スタートアップガイド: Sophos Central ユーザー向け

このガイドでは、Sophos for Virtual Environments を設定し、Sophos Central を使用して管理する方法について説明します。

Sophos for Virtual Environments に移行する場合は、補足: Sophos for Virtual Environments への移行を参照してください。

Sophos for Virtual Environments について

Sophos for Virtual Environments は、仮想マシン (VM) を保護するためのセキュリティシステムです。各コンポーネントとその機能は以下のとおりです。

  • Sophos Security VM: ハイパーバイザーホストで実行します。ゲスト VM 上の脅威を検出・ブロックします。
  • Sophos Guest VM Agent: 各ゲスト VM で実行します。ゲスト VM は、このエージェントを使用して Security VM と通信します。
  • Sophos Central: Security VM を管理し、最新の状態に保つために使用します。


セットアップの主なステップ

セットアップの主なステップは次のとおりです。詳細は、後述のセクションを参照してください。

  • システム要件を確認する。
  • 他のウイルス対策製品をアンインストールする。
  • Sophos Security VM をインストールする。
  • Sophos Guest VM Agent をゲスト VM にインストールする。
  • Sophos Central を使用してセキュリティポリシーを適用する。

システム要件の確認

システム要件は次のとおりです。

VMware 製品の要件

  • VMware ESXi ホスト 5.5、6.0、または 6.5
  • VMware vCenter 5.5、6.0、または 6.5
  • VMware vSphere Client 5.5、6.0、または 6.5
  • VMware Tools

各 Security VM のハードウェア要件:

  • CPU 数: 2 CPU。
  • 空きディスク容量: 最低 20GB。
  • RAM: 最低 4B。

Sophos Security VM の CPU リソースには制限を設定しないでください。

デフォルトで、2コアの CPU が割り当てられています。多数のゲスト VM を保護する場合は、インストール後、追加で CPU を構成してください。詳細は、「Sophos for Virtual Environments 環境設定ガイド」を参照してください。

Security VM にはメモリが割り当てられます。冗長化されたシステムや負荷分散システムでは、VMware 環境の仮想マシンに割り当てられているリソースに基づいて自動的に調整が行われます。Security VM に割り当てられたメモリは削除しないようにしてください。

Microsoft Hyper-V の要件

次のいずれかの Microsoft Hyper-V システムが必要です。

  • Hyper-V - Windows Server 2012 (Server Core、フルインストール)
  • Hyper-V - Windows Server 2012 R2 (Server Core、フルインストール)
  • Hyper-V - Windows Server 2016 (Server Core、デスクトップ エクスペリエンス搭載サーバー)

Windows アップデートが有効になっており、正常に機能している場合は、Microsoft Hyper-V 統合コンポーネントが自動的にインストールされます。このツールをインストールしないと、仮想環境のパフォーマンスが低下することもあります。

マイクロソフト社は、Hyper-V サーバーのもっとも効果的なセキュリティ対策についてガイドラインを公開しています。詳細は、マイクロソフトサポート技術情報 3105657 を参照してください。

ゲスト VM 要件

  • Windows 10 (32ビット/64ビット)。対応するプラットフォームの一覧は、サポートデータベースの文章 125679 を参照してください。
  • Windows 8.1 (32ビット/64ビット)。
  • Windows 7 (32ビット/64ビット) SP1 以降。
  • Windows Server 2016 (64ビット)。対応するプラットフォームの一覧は、サポートデータベースの文章 125679 を参照してください。
  • Windows Server 2012 R2 (64ビット)
  • Windows Server 2012 (64ビット)
  • Windows Server 2008 R2 (64ビット)

ネットワーク要件

• Security VM とゲスト VM は、同じネットワーク接続を使用する必要があります。これには、帯域制限のない高速 LAN を推奨します。

• Security VM とゲスト VM の間のネットワークトラフィックは、ファイアウォールやネットワーク アクセス コントロールによってブロックされないようにしてください。

NAT ネットワークの要件

ゲスト VM が NAT (Network Address Translation) ネットワーク内にインストールされている場合、そのネットワークの内側または外側にある Security VM でゲスト VM を保護することができます。

インストールの際は、次を使用して Security VM を構成します。

• NAT 外のプライマリ IP アドレス (管理コンソールと通信可能なアドレスであること)

• NAT 内のセカンダリ IP アドレス。

サブネットの要件

Security VM は、複数の IP アドレスで構成できます。各 IP アドレスは、異なるサブネット内にある必要があります。

Microsoft Hyper-V は、3つのサブネットに対応しています。VMware ESXi は、5つのサブネットに対応しています。

他のウイルス対策製品のアンインストール

他のウイルス対策製品が稼動しているゲスト VM を、Sophos for Virtual Environments で保護することはできません。
  • ゲスト VM にインストールされているウイルス対策製品 (ソフォス製品を含む) すべてをアンインストールします。

    ウイルス対策コンポーネントを含むまたは使用する、ソフォスのゲートウェイ製品やサーバー製品のアンインストールも忘れないようにしてください。

  • セキュリティセンターがないサーバー OS 上の Windows Defender を無効にします。グループポリシーを使用して無効にすることを推奨します。

詳細は、サポートデータベースの文章 125679 を参照してください。

Sophos Security VM のインストール

ゲスト VM を保護する各ホストには、1つまたは複数の Security VM をインストールすることができます。

操作手順は、後述のセクションを参照してください。

インストール要件の確認

インストールに使用するコンピュータとユーザーアカウントが要件を満たしていることを確認します。

  • インストーラは、VMware vCenter サーバーまたは Microsoft Hyper-V サーバーにネットワーク経由でアクセス可能な Windows コンピュータで実行する必要があります。
  • Security VM のインストールは、ローカルネットワークで行う必要があります。インストーラは、認証済みプロキシの使用に現在対応していません。
  • Windows XP または Windows Server 2003 環境ではインストーラを使用できません。
  • NTLMv2 認証が必要です。これを使用してインストーラは、必要な証明書と製品バンドルのある共有フォルダにアクセスします。
  • 使用しているファイアウォールで、必要なポートが開放されていることを確認します。詳細はサポートデータベースの文章 126313 を参照してください。
  • ソフォスの管理コンソールにアクセスできることを確認します。

次のハイパーバイザーの要件も満たす必要があります。

  • VMware ESXi ユーザー: VMware vCenter と ESXi ホストで管理者権限があることを確認します。
  • Microsoft Hyper-V ユーザー: Hyper-V サーバー上の VM を作成・制御できる権限を持つユーザーとしてインストーラを実行する必要があります。Hyper-V サーバー上のローカルユーザーアカウント、またはドメインユーザーなどがこれに相当します。
  • インストール中は、VMware の DRS (Distributed Resource Scheduler) と HA (High Availability) を無効にします。

インストーラを実行するコンピュータは、インストールの目的のみに使用されます。インストール後、Security VM やゲスト VM の管理や保護を行うためには使用されません。

必要なパスワードがあることの確認

次のアカウントに対するパスワードが必要です。

  • Sophos Central アカウント。
  • Vmware 環境を使用している場合は、vCenter の Administrator 権限を持つアカウント。

システム全体の時刻が同期されていることの確認

Security VM をインストールしたホストとゲスト VM のシステム時刻が同期されていることを確認する必要があります。

各ホストの時刻同期を取るには、NTP (ネットワーク タイム プロトコル) を利用します。

警告: システム時刻が同期されていないと、インストールした Security VM を Sophos Central で管理することができません。

Security VM のインストール

次に、インストーラをダウンロードし実行して、Security VM をインストールします。

インストーラは任意のコンピュータにダウンロードし、その後、Security VM のインストール先コンピュータにコピーすることもできます。

  1. Sophos Central にサインインします。
  2. デバイスの保護」を開きます。「仮想化環境プロテクション」で、お使いの環境 (Hyper-V または ESXi) に対応するインストーラをダウンロードします。
  3. ダウンロードしたファイルを探し、それをダブルクリックします。
  4. ウィザードの指示に従って Security VM のインストールを行います。以下の「インストールのヒント」を参照してください。
  5. インストールに失敗する場合は、次の手順を試みてください。
    • ログで詳細を確認します。
    • Start Over」(繰り返す) をクリックして、もう一度やり直します。
  6. インストールが完了したら、Security VM が表示されることを確認します。Sophos Central で「サーバープロテクション > サーバー」の順に選択し、リストのフィルタで「仮想サーバー」を選択します。

インストールのヒント

  • VMware vCenter credentials (VMware vCenter の認証情報): vSphere Client で vCenter にログインするときと同じ管理者ユーザー名を入力します。
  • Datastore for the Security VM (Security VM 用データストア): テンプレートが異なるデータストアに保存されている場合でも、Security VM はゲスト VM を保護します。
  • IP settings for the Security VM」(Security VM の IP 設定) で、ゲスト VM を保護するすべてのネットワークの IP 設定を入力します。ネットワークを追加または削除するには、入力項目の上にある「+」または「-」ボタンを使用します。異なるネットワークの設定に移動するには、「<」ボタンや「>」ボタンを使用します。
  • Guest VM migration (ゲスト VM の移行): ゲスト VM の移行を設定する際は、一貫したクリーンアップとレポート機能を提供できるよう、同一のセキュリティポリシーが適用されている Security VM を指定するようにしてください。
次に、Sophos Guest VM Agent をインストールします。

Sophos Guest VM Agent のインストール

Sophos Guest VM Agent は、保護対象の各ゲスト VM 上で実行する必要があります。

  1. ゲスト VM で Windows エクスプローラを開き、Security VM の「Public」という共有フォルダを参照します。
    • 設定した IP アドレスを次のように使用します。\\<SVM の IP アドレス>\public\
    • 「sophospublic」というユーザー名と、Security VM を導入した際に設定したパスワードを使用して、共有フォルダにアクセスします。
  2. SVE-Guest-Installer.exe をダブルクリックして画面上の指示に従います。
    または、グループポリシーを使用してインストールします。詳細は、http://support.microsoft.com/ja-jp/kb/816102 を参照してください。
  3. ゲスト VM が保護されていることを確認します。
    1. スタートメニューで「セキュリティとメンテナンス」を検索します。見つからない場合は、「アクションセンター」を検索します。
    2. セキュリティ」の横のドロップダウン矢印をクリックします。Sophos for Virtual Environments が有効になっていることが表示されます。
    問題が発生する場合は、環境設定ガイドにあるトラブルシューティングに関するアドバイスを参照してください。

エージェントをインストールしたら、ゲスト VM のスナップショットを作成することをお勧めします。これにより、必要に応じて、問題が発生する前の状態にゲスト VM を戻せるようになります。

次に、ソフォスの管理コンソールを使用してポリシーを適用します。

Sophos Central を使用したポリシーの適用

Sophos Central は、脅威検出およびクリーンアップ用の推奨されるポリシーを自動的に Security VM に適用します。そして、そのポリシーは、ゲスト VM に対しても使用されます。

ポリシーは変更したり、必要に応じて新規作成したりすることもできます。

詳細は、「Sophos for Virtual Environments 環境設定ガイド」を参照してください。

Security VM のメンテナンス

ここでは、導入後の管理タスクやメンテナンスタスクに役立つアドバイスを紹介します。

  • ホストをメンテナンスモードやスタンバイモードから切り替えた後は、手動で Security VM の電源を入れる。ゲスト VM の電源を入れる前に電源を入れ、ただちにゲスト VM を保護するようにします。
  • Security VM を「サスペンド」しない。サスペンド中、仮想マシンの保護が解除され、仮想マシンが復帰するのに時間がかかることがあります。
  • Security VM がソフォスからセキュリティのアップデートを取得していることを確認する。確認するには、Sophos Central でアップデートの状態を確認します。
  • バックアップについて。パフォーマンスが低下する可能性があるため、Security VM を定期的なバックアップタスクの対象から除外することを推奨します。インフラ障害などが原因で、Security VM を復旧する必要がある場合は、Security VM の再インストールを推奨します。

補足: Sophos for Virtual Environments への移行

移行可能な製品

Sophos for Virtual Environments に移行できる製品は次のとおりです。

  • VMWare ESXi 環境で実行している Sophos Anti-Virus for vShield
  • VMware ESXi 環境または Microsoft Hyper-V 環境の各ゲスト VM で、ローカルに実行している Sophos Anti-Virus
  • VMware ESXi または Microsoft Hyper-V 環境にあり、Sophos Enterprise Console の管理下にある Sophos for Virtual Environments
  • VMware ESXi 環境または Microsoft Hyper-V 環境で実行している他のベンダーのウイルス対策製品
注: Sophos for Virtual Environments は、NSX 環境で実行している場合も含め、VMware ESXi ホスト上のゲスト VM を保護します。ただし、Sophos for Virtual Environments は NSX Manager と連携しません。
注: Sophos for Virtual Environments は、Security VM を使用して脅威検索を一元的に実行します。このインストールが完了すると、ゲスト VM で脅威データのアップデートを行う必要がなくなります。

移行方法

次のステップを実行します。各ステップの詳細な説明は後述します。

注:

サードパーティ製ウイルス対策ソフトから移行する場合は、以下の点に留意してください。

  • Sophos for Virtual Environments を使用するには、Security VM とゲスト VM がネットワークで接続されている必要があります。
  • Sophos for Virtual Environments では、vMotion やライブマイグレーションなど、仮想マシンの動的なロードバランシング機能がサポートされますが、Security VM とゲスト VM を高速ネットワークで接続すると、最適なパフォーマンスを実現できます。

移行する方法は次のとおりです。

  1. このガイドにある説明に従って、Security VM をインストールします。詳細は、Sophos Security VM のインストールを参照してください。
    注: この新しい Security VM は、既存の SAV vShield Security VM がインストールされているのと同じホストにインストールすることができます。
  2. Sophos Central に移動し、Security VM がアップデートされていることを確認します。
  3. 古い Security VM をシャットダウンするか、または古いウイルス対策ソフトをアンインストールします。
    注意: ゲスト VM の保護が解除されるため、セキュリティ対策が施されるようにしてください。
  4. 新しい軽量な Sophos Guest VM Agent をゲスト VM にインストールします。詳細は、Sophos Guest VM Agent のインストールを参照してください。
  5. ゲスト VM が保護されるようになったかを確認します。
    1. ゲスト VM へ移動し、スタートメニューで「セキュリティとメンテナンス」を検索します。このオプションが見つからない場合は、「アクションセンター」を検索します。
    2. セキュリティ」の横のドロップダウン矢印をクリックします。Sophos for Virtual Environments が有効になっていることが表示されます。

保護されているゲスト VM の一覧を表示する方法の詳細は、「Sophos for Virtual Environments 環境設定ガイド」を参照してください。

テクニカルサポート

ソフォス製品のテクニカルサポートは、次のような形でご提供しております。

利用条件

Copyright © 2018 Sophos Limited. All rights reserved. この出版物の一部または全部を、電子的、機械的な方法、写真複写、録音、その他いかなる形や方法においても、使用許諾契約の条項に準じてドキュメントを複製することを許可されている、もしくは著作権所有者からの事前の書面による許可がある場合以外、無断に複製、復元できるシステムに保存、または送信することを禁じます。

SophosSophos Anti-Virus、および SafeGuard は、Sophos LimitedSophos Group、および Utimaco Safeware AG の登録商標です。その他記載されている会社名、製品名は、各社の登録商標または商標です。

サードパーティライセンス

本製品の使用に関連するサードパーティライセンスについては、Sophos Security VM の次のフォルダを参照してください。/usr/share/doc

一部のソフトウェアプログラムは、特に複製、変更または特定のプログラム、あるいはその一部の頒布、およびソースコードへのアクセスを許可する、GNU 一般公衆利用許諾契約書 (GNU General Public License、あるいは単に GPL)、または同様のフリーソフトウェア使用許諾契約に基づいてユーザーの使用が許諾 (またはサブライセンス) されています。GPL に基づき使用が許諾され、実行可能なバイナリ形式で頒布されるいかなるソフトウェアも GPL によりソースコードの開示が義務付けられています。本製品と共に配布されるこのようなソフトウェアのソースコードを入手するには、サポートデータベースの文章 124427 に記載されている手順に従ってください。