずれかの結果でOracle ZFS Storage Applianceに応答し

ます。

a) ファイルは問題なし

b) ウイルスが検出され、ファイルを隔離

6. Oracle ZFS Storage Applianceは、SESCの応答に応じて、次のいずれかの処理を行います。

a) ファイルの保存/ 読み込み

b) ESAに設定されたav_quarantinedにより、これ以上のクライアント・アクセスを拒否

7. Oracle ZFS Storage Applianceは、それぞれのアクションについて以下のようにクライアン

トに応答します。

a) クライアント・アクセス許可

b) クライアント・アクセス拒否

注:前述したように、NFSv3を使用した場合、スキャン要求は実行されません。ただし、感染した

とマークされたファイルはNFSv3を介してアクセスすることはできません。

SESCのインストールおよびOracle ZFS Storage Applianceの構成

Sophos Endpoint Protection製品スイートにはSophos Endpoint Security and Control(SESC)が

含まれており、Sophos Antivirus Dynamic Interface(SAVDI)と組み合わせて使用することで、

Oracle ZFS Storage Appliance用のアンチウイルス・スキャン・ソリューションを構築可能です。

SESCコンポーネントとSAVDIコンポーネントは、各種プラットフォームをサポートしています。

SESCコンポーネントは、Standaloneインストール・パッケージ・オプション内にあり、各種オペレ

ーティング・システムに対応するバージョンがあります。SAVDIコンポーネントは、Anti-Virus

for Network Storageパッケージ内にあるのでOracleプラットフォーム・バージョンを選択してく

ださい。このホワイト・ペーパーのインストールの例では、Microsoft Windows 2003 Serverが動

作するマシンを使用します。

SESCコンポーネントには、アンチウイルス・スキャン・エンジン、およびユーザーがアンチウイル

ススキャン環境を設定・監視、そしてシステムを維持するための機能を設定、するためのコンソー

ルが含まれています。SAVDIコンポーネントは、Oracle ZFS Storage Applianceとアンチウイル

ス・スキャン・エンジン間のICAPプロトコル処理を行います

Page 7: Oracle ZFS Storage ApplianceにおけるSophos …...Oracle ZFS Storage ApplianceにおけるSophos Endpoint Protectionの構成方法 2 はじめに 企業にとって、マルウェアの脅威から電子データを効率的に保護することは、全社的なバックアッ

Oracle ZFS Storage ApplianceにおけるSophos Endpoint Protectionの構成方法

6

仮想環境を使用することも可能で、Oracle VM Serverや、Oracle VM VirtualBoxをデスクトップ仮

想クライアントおよびテスト環境で使用することも可能です。

このホワイト・ペーパーの例では、全体を通じてWindows版のSESCを使用します。

インストールイメージについては、SophosのWebサイトにあるEndpoint Protectionのページを参照

してください。Sophos Endpoint Protectionは、Sophos Endpoint Security and Controlともいい

ます。

SESCおよびSAVDIソフトウェアの導入

Oracle ZFS Storage ApplianceにSophos Endpoint Protectionを導入する前に、次の準備作業を行

います。

導入準備作業Oracle ZFS Storage Appliance製品ページのオンライン・ヘルプまたはPDF版で、

Oracle ZFS Storage Applianceのウイルス・スキャン・サービスの説明項目の確認(「付録

A:参考資料」を参照)

Sophos Webサイトにある『Sophos Endpoint Security and Control』のドキュメントと

『Sophos SAVDI Quick Start Guide』の確認

必要なプラットフォームに対応するEndpoint SecurityとSAVDIのパッケージの入手

SESCとSAVDIパッケージのハードウェア要件に対する、使用する(仮想)ハードウェア・プラ

ットフォームの仕様の確認

Sophosへのアクセスにプロキシ・サーバーが必要な場合は、プロキシ・サーバーがSophosへの

ウイルス更新リクエストへの接続をサポートしているか

Oracle ZFS Storage ApplianceへのWebブラウザの接続確認。

Oracle ZFS Storage Appliance上の保護対象の共有ファイルシステムでCIFSまたはNFS v4プロ

トコルが使用されていることの確認

必要なネットワーク環境の準備と、動作確認

Oracle ZFS Storage ApplianceとSESCサーバー間をポート1344パススルーを使ってICAP TCPトラ

フィックが通過できるように、ファイアウォールを構成する必要があるかどうか

ネットワーク・トポロジの計画

Oracle ZFS Storage ApplianceがSESCのサービスにアクセスするには、TCP/IPネットワーク接続が必要です。

最小限の構成の場合、Oracle ZFS Storage ApplianceへとSESCでネットワーク接続がそれぞれ1ポート必要

で、小規模な構成にはこれで十分です。この構成では、すべてのネットワーク・トラフィックが、Oracle

ZFS Storage ApplianceとSESC双方の1つのネットワーク・ポートを通ります。

Oracle ZFS Storage Applianceでは、クライアント・データと管理I/Oのトラフィックを分離する

ことお勧めします。ウイルス・スキャン・サービスにより、ICAPインタフェースのデータ・トラフ

ィックがさらに発生します。Oracle ZFS Storage Applianceとクライアント間のデータI/Oのパフ

Page 8: Oracle ZFS Storage ApplianceにおけるSophos …...Oracle ZFS Storage ApplianceにおけるSophos Endpoint Protectionの構成方法 2 はじめに 企業にとって、マルウェアの脅威から電子データを効率的に保護することは、全社的なバックアッ

Oracle ZFS Storage ApplianceにおけるSophos Endpoint Protectionの構成方法

7

ォーマンスがこのI/Oの影響を受けないようにするには、ICAP接続用の別のサブネットを使用しま

す。

また、SESCネットワーク管理トラフィックをICAPネットワーク・トラフィックから分離するように、

SESCを構成することもできます。ウイルスのシグネチャやスキャン・エンジンの更新がないか確認

するために、管理インタフェースもインターネットに接続します。予備のネットワーク・ポートを

SESCサーバー上で使用できる場合、管理用トラフィックとインターネット・トラフィックを分離す

ることができます。

SESCウイルス・スキャナのインストール

アンチウイルス・ソフトウェアのインストールに使用するサーバーのオペレーティング・システム

が最新のパッチ・レベルになっていることを確認します。

必要なインストール・イメージをスキャン・サーバーまたは仮想スキャン・サーバーにインストー

ルします。

まず、SESCパッケージをインストールします。

図2:SESC Standaloneインストーラ

インストール・ウィザードにより、SESCパッケージとSophos Autoupdateパッケージのインストー

ルがガイドされます。

Page 9: Oracle ZFS Storage ApplianceにおけるSophos …...Oracle ZFS Storage ApplianceにおけるSophos Endpoint Protectionの構成方法 2 はじめに 企業にとって、マルウェアの脅威から電子データを効率的に保護することは、全社的なバックアッ

Oracle ZFS Storage ApplianceにおけるSophos Endpoint Protectionの構成方法

8

図3:SESCインストール・ウィザード

Sophosから提供されたライセンス・ログイン用のユーザIDとパスワードを入力します。

図4:Sophosライセンス・ログイン資格証明の入力

Page 10: Oracle ZFS Storage ApplianceにおけるSophos …...Oracle ZFS Storage ApplianceにおけるSophos Endpoint Protectionの構成方法 2 はじめに 企業にとって、マルウェアの脅威から電子データを効率的に保護することは、全社的なバックアッ

Oracle ZFS Storage ApplianceにおけるSophos Endpoint Protectionの構成方法

9

外部Webサイトへのアクセスにプロキシ・サーバーが必要な場合は、次のダイアログ・ウィンドウ

を使用して、サーバーがWindowsのコントロール・パネルのインターネット・オプションの設定で

適切に設定されていることを確認してください。

図5:Sophosの自動更新用のプロキシ情報の指定

Page 11: Oracle ZFS Storage ApplianceにおけるSophos …...Oracle ZFS Storage ApplianceにおけるSophos Endpoint Protectionの構成方法 2 はじめに 企業にとって、マルウェアの脅威から電子データを効率的に保護することは、全社的なバックアッ

Oracle ZFS Storage ApplianceにおけるSophos Endpoint Protectionの構成方法

10

次の手順では、SAVDIコンポーネントをインストールします。

図6:セットアップ・ウィザードを使用したSAVDIコンポーネントのインストール

インストールが完了したら、次の画面のメニュー・オプションで表示されている'Update now'を使

ってウイルス・シグネチャ・ファイル更新をリクエストすることで、SESCの自動更新機能で使用さ

れるインターネット接続をテストできます。

図7:SESCのUpdate Nowのアクティブ化

Page 12: Oracle ZFS Storage ApplianceにおけるSophos …...Oracle ZFS Storage ApplianceにおけるSophos Endpoint Protectionの構成方法 2 はじめに 企業にとって、マルウェアの脅威から電子データを効率的に保護することは、全社的なバックアッ

Oracle ZFS Storage ApplianceにおけるSophos Endpoint Protectionの構成方法

11

インストール・プロセスの最後に、アンチウイルス・スキャン環境の現在のステータスが表示されます。

図8:SESCのスキャンのステータス画面

コンソールのStatusセクションの'Items in Quarantine'には、SAVDIインタフェースを介して隔離

されたファイルではなく、ローカル・サーバー上のスキャン・エンジンによって隔離されたファイ

ルが表示されます。Oracle ZFS Storage Appliance上のSAVDI/ICAPによるウイルス検出の監視方法

については、「ウイルス・スキャン・サービス構成の確認」の章を参照してください。

Page 13: Oracle ZFS Storage ApplianceにおけるSophos …...Oracle ZFS Storage ApplianceにおけるSophos Endpoint Protectionの構成方法 2 はじめに 企業にとって、マルウェアの脅威から電子データを効率的に保護することは、全社的なバックアッ

Oracle ZFS Storage ApplianceにおけるSophos Endpoint Protectionの構成方法

12

Oracle ZFS Storage Applianceとウイルス・スキャン・サービスの接続

SESCスキャン・エンジンが起動しましたので、次にOracle ZFS Storage Applianceをセットアップ

してICAPインタフェース経由でスキャン・エンジンに接続できます。「Configuration」→

「Services」を選択して、Virus Scanサービスに移動します。Scanning Enginesの前の「+」ボタン

を使って、SESCにアクセスできるIPアドレスとポート番号を指定します。

図9:ICAPを介したOracle ZFS Storage Applianceスキャン・エンジン

File Extensionsで、スキャン・エンジンによってファイルのサブセットをスキャンまたは除外す

る一連のルールを作成できます。

これで、Oracle ZFS Storage Applianceはウイルス・スキャン機能を使用できます。次の項に示す

ように、SharesやProjectsのプロパティ・ウィンドウのウイルス・スキャン・チェックボックスを

使って、必要なShares/Projectsの機能を有効にします。

ウイルス・スキャン・サービス構成の確認

ウイルス・スキャン・サービスが正しく機能することを確認するには、Webサイトeicar.orgのウイ

ルス・テスト・ファイルを使用します。テスト用に設定されたOracle ZFS Storage Applianceの共

有ファイルシステムへアクセス可能なテスト・マシンにこれらのファイルをコピーします。参考と

して、Sophos SAV Dynamic InterfaceのSAVDI ICAPテスト・ガイドを参照してください。

Oracle ZFS Storage Appliance上にテスト用のCIFS/NFS共有ファイルシステムを作成して、その

Virus scanオプションを有効にします。

Page 14: Oracle ZFS Storage ApplianceにおけるSophos …...Oracle ZFS Storage ApplianceにおけるSophos Endpoint Protectionの構成方法 2 はじめに 企業にとって、マルウェアの脅威から電子データを効率的に保護することは、全社的なバックアッ

Oracle ZFS Storage ApplianceにおけるSophos Endpoint Protectionの構成方法

13

図10:ウイルス保護のためのOracle ZFS Storage Applianceの共有の設定

SESCを稼働するマシンで、SAVDIデーモンをデバッグ・モードで実行するように設定します。それ

には、ディレクトリC:\Program Files\Sophos\SAV Dynamic Interfaceにあるファイル

savdid.confを編集します。savdid.confのloglevel:0を含む行をloglevel:2に変更します。

この変更を行ったら、コマンド・プロンプトで次のコマンドを使って、SAVDIDデーモンを再起動し

ます。

C:\> cd \Program Files\Sophos\SAV Dynamic Interface

C:\>Program Files\Sophos\SAV Dynamic Interface>net stop savdid

C:\>Program Files\Sophos\SAV Dynamic Interface>savdid.exe -uninstall

C:\>Program Files\Sophos\SAV Dynamic Interface>savdid.exe -l -c savdid.conf

120130:142245 0003407 Process starting

PID:3460

Sophos SAVDID プロセスはログ・ファイルの保存先として、ディレクトリ C:\Documents and

Settings\All Users\Application Data\Sophos\SAV Dynamic Interface\Logs を使

用します。

Page 15: Oracle ZFS Storage ApplianceにおけるSophos …...Oracle ZFS Storage ApplianceにおけるSophos Endpoint Protectionの構成方法 2 はじめに 企業にとって、マルウェアの脅威から電子データを効率的に保護することは、全社的なバックアッ

Oracle ZFS Storage ApplianceにおけるSophos Endpoint Protectionの構成方法

14

図11:SAV Dynamic Interface Logsフォルダのフォルダ構造

ウイルス・テスト・ファイルを共有ファイルシステムにコピーするためにクライアントに共有ファ

イルシステムをマウントします。Eicarテスト・ファイルをダウンロードして、NFS共有のディレク

トリにコピーします。感染したファイルと感染していないファイルへのアクセス動作の違いを確認

できるように、通常のテキスト・ファイルを1つ以上追加します。コピーしたらファイルにアクセ

スして、ウイルスを含むとして検出されたファイルへのアクセスが拒否されることを確認します。

以下は、NASクライアント上のCLI セッションでのテスト手順を示しています。

root@edinburgh # ls

Eicar.org files

root@edinburgh # cp -R *files /av/avtest/testrun1

root@edinburgh # cd /av/avtest/testrun1/Eicar.org files

root@edinburgh # pwd

/av/avtest/testrun1/Eicar.org files

root@edinburgh # cat * >/dev/null

cat: cannot open eicar_com.zip

cat: cannot open eicar.com

cat: cannot open eicar.com.txt

cat: cannot open eicarcom2.zip

root@edinburgh # ls -l

total 10

-rwxr-xr-x+ 1 nobody nobody 184 Oct 20 18:05 eicar_com.zip

-rwxr-xr-x+ 1 nobody nobody 68 Oct 20 18:06 eicar.com

-rwxr-xr-x+ 1 nobody nobody 68 Oct 20 18:04 eicar.com.txt

-rwxr-xr-x+ 1 nobody nobody 308 Oct 20 17:58 eicarcom2.zip

-rwxr-xr-x+ 1 nobody nobody 63 Oct 20 17:42 website.txt.txt

root@edinburgh #

Page 16: Oracle ZFS Storage ApplianceにおけるSophos …...Oracle ZFS Storage ApplianceにおけるSophos Endpoint Protectionの構成方法 2 はじめに 企業にとって、マルウェアの脅威から電子データを効率的に保護することは、全社的なバックアッ

Oracle ZFS Storage ApplianceにおけるSophos Endpoint Protectionの構成方法

15

次に、SAVDID のディレクトリ C:\Documents and Settings\All Users\Application

Data\Sophos\SAV Dynamic Interface\Logs にあるログ・ファイルを調べて、ウイルスを含

むファイルが検出されているかどうかを確かめます。

120227:154011 [4F4B9B54/3] 20040203 Virus found during virus scan 120227:154207

[4F4B9B55/1] 00030406 Client request RESPMOD icap://XXX.XXX.XXX.108:1344/avscan

ICAP/1.0 120227:154207 [4F4B9B55/1] 00030406 Client request Host: aie-ss7210-1 Allow:

204 Encapsulated: req-hdr=0, res-hdr=73, res-body=120 120227:154207 [4F4B9B55/1]

00030406 Client request GET http://aie-ss7210-1/export/avtest/testrun1/eicar_com.zip

HTTP/1.1 120227:154207 [4F4B9B55/1] 00030406 Client request HTTP/1.1 200 OK Transfer-

Encoding: chunked 120227:154207 [4F4B9B55/1] 00030406 Client request b8 120227:154207

[4F4B9B55/1] 00030406 Client request 120227:154207 [4F4B9B55/1] 00030405 Threat found

Identity:'EICAR-AV-Test' "\eicar.com"

120227:154207 [4F4B9B55/1] 20040203 Virus found during virus scan

また、Virus Scan Servicesの情報ウィンドウにあるLogsオプションを使って、Oracle ZFS

Storage Applianceで報告された感染ファイルを確認することもできます。Log of vscanオプショ

ンを使って、NFS共有にコピーされたテスト・ファイルもここで報告されていることを確認します。

図12:ICAPスキャン・ログ・ファイル構成のベスト・プラクティス

次のファイル処理ケースを参照して、これらを管理するための推奨設定について検討してください。

Oracle ZFS Storage Appliance用に最適化された構成ファイルの使用

Sophos SAVDIコンポーネントには、Oracle ZFS Storage Applianceに最適化された構成ファイルが

含まれています。この構成ファイルの最大スキャン・スレッド数を32に増やし、Oracle ZFS

Storage Appliance vscanリクエストへのサービス・リスナーのみをICAPインタフェースを介して

構成します。

次の手順は、Oracle ZFS Storage Appliance用に最適化された構成ファイルを使用するためにスキ

ャン・サービスを再起動しています。Windowsコマンドラインを使ってスキャン・サービスを停止

し、configファイルを置き換え、スキャン・サービスを再起動しています。

Page 17: Oracle ZFS Storage ApplianceにおけるSophos …...Oracle ZFS Storage ApplianceにおけるSophos Endpoint Protectionの構成方法 2 はじめに 企業にとって、マルウェアの脅威から電子データを効率的に保護することは、全社的なバックアッ

Oracle ZFS Storage ApplianceにおけるSophos Endpoint Protectionの構成方法

16

C:\> cd \Program Files\Sophos\SAV Dynamic Interface

C:\>Program Files\Sophos\SAV Dynamic Interface>net stop savdid

C:\>Program Files\Sophos\SAV Dynamic Interface>savdid.exe -uninstall

C:\>Program Files\Sophos\SAV Dynamic Interface>rename savdid.conf savdid.conf.org

C:\>Program Files\Sophos\SAV Dynamic Interface>copy icap-sun-w32.conf savdid.conf

C:\>Program Files\Sophos\SAV Dynamic Interface>savdid.exe -install

C:\>Program Files\Sophos\SAV Dynamic Interface>net start savdid

SAV Dynamic Interfaceサービスが起動中です..

SAV Dynamic Interfaceサービスが正常に起動しました

C:\>Program Files\Sophos\SAV Dynamic Interface>

アーカイブ・タイプのファイルの処理

MIMEファイル・タイプとzipアーカイブ・タイプ・ファイルを処理する方法では特別な考慮が必要

です。アーカイブ・ファイルの一部である圧縮ファイルには、ウイルスの脅威が潜んでいることが

あるからです。アーカイブを解凍し、アーカイブ内の個々のファイルをスキャンしてウイルスの存

在を調べないと、ウイルスは検出できません。

ユーザーがアーカイブ・ファイルを解凍し、その時にウイルス・スキャナでその脅威を検出するま

で待つこともできます。あるいは、ファイルがファイル・システムに追加されたらすぐに解凍する

ように、ウイルス・スキャナを設定することも可能です。そうすることで、zipファイルが組織の

インフラストラクチャにさらにコピーされることを防ぎます。このアプローチの場合、ウイルス・

スキャナに余分な負担がかかり、パスワードで保護されていないか暗号化されていないアーカイブ

しか処理できません。したがって、アーカイブ・ファイル内のファイルに潜むウイルスの脅威を検

出する方法として、zipファイル・コンテンツのスキャンを有効にすることは100%信頼できる方法

ではありません。

デフォルトの構成ファイルでは、スキャン・エンジンでzipアーカイブを解凍し、そのコンテンツ

をスキャンしてウイルスを調べるオプションは有効にされていません。このオプションを追加する

には、次に示すようにsavdid.confファイルを編集して、オプション

savigrp:GrpArchiveUnpack 1を configファイルの Scanner セクションに追加します。

Scanner {

# See SAVDI Documentation for details for configuring # SAVDI

type:SAVDI

inprocess:YES

savists:EnableAutoStop 1

# savdigrp: grpuser 1

savigrp:GrpArchiveUnPack 1

# maxscantime:60

}

前述のCLIプロシージャに従って、スキャン・エンジンを停止し、構成ファイルを説明のとおりに

Page 18: Oracle ZFS Storage ApplianceにおけるSophos …...Oracle ZFS Storage ApplianceにおけるSophos Endpoint Protectionの構成方法 2 はじめに 企業にとって、マルウェアの脅威から電子データを効率的に保護することは、全社的なバックアッ

Oracle ZFS Storage ApplianceにおけるSophos Endpoint Protectionの構成方法

17

編集してから、スキャン・エンジンを再起動します。

システム時間の同期

ログ情報を容易に相互参照できるように、Oracle ZFS Storage ApplianceとSESCサーバー間の時間

を相互に同期させることをお勧めします。時間を同期させる簡単な方法は、Oracle ZFS Storage

ApplianceとSESCサーバーの両方でNTP(Network Time Protocol)を設定する方法です。

結論

Sophos Endpoint ProtectionとOracle ZFS Storage Applianceを併用すると、ネットワーク・アタ

ッチ・ストレージに保存された貴重なデータを保護するためのスケーラブルで信頼性の高いウイル

ス・スキャン・ソリューションを実現することができます。このソリューションにより、ファイル

をスキャンする負荷をOracle ZFS Storage Applianceから外部アンチウイルス・スキャン・プラッ

トフォームにオフロードできるため、Oracle ZFS Storage Appliance上の性能を最大化できる一方

で、Sophos Endpoint Protectionアンチウイルス・ソリューションに組み込まれた専用のソリュー

ションを利用してファイルのスキャンを実行し、ワーム、ウイルス、トロイの木馬の脅威を検出で

きます。

さらに、このソリューションではOracle ZFS Storage Applianceの統合型VSCANウイルス・スキャ

ン・サービスを利用して、VirusScanアンチウイルス・プラットフォームのスキャン結果を基にフ

ァイルの隔離を行うことができます。

このアンチウイルス・ソリューションは、モバイル・コードや圧縮ファイル形式などの主要な全フ

ァイル・タイプのウイルス、ワーム、トロイの木馬を検出して、迅速なウイルス対策を確実に行っ

て財務、データ、生産性の損失というリスクを軽減する製品としてオラクルの認定を受けています。

Page 19: Oracle ZFS Storage ApplianceにおけるSophos …...Oracle ZFS Storage ApplianceにおけるSophos Endpoint Protectionの構成方法 2 はじめに 企業にとって、マルウェアの脅威から電子データを効率的に保護することは、全社的なバックアッ

Oracle ZFS Storage ApplianceにおけるSophos Endpoint Protectionの構成方法

18

付録:参考資料

注:Sun ZFS Storage Appliance、Sun ZFS Storage 7000、およびZFS Storage Applianceはすべて、

同じOracle ZFS Storage Appliance製品ファミリのことを指しています。引用しているドキュメン

トや画面のコードの中には、従来の製品ファミリを使用しているものがあります。

5. Oracle ZFS Storage Appliance製品のドキュメント

http://www.oracle.com/technetwork/jp/documentation/oracle-unified-ss-

193371.html

6. 『Oracle ZFS Storage Appliance管理ガイド』はOracle ZFS Storage Applianceのヘ

ルプ・コンテキストで参照できます。

Oracle ZFS Storage Applianceのヘルプ機能には、ブラウザ・ユーザー・インタフェ

ースからアクセスできます。

7. Oracle ZFS Storage Appliance製品情報

http://www.oracle.com/jp/storage/nas/overview/index.html

8. Oracle ZFS Storage Applianceホワイト・ペーパー

http://www.oracle.com/technetwork/jp/server-storage/sun-unified-

storage/documentation/index.html

9. 製品Wikiページ

https://wikis.oracle.com/display/FishWorks/Fishworks

10. Sophos Webサイト

https://www.sophos.com/ja-jp.aspx

11. 『Sophos SAVDI ICAP Test Guide』

http://www.sophos.com/en-us/medialibrary/PDFs/install

guides/SAVDIICAP_Test_Guide.pdf

12. Sophos SAV Dynamic Interfaceドキュメント

http://www.sophos.com/support/docs/SAV_Dynamic_Interface-all.html

13. Sophos Endpoint Security Control Windowsドキュメント

http://www.sophos.com/support/docs/Endpoint_Security_Control_Windows-

all.html

14. Sophos Endpoint Protection Enterpriseドキュメント

http://www.sophos.com/support/docs/Endpoint_Security_Data_Protection-

all.html

15. Oracle VM VirtualBox

http://www.oracle.com/technetwork/jp/server-

storage/virtualbox/overview/index.html

16. Oracle VM Server

http://www.oracle.com/jp/technologies/virtualization/oraclevm/overview/index

.html

Page 20: Oracle ZFS Storage ApplianceにおけるSophos …...Oracle ZFS Storage ApplianceにおけるSophos Endpoint Protectionの構成方法 2 はじめに 企業にとって、マルウェアの脅威から電子データを効率的に保護することは、全社的なバックアッ

Oracle ZFS Storage Appliance における

Sophos Endpoint Protection の構成方法

2014年 1月、バージョン 2.0、

著者:Peter Brouwer

共著者:Thomas Hanvey

Copyright © 2014, Oracle and/or its affiliates.All rights reserved.本文書は情報提供のみを目的として提供さ

れており、ここに記載される内容は予告なく変更されることがあります。本文書は、その内容に誤りがな

いことを保証するものではなく、また、口頭による明示的保証や法律による黙示的保証を含め、商品性な

いし特定目的適合性に関する黙示的保証および条件などのいかなる保証および条件も提供するものではあ

りません。オラクル社は本文書に関するいかなる法的責任も明確に否認し、本文書によって直接的または

間接的に確立される契約義務はないものとします。本文書はオラクル社の書面による許可を前もって得る

ことなく、いかなる目的のためにも、電子または印刷を含むいかなる形式や手段によっても再作成または

送信することはできません。

Oracleおよび Javaは Oracleおよびその子会社、関連会社の登録商標です。その他の名称はそれぞれの会

社の商標です。

Intelおよび Intel Xeonは Intel Corporationの商標または登録商標です。すべての SPARC商標はライセン

スに基づいて使用される SPARC International, Inc.の商標または登録商標です。AMD、Opteron、AMDロ

ゴおよび AMD Opteronロゴは、Advanced Micro Devicesの商標または登録商標です。UNIXは X/Open

Company, Ltd.によってライセンス提供された登録商標です。0611