[スキャンキャッシュ]は、Virtual Applianceが不正プログラム対策および変更監視スキャンの効率を最大化するために使用されます。スキャンキャッシュは、大規模なVMware展開において複数のVM間で同一のコンテンツを不必要にスキャンすることを排除することで、スキャンの効率を向上させます。スキャンキャッシュには、Deep
Securityによる保護モジュールによってスキャンされたファイルやその他のスキャン対象のリストが含まれています。仮想マシン上のスキャン対象が既にスキャンされた対象と同一であると判断された場合、Virtual
Applianceはその対象を再度スキャンしません。エンティティが同一であるかどうかを判断するために使用される属性は、作成時間、変更時間、ファイルサイズ、およびファイル名です。リアルタイムスキャンキャッシュの場合、Deep
Securityはファイルの部分的な内容を読み取って、2つのファイルが同一であるかどうかを判断します。ファイルの更新シーケンス番号 (USN、Windowsのみ)
を使用するオプション設定もありますが、その使用はクローンされた仮想マシンに限定するべきです。
検索キャッシュによって、クローン作成された仮想マシン間または類似した仮想マシン間で検索結果が共有されるため、[変更監視]が効率化されます。
後続の検索の速度が向上するため、クローン作成された仮想マシンまたは類似した仮想マシンでの[不正プログラムの手動検索]が効率化されます。
また、クローン作成された仮想マシンまたは類似した仮想マシンの起動プロセス検索とアプリケーションアクセス検索の速度が向上するため、[リアルタイム不正プログラム検索]が強化されます。
検索キャッシュ設定
検索キャッシュ設定は、有効期限、更新シーケンス番号 (USN)、除外するファイル、含めるファイルなどを指定する設定の集まりです。
 |
注意同じ検索キャッシュ設定を使用する仮想マシン間では、同じ検索キャッシュが共有されます。
|
既存のスキャンキャッシュ構成のリストは、[管理]→[システム設定]→[詳細設定][>][検索キャッシュ設定]に移動し、[検索キャッシュ設定の表示]をクリックすることで確認できます。Deep Securityには、いくつかの事前構成されたデフォルトのスキャンキャッシュ構成が付属しています。これらは、保護されている仮想マシンのプロパティと実行されているスキャンの種類に応じて、Virtual
Applianceによって自動的に実装されます。
[期限] はスキャンキャッシュ内の個々のエントリの寿命を決定します。推奨される初期設定は、手動または予約による不正プログラム検索で1日、不正プログラムのリアルタイム検索で15分、変更監視の検索で1日です。
[USNの使用 (Windowsのみ)] では、Windows NTFSの更新シーケンス番号を使用するかどうかを指定します。更新シーケンス番号は、個々のファイルへの変更を記録するための番号です。このオプションは、クローンされたVMに対してのみ設定する必要があります。
[含めるファイル]と[除外するファイル]は、スキャンキャッシュに含めるまたは除外するファイルの正規表現パターンとリストです。スキャン対象のファイルは、最初に含めるリストと照合されます。
個々のファイルやフォルダーは名前で識別することができますが、ワイルドカード ("[*]"および"[?]") を使用して、単一の式で複数のファイルや場所を参照することもできます。 ("[*]"は任意の0文字以上の文字を表し、"[?]"は任意の1文字を表します。)
|
注意含むリストと除外リストは、ファイルのスキャンがスキャンキャッシュを利用するかどうかのみを決定します。これらのリストは、ファイルが従来の方法でスキャンされるのを防ぐことはありません。
|
不正プログラム検索のキャッシュ設定
仮想マシンで使用するスキャンキャッシュ構成を選択するには、[コンピュータエディタとポリシーエディタ]を開き、[不正プログラム対策]→[詳細]→[VMスキャンキャッシュ]に移動します。リアルタイム不正プログラムスキャンに使用するスキャンキャッシュ構成と、手動およびスケジュールされたスキャンに使用するスキャンキャッシュ構成を選択できます。
変更監視の検索のキャッシュ設定
仮想マシンで使用する検索キャッシュ設定を選択するには、[コンピュータエディタとポリシーエディタ] を開き、[変更監視]→[詳細設定]→[VMスキャンキャッシュ] の順に進みます。
検索キャッシュの管理設定
スキャンキャッシュ設定は、スキャンキャッシュの実行方法ではなく、Virtual Applianceがスキャンキャッシュを管理する方法を決定するため、スキャンキャッシュ構成には含まれません。スキャンキャッシュ設定はポリシーレベルで制御されます。スキャンキャッシュ設定は、[ポリシーエディタ]を開いて[設定]→[一般]→[Virtual Applianceスキャン]エリアに移動することで見つけることができます。
[同時検索の最大数]は、Virtual Applianceが同時に実行するスキャンの数を決定します。推奨される数は5です。この数を10以上に増やすと、スキャンのパフォーマンスが低下する可能性があります。スキャン要求はVirtual
Applianceによってキューに入れられ、到着順に実行されます。この設定は手動スキャンとスケジュールスキャンに適用されます。
[不正プログラムの手動検索キャッシュの最大エントリ数: 不正プログラムの手動検索または予約検索を実行したときに保持するファイルやその他の検索可能な内容を特定するレコードの最大数を指定します。100万件のエントリは約100MBのメモリを使用します。
[不正プログラムのリアルタイム検索キャッシュの最大エントリ数] により、リアルタイムによる不正プログラム検索での、保存対象のファイルやその他の検索可能コンテンツを特定および説明するレコードの最大数が決まります。100万件のエントリは約100MBのメモリを使用します。
[変更監視の検索キャッシュの最大エントリ数]は、変更監視のベースラインデータに含まれるエンティティの最大数を決定します。20万のエンティティは約100MBのメモリを使用します。
初期設定を変更する場合
スキャンキャッシュは、同一ファイルを二度スキャンすることを避けるために設計されています。Deep Securityは、ファイルが同一かどうかを判断するためにすべてのファイルの内容を調べるわけではありません。設定によっては、Deep
SecurityはファイルのUSN値をチェックすることができ、リアルタイムスキャン中にはファイルの部分的な内容を読み取りますが、一般的にはファイル属性を調べてファイルが同一かどうかを判断します。いくつかの不正プログラムがファイルに変更を加え、その後ファイル属性を元の状態に戻すことは困難ですが不可能ではありません。
Deep Securityは、デフォルトのキャッシュ有効期限を短く設定することで、この潜在的な脆弱性を制限します。セキュリティを強化するために、キャッシュの有効期限をさらに短く設定したり、USNを使用したりすることができますが、これによりパフォーマンスの利点が減少したり、より大きなキャッシュ設定が必要になったりする可能性があります。VMを分離してスキャン結果を共有しないようにするためには、これらのVM専用のポリシーを作成することで、別々のゾーンに保持するような形にすることができます。これは、同じインフラストラクチャを共有する異なる部門や組織がある場合に適しているかもしれません。(マルチテナントDeep
Security Managerでは、これは各テナントに対して自動的に強制されます。)
ESXiホストごとに非常に多くのゲストVMがある場合 (例えば、VDI環境)、スキャン中にディスクI/OとCPU使用率をモニタする必要があります。スキャンに時間がかかりすぎる場合は、キャッシュのサイズを増やすか、スキャンキャッシュ設定を調整してパフォーマンスを向上させる必要があるかもしれません。キャッシュサイズを増やす必要がある場合は、Deep
Security Virtual Applianceのシステムメモリも調整する必要があるかもしれません。