スタートアップガイド: Sophos Enterprise Console ユーザー向け

このガイドでは、Sophos for Virtual Environments を設定し、Sophos Enterprise Console を使用して管理する方法について説明します。

Sophos for Virtual Environments に移行する場合は、補足: Sophos for Virtual Environments への移行を参照してください。

Sophos for Virtual Environments について

Sophos for Virtual Environments は、仮想マシン (VM) を保護するためのセキュリティシステムです。各コンポーネントとその機能は以下のとおりです。

  • Sophos Security VM をハイパーバイザーホストで実行します。ゲスト VM 上の脅威を検出・ブロックします。
  • Sophos Guest VM Agent を各ゲスト VM で実行します。ゲスト VM は、このエージェントを使用して Security VM と通信します。
  • Sophos Enterprise Console を使って Security VM を管理し、最新の状態に保ちます。


セットアップの主なステップ

セットアップの主なステップは次のとおりです。詳細は、後述のセクションを参照してください。

  • システム要件を確認する。
  • 他のウイルス対策製品をアンインストールする。
  • Sophos Enterprise Console (ソフォスの管理ソフトウェア) を設定する。
  • Sophos Security VM をインストールする。
  • Sophos Guest VM Agent をゲスト VM にインストールする。
  • Sophos Enterprise Console を使用してポリシーを適用する。

システム要件の確認

システム要件は次のとおりです。

一般的なシステム要件の詳細は、サポートデータベースの文章 125679 を参照してください。

VMware 製品の要件

  • VMware ESXi ホスト 5.5 (限定サポート)、6.0、6.5、または 6.7。
  • VMware vCenter 5.5 (限定サポート)、6.0、6.5、または 6.7。
  • VMware Tools。
注: ESXi ホストへのインストールは VMware vCenter 環境内で完了する必要があります。スタンドアロンの ESXi ホストへの直接のインストールは現在サポートされていません。

Security VM のハードウェア要件:

  • CPU 数: 2 CPU。
  • 空きディスク容量: 最低 20GB。
  • RAM: 最低 4B。

Sophos Security VM の CPU リソースには制限を設定しないでください。

デフォルトで、2コアの CPU が割り当てられています。多数のゲスト VM を保護する場合は、インストール後、追加で CPU を構成してください。詳細は、該当する「Sophos for Virtual Environments 環境設定ガイド」を参照してください。

Security VM にはメモリが割り当てられます。冗長化されたシステムや負荷分散システムでは、VMware 環境の仮想マシンに割り当てられているリソースに基づいて自動的に調整が行われます。Security VM に割り当てられたメモリは削除しないようにしてください。

Microsoft Hyper-V の要件

次のいずれかの Microsoft Hyper-V システムが必要です。

  • Hyper-V - Windows Server 2012 (Server Core、フルインストール)
  • Hyper-V - Windows Server 2012 R2 (Server Core、フルインストール)
  • Hyper-V - Windows Server 2016 (Server Core、デスクトップ エクスペリエンス搭載サーバー)

Windows アップデートが有効になっており、正常に機能している場合は、Microsoft Hyper-V 統合コンポーネントが自動的にインストールされます。このツールをインストールしないと、仮想環境のパフォーマンスが低下することもあります。

マイクロソフト社は、Hyper-V サーバーのもっとも効果的なセキュリティ対策についてガイドラインを公開しています。詳細は、マイクロソフトサポート技術情報 3105657 を参照してください

ゲスト VM の要件

Sophos Guest VM Agent は以下の OS をサポートしています。

  • Windows 7 SP1
  • Windows 8.1
  • Windows 10
  • Windows Server 2008 R2 SP1
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019

Windows 7 および Windows Server 2008 R2 の必要最低のシステム要件の詳細は、サポートデータベースの文章 125679 を参照してください。

Microsoft Exchange Server 2016 をホストしている Windows Server 上にインストールする場合は、サポートデータベースの文章 126188 で説明されているいくつかの変更を行う必要があります。

ネットワーク要件

Security VM とゲスト VM は、同じネットワーク接続を使用する必要があります。これには、帯域制限のない高速 LAN を推奨します。

Security VM とゲスト VM の間のネットワークトラフィックは、ファイアウォールやネットワーク アクセス コントロールによってブロックされないようにしてください。

NAT ネットワークの要件

ゲスト VM が NAT (Network Address Translation) ネットワーク内にインストールされている場合、そのネットワークの内側または外側にある Security VM でゲスト VM を保護することができます。

インストールの際は、次を使用して Security VM を構成します。

NAT 外のプライマリ IP アドレス (管理コンソールと通信可能なアドレスであること)。

NAT 内のセカンダリ IP アドレス。

サブネットの要件

Security VM は、複数の IP アドレスで構成できます。各 IP アドレスは、異なるサブネット内にある必要があります。

Microsoft Hyper-V は、3つのサブネットに対応しています。VMware ESXi は、5つのサブネットに対応しています。

他のウイルス対策製品のアンインストール

他のウイルス対策製品が稼動しているゲスト VM を、Sophos for Virtual Environments で保護することはできません。

  • ゲスト VM にインストールされているウイルス対策製品 (ソフォス製品を含む) すべてをアンインストールします。

    ウイルス対策コンポーネントを含むまたは使用する、ソフォスのゲートウェイ製品やサーバー製品のアンインストールも忘れないようにしてください。

  • セキュリティセンターがないサーバー OS 上の Windows Defender を無効にします。グループポリシーを使用して無効にすることを推奨します。

詳細は、サポートデータベースの文章 125679 を参照してください。

ソフォスの管理ソフトウェアの設定

Security VM をインストールする前に、次の項目を実行します。

  • Sophos Enterprise Console をインストールする (インストール済みでない場合)。セキュリティ対策ソフトのアップデートをダウンロードし、保護対象の VM を管理するために使用します。
  • Sophos for Virtual Environments のネットワーク共有を作成する。この共有を使用して、Security VM を最新の状態に保ちます。

操作方法の詳細は、次の各項の説明を参照してください。

既に Sophos Enterprise Console を使用している場合

既に Sophos Enterprise Console を使用して他のソフォス製品を管理している場合、お使いの認証情報に Sophos for Virtual Environments のネットワーク共有を設定する権限が付与されていないことがあります。この場合は、ライセンスに本製品が含まれていることを確認してください。ライセンスについて不明な点は、sales@sophos.co.jp までお問い合わせください。

Sophos Enterprise Console のインストール

Sophos Enterprise Console が既にインストールされている場合は、ソフォス製品のアップデート元共有の作成 へ進んでください。

Sophos Enterprise Console は、Security VM と同じネットワーク上の Windows コンピュータにインストールしてください。

Sophos Enterprise Console クイック スタートアップガイド」の指示に従ってください。保護するプラットフォームを選択する画面では、「Sophos for Virtual Environments」も選択してください。Sophos for Virtual Environments のネットワーク共有が作成されます。

注: インストールされるのは、「Recommended」(推奨バージョン) です。正規版公開に先駆けて新機能を体験できる「Preview」(プレビューバージョン) を使用する場合は、ソフォス製品のアップデート元共有の作成を参照してください。

インストールが完了したら、ソフォス製品のアップデート元共有へのアクセスの確認を参照してください。

ソフォス製品のアップデート元共有の作成

Sophos for Virtual Environments のサブスクリプションを設定して、Sophos Enterprise Console の新規インストールを行った直後の場合、このセクションは読み飛ばしてください。

  1. Sophos Enterprise Console で、「表示」メニューの「アップデートマネージャ」をクリックします。
  2. Sophos for Virtual Environments のサブスクリプションを設定する方法は次のとおりです。
    1. ソフトウェアのサブスクリプション」ペインの上部にある「追加」ボタンをクリックします。
    2. ソフトウェアのサブスクリプション」ダイアログボックスの「サブスクリプション名」テキストボックスにサブスクリプション名を入力します。
    3. プラットフォームの一覧から、「Sophos for Virtual Environments」を選択します。
      注: リストにこの選択肢が表示されない場合は、お使いの認証情報を更新する必要があります。ソフォス テクニカルサポートに問い合わせてください。
    4. 「バージョン」カラムで、「Recommended」(推奨バージョン) または「Preview」(プレビューバージョン) を選択します。「Preview」は、正規版公開に先駆けて新機能を体験できます。
      注: 後から Security VM をインストールする際は、ここで選択したバージョンと同じバージョンを使用する必要があります。
  3. このサブスクリプションを使用するようにアップデートマネージャを編集します。
    1. アップデートマネージャ」ペインで、このサーバーにインストールされているアップデートマネージャを選択します。右クリックして「環境設定の表示/編集」をクリックします。
    2. アップデートマネージャの環境設定」ダイアログボックスで、「サブスクリプション」タブの「ダウンロードするサブスクリプション」リストに、選択したサブスクリプションが表示されていることを確認します。
    3. OK」をクリックします。

次のセクションへ進みます。

ソフォス製品のアップデート元共有へのアクセスの確認

ソフォス製品のアップデート元共有の場所を参照し、有効な認証情報やゲストアカウントを使用してアクセスできることを確認する必要があります。

注: 他に指定しない限り、ソフォス製品のアップデート元共有へのアクセスには、Sophos Enterprise Console のインストール時に設定したユーザーアカウントが使用されます。これは、「Update Manager」アカウントとして設定したもので、推奨アカウントのユーザー名は SophosUpdateMgr です。
  1. Sophos Enterprise Console で、「表示」メニューの「インストーラの場所」をクリックします。
    インストーラの場所の一覧が表示されます。
  2. Sophos for Virtual Environments に対応するパスを探してメモします。Security VM をインストールする際に必要となります。

    この場所の FQDN が必要になります。

  3. 共有が Windows Server 2008/2012 環境にある場合、Sophos Security VM のインストーラにアクセスを許可するため、一時的に Windows ファイアウォールの設定をサーバーで変更しなくてはならない場合があります。

    次の受信の規則は、「はい」に設定されている (規定の設定) 必要があります。

    • ファイルとプリンターの共有 (NB データグラム受信)
    • ファイルとプリンターの共有 (NB 名受信)
    • ファイルとプリンターの共有 (NB セッション受信)

    Security VM をインストールした後で、これらの規則を「いいえ」に設定し直せます。

Sophos Enterprise Console のインストールをカスタマイズした場合や、 Security VM のアップデート用に追加のネットワーク共有を作成した場合は、次の点に注意してください。

  • Security VM をインストールした後、必要な場合は、認証情報が Security VM 上に保管されるため、読み取り専用の認証情報を使用することを推奨します。
  • ネットワーク共有が Sophos Enterprise Console (または、Sophos Enterprise Console の Update Manager コンポーネント) とは別のコンピュータにある場合、書き込み権限のあるアカウントでもアクセスできることを確認してください。

Sophos Security VM のインストール

ゲスト VM を保護する各ホストには、1つまたは複数の Security VM をインストールすることができます。

操作手順は、後述のセクションを参照してください。

  • 必要なパスワードがあることを確認する。
  • システム間で同期がとれていることを確認する。
  • インストール要件を確認する。
  • Security VM をインストールする。

必要なパスワードがあることの確認

次のアカウントに対するパスワードが必要です。

  • Sophos for Virtual Environments のネットワーク共有にアクセスする際に使用されるアカウント (「Sophos Update フォルダ」)。
  • Vmware 環境を使用している場合は、vCenter の Administrator 権限を持つアカウント。

システム全体の時刻が同期されていることの確認

Sophos Enterprise Console サーバー、Security VM をインストールしたホスト、ゲスト VM のシステム時刻が同期されていることを確認する必要があります。

各ホストの時刻同期を取るには、NTP (ネットワーク タイム プロトコル) を利用します。

警告: システム時刻が同期されていないと、Security VM をインストールすることはできますが、それを Sophos Enterprise Console で管理することはできません。

インストール要件の確認

インストールに使用するコンピュータとユーザーアカウントが要件を満たしていることを確認します。

  • インストーラは、VMware vCenter サーバーまたは Microsoft Hyper-V サーバーにネットワーク経由でアクセス可能な Windows コンピュータで実行する必要があります。
  • Security VM のインストールは、ローカルネットワークで行う必要があります。インストーラは、認証済みプロキシの使用に現在対応していません。
  • Windows XP または Windows Server 2003 環境ではインストーラを使用できません。
  • NTLMv2 認証が必要です。これを使用してインストーラは、必要な証明書と製品バンドルのある共有フォルダにアクセスします。
  • 使用しているファイアウォールで、必要なポートが開放されていることを確認します。詳細はサポートデータベースの文章 126313 を参照してください。
  • ソフォスの管理コンソールにアクセスできることを確認します。

次のハイパーバイザーの要件も満たす必要があります。

  • VMware ESXi ユーザー: VMware vCenter と ESXi ホストで管理者権限があることを確認します。
  • Microsoft Hyper-V ユーザー: Hyper-V サーバー上の VM を作成・制御できる権限を持つユーザーとしてインストーラを実行する必要があります。Hyper-V サーバー上のローカルユーザーアカウント、またはドメインユーザーなどがこれに相当します。
  • インストール中は、VMware の DRS (Distributed Resource Scheduler) と HA (High Availability) を無効にします。

インストーラを実行するコンピュータは、インストールの目的のみに使用されます。インストール後、Security VM やゲスト VM の管理や保護を行うためには使用されません。

Security VM のインストール

次に、インストーラをダウンロードし実行して、Security VM をインストールします。

インストーラは任意のコンピュータにダウンロードし、その後、Security VM のインストール先コンピュータにコピーすることもできます。

  1. www.sophos.com/ja-jp/support/downloads.aspx にアクセスして、Sophos ID を使用してサインインします。

    詳細は次のサイトを参照してください。 www.sophos.com/ja-jp/support/knowledgebase/111195.aspx

  2. ライセンスを選択します (メッセージが表示された場合)。「スタンドアロンインストーラ」の「Sophos for Virtual Environments」をクリックします。
  3. インストーラをダウンロードします。

    Sophos Enterprise Console で登録したサブスクリプションと同じバージョン (Recommended または Preview) をダウンロードするようにしてください。

  4. ダウンロードしたファイルをダブルクリックします。
  5. ウィザードの指示に従って Security VM のインストールを行います。「インストールのヒント」を読むことを強く推奨します。
  6. インストールに失敗する場合は、次の手順を試みてください。
    • ログで詳細を確認します。
    • Start Over」(繰り返す) をクリックして、もう一度やり直します。
  7. インストールが完了したら、Security VM が表示されることを確認します。Sophos Enterprise Console を開き、コンピュータの「グループ外のコンピュータ」フォルダで、Security VM を参照します。

    後で Security VM の名称を変更した場合、Sophos Enterprise Console には元の名称が表示され、変更後の名称は表示されません。

インストールのヒント

Security VM インストールウィザードを実行する際は、以下の情報を参照してください。

VMware vCenter credentials (VMware vCenter の認証情報)

vSphere Client で vCenter にログインするときと同じ管理者ユーザー名を入力します。

Sophos update folder details (ソフォスのアップデート元フォルダの詳細)

前述の手順で作成した Sophos for Virtual Environments のネットワーク共有の詳細を入力します。

  • FQDN (完全修飾ドメイン名) による UNC パス、または Web アドレスを使用します。共有フォルダの場所は Sophos Enterprise Console で確認します。「表示」メニューの「インストーラの場所」をクリックします。
  • 「Update Manager」アカウントのユーザー名とパスワードが必要となります。このアカウントの推奨ユーザー名は SophosUpdateMgr です。

Datastore for the Security VM (Security VM 用データストア)

テンプレートが異なるデータストアに保存されている場合でも、Security VM はゲスト VM を保護します。

IP settings for the Security VM (Security VM の IP 設定)

ゲスト VM を保護するすべてのネットワークの IP 設定を入力します。ネットワークを追加または削除するには、入力項目の上にある「+」または「-」ボタンを使用します。異なるネットワークの設定に移動するには、「<」ボタンや「>」ボタンを使用します。

Guest VM migration (ゲスト VM の移行)

  • 証明書の作成方法については、サポートデータベースの文章 127562 を参照してください。
  • テンプレートから複製したゲスト VM の移行方法については、サポートデータベースの文章 127955 を参照してください。
  • 一貫したクリーンアップとレポート機能を提供できるよう、同一のセキュリティポリシーが適用されている複数の Security VM を指定することを推奨します。

Sophos Guest VM Agent のインストール

Sophos Guest VM Agent は、保護対象の各ゲスト VM 上で実行する必要があります。

Sophos Guest VM Agent をインストールできる OS を確認します。詳細は、システム要件の確認 を参照してください。

  • インストール方法は次のとおりです。
    1. インストール先のゲスト VM で、Security VM がインストールされているホストを参照します。IP アドレスを使用してください。
    2. Public」という共有フォルダで、SVE-Guest-Installer.exe というインストーラファイルを探します。
    3. インストーラをダブルクリックして実行します。または、インストーラをゲスト VM に転送して実行します。画面に表示される手順に従います。

または、コマンドラインを使用できます。

  • インストールは、進行状況バーあり (インストールの進行状況が表示されます)、またはなしのいずれかを選択できます。コマンドには大文字と小文字の区別があります。
    • 画面あり (進行状況バー): SVE-Guest-Installer.exe SVMIPAddress=<SVM の IP アドレス> /install /passive
    • 画面なし (進行状況バーなし): SVE-Guest-Installer.exe SVMIPAddress=<SVM の IP アドレス> /install /quiet

または、グループポリシーを使用してインストールします。

エージェントをインストールしたら、ゲスト VM のスナップショットを作成することをお勧めします。これにより、必要に応じて、問題が発生する前の状態にゲスト VM を戻せるようになります。

Sophos Enterprise Console を使用したポリシーの適用

  1. Sophos Enterprise Console で、アップデートポリシーとウイルス対策および HIPS ポリシーを作成します。
  2. 各ポリシーを右クリックして、「ポリシーを製品出荷時の設定に戻す」を選択します。
  3. 新しいアップデートポリシーをクリックして開きます。
  4. アップデートポリシー」ダイアログボックスで、次の手順を実行します。
    1. サブスクリプション」タブをクリックし、Sophos for Virtual Environments に対応するサブスクリプションを選択します。
    2. プライマリサーバー」タブをクリックし、アップデート元のパスに FQDN が含まれていることを確認します。ポリシーを保存します。
  5. Security VM を追加するための新しいコンピュータグループを作成します。
  6. 前述の手順で作成した各新規ポリシーをこの新しいグループに適用します。
  7. グループ外のコンピュータ」フォルダにある Security VM を、新しいグループにドラッグします。

Security VM のメンテナンス

ここでは、インストール後の管理タスクやメンテナンスタスクに役立つアドバイスを紹介します。

  • ホストをメンテナンスモードやスタンバイモードから切り替えた後は、手動で Security VM の電源を入れる: ゲスト VM の電源を入れる前に電源を入れ、ただちにゲスト VM を保護するようにします。
  • Security VM を「サスペンド」しない: サスペンド中、仮想マシンの保護が解除され、仮想マシンが復帰するのに時間がかかることがあります。
  • Security VM がソフォスからセキュリティのアップデートを取得していることを確認する: 確認するには、Enterprise Console でアップデートの状態を確認します。
  • バックアップについて: パフォーマンスが低下する可能性があるため、Security VM を定期的なバックアップタスクの対象から除外することを推奨します。インフラ障害などが原因で、Security VM を復旧する必要がある場合は、Security VM の再インストールを推奨します。

補足: Sophos for Virtual Environments への移行

Sophos for Virtual Environments に移行できる製品は次のとおりです。

移行可能な製品

  • VMWare ESXi 環境で実行している Sophos Anti-Virus for vShield
  • VMware ESXi 環境または Microsoft Hyper-V 環境の各ゲスト VM で、ローカルに実行している Sophos Anti-Virus
  • VMware ESXi または Microsoft Hyper-V 環境にあり、Sophos Enterprise Console の管理下にある Sophos for Virtual Environments
  • VMware ESXi 環境または Microsoft Hyper-V 環境で実行している他のベンダーのウイルス対策製品
注: Sophos for Virtual Environments は、NSX 環境で実行している場合も含め、VMware ESXi ホスト上のゲスト VM を保護します。ただし、Sophos for Virtual Environments は NSX Manager と連係しません。
注: Sophos for Virtual Environments は、Security VM を使用して脅威検索を一元的に実行します。このインストールが完了すると、ゲスト VM で脅威データのアップデートを行う必要がなくなります。

移行方法

次のステップを実行します。各ステップの詳細な説明は後述します。

サードパーティ製ウイルス対策ソフトから移行する場合は、以下の点に留意してください。

  • Sophos for Virtual Environments を使用するには、Security VM とゲスト VM がネットワークで接続されている必要があります。
  • Sophos for Virtual Environments では、vMotion やライブマイグレーションなど、仮想マシンの動的なロードバランシング機能がサポートされますが、最適なパフォーマンスは、Security VM とゲスト VM を高速ネットワークで接続することで実現できます。

保護されているゲスト VM の一覧を表示する方法の詳細は、「Sophos for Virtual Environments 環境設定ガイド」を参照してください。

Sophos for Virtual Environments への移行

移行する方法は次のとおりです。

  1. ソフトウェアをダウンロードし、保護対象の VM を管理するように Sophos Enterprise Console を設定します。詳細は、ソフォスの管理ソフトウェアの設定を参照してください。
  2. このガイドにある説明に従って、Security VM をインストールします。詳細は、Sophos Security VM のインストールを参照してください。
    注: Sophos Anti-Virus for VMware vShield の製品サポートは終了し、対応していません。
  3. Sophos Enterprise Console に移動し、Security VM がアップデートされていることを確認します。
  4. 古い Security VM をシャットダウンするか、または古いウイルス対策ソフトをアンインストールします。
    注意: ゲスト VM の保護が解除されるため、セキュリティに注意してください。
  5. 新しい軽量な Sophos Guest VM Agent をゲスト VM にインストールします。詳細は、Sophos Guest VM Agent のインストールを参照してください。
  6. ゲスト VM が保護されるようになったかを確認します。
    1. ゲスト VM へ移動し、スタートメニューで「セキュリティとメンテナンス」を検索します。このオプションが見つからない場合は、「アクションセンター」を検索します。
    2. セキュリティ」の横のドロップダウン矢印をクリックします。Sophos for Virtual Environments が有効になっていることが表示されます。

テクニカルサポート

ソフォス製品のテクニカルサポートは、次のような形でご提供しております。

利用条件

Copyright © 2019 Sophos Limited. All rights reserved. この出版物の一部または全部を、電子的、機械的な方法、写真複写、録音、その他いかなる形や方法においても、使用許諾契約の条項に準じてドキュメントを複製することを許可されている、もしくは著作権所有者からの事前の書面による許可がある場合以外、無断に複製、復元できるシステムに保存、または送信することを禁じます。

SophosSophos Anti-Virus、および SafeGuard は、Sophos LimitedSophos Group、および Utimaco Safeware AG の登録商標です。その他記載されている会社名、製品名は、各社の登録商標または商標です。

サードパーティライセンス

本製品の使用に関連するサードパーティライセンスについては、Sophos Security VM の次のフォルダを参照してください。/usr/share/doc

一部のソフトウェアプログラムは、特に複製、変更または特定のプログラム、あるいはその一部の頒布、およびソースコードへのアクセスを許可する、GNU 一般公衆利用許諾契約書 (GNU General Public License、あるいは単に GPL)、または同様のフリーソフトウェア使用許諾契約に基づいてユーザーの使用が許諾 (またはサブライセンス) されています。GPL に基づき使用が許諾され、実行可能なバイナリ形式で頒布されるいかなるソフトウェアも GPL によりソースコードの開示が義務付けられています。本製品と共に配布されるこのようなソフトウェアのソースコードを入手するには、サポートデータベースの文章 124427 に記載されている手順に従ってください。