SAP NetWeaverとの統合

Deep SecurityおよびSAPコンポーネント

• [Deep Security Manager]: 管理者がセキュリティポリシーを設定してDeep Security Agentの保護を実施するのに使用する、Webベースの管理コンソール。
• [Deep Security Agent]: コンピュータに直接展開されたセキュリティエージェントです。その保護の性質は、各セキュリティエージェントがDeep Security Managerから受け取るルールとセキュリティ設定に依存します。
• [SAP NetWeaver]: SAP 統合技術コンピューティングプラットフォーム。SAP NetWeaver Virus Scan Interface (NW-VSI) は、実際の検索を実行するサードパーティ製品にウイルス検索機能を提供します。NW-VSI インターフェースを有効にする必要があります。
• [SAP NetWeaver ABAP WinGUI:] SAP NetWeaverに使用されるWindows管理コンソール。このドキュメントでは、Deep Security AgentおよびSAP NetWeaver Virus Scan Interfaceの設定に使用されます。

Deep Security ScannerとSAP NetWeaverの統合を有効にする

1. Deep Security Scannerを有効化する。
2. プラットフォーム別のサポート機能を確認して、どのオペレーティングシステムがDeep Security Scannerをサポートしているかを確認してください。
3. サポートされているオペレーティングシステムのいずれかを実行しているSAPアプリケーションサーバにDeep Security Agentをインストールします。エージェントのインストールを参照してください。
4. Deep SecurityにSAPサーバを追加し、SAPサーバでエージェントを有効化します。Deep Security ManagerへのSAPサーバの追加、およびエージェントの有効化を参照してください。
5. コンピュータまたはポリシーでSAP統合を有効にします。セキュリティプロファイルの割り当てを参照してください。
6. 次のトランザクションを呼び出してSAPウイルススキャンインターフェース (VSI) を構成します (エージェントを使用するようにSAPを構成するを参照)。

   • VSCANGROUP
   • VSCAN
   • VSCANPROFILE
   • VSCANTEST

Deep Security Scannerを有効にする

1. Deep Security Managerで、[管理]→[ライセンス]に進みます。
2. [新しいアクティベーションコードを入力]を選択してください。
3. [追加機能]の下にある[Deep Security Scanner]エリアにDeep Security Scannerのアクティベーションコードを入力し、[次へ]を選択して指示に従ってください。

エージェントをインストールする

1. トレンドマイクロのダウンロードセンター (http://downloadcenter.trendmicro.com) にアクセスし、お使いのOSに対応するDeep Security Agentパッケージをダウンロードしてください。
2. ターゲットシステムにエージェントをインストールします。OSに応じて、rpmまたはzypperを使用できます。この例では、rpmを使用して次のように入力します: rpm -ihv Agent-Core-SuSE_<version>.x86_64.rpm
3. Agentのインストールが完了したことを通知する次のような出力が表示されます。
   

Deep Security ManagerにSAPサーバを追加してエージェントを有効化する

1. SAPサーバを追加するには、Deep Security Managerコンソールを開き、[コンピュータ]タブで[新規]をクリックします。サーバを追加する方法はいくつかあり、Microsoft Active Directory、VMware vCenter、Amazon Web Services、またはMicrosoft Azureとの同期があります。また、FQDNまたはIPアドレスを使用してコンピュータを追加することもできます。詳細な手順については、コンピュータの追加を参照してください。
2. お使いのインスタンスのステータスは、[管理されていない (アクティベーションが必要)] または [管理されていない (不明)] です。次に、エージェントを有効化する必要があります。これにより、マネージャがコンピュータを保護するためのルールとポリシーを割り当てることができます。有効化プロセスには、エージェントとマネージャ間での一意のフィンガープリントの交換が含まれます。これにより、1つの Deep Security Manager のみがエージェントと通信できることが保証されます。エージェントを有効化する方法は、エージェントによるものとマネージャによるものの2つがあります。

   • Managerからの有効化: この方法では、Deep Security Managerがエージェントのハートビート用リスニングポート番号を介してエージェントのFQDNまたはIPに接続できる必要があります。これは、NATポートフォワーディング、ファイアウォール、またはAWSセキュリティグループのために困難な場合があります。マネージャ開始のアクティベーションを実行するには、Deep Security Managerコンソールの[コンピュータ]タブに移動し、エージェントがインストールされているインスタンスを右クリックして[アクション]→[有効化]を選択します。マネージャ開始のアクティベーションを使用する場合は、不正なDeep Security ManagerからDeep Security Agentを保護することも強く推奨されます。
   • Agentからのリモート有効化: この方法では、Deep Security Agentがハートビートのためにマネージャのリスニングポート番号を介して設定されたDeep Security Managerアドレスに接続できる必要があります。
     Deep Security Managerのアドレス (FQDNまたはIP) は、 Deep Security Managerコンソールの [管理]→[Managerノード]で確認できます。
     また、[管理]→[システム設定]→[エージェント]を選択し、次に[Agentからのリモート有効化を許可]を選択して、Deep Security Managerコンソールからエージェントによるアクティベーションを有効にする必要があります。
     次に、Deep Security Agentでローカルに実行されるコマンドラインツールを使用して、アクティベーションプロセスを開始します。最小限のアクティベーション手順には、アクティベーションコマンドとマネージャのURL (ポート番号を含む) が含まれます。
     dsa_control -a dsm://[managerurl]:[port]/
     指定する項目は次のとおりです。
     • -aはagentを有効化するコマンドです
     • dsm://managerurl:4120/ はエージェントをDeep Security Managerに指すパラメータです。managerurl はDeep Security ManagerのURLであり、4120 はエージェントとマネージャ間のデフォルト通信ポートです。
     アクティベーションコマンドに必要なパラメータはマネージャURLのみです。追加のパラメータも利用可能です (コマンドラインの基本を参照してください)
     以下の例では、Agentからのリモート有効化を使用するために次のように入力します。
     /opt/ds_agent/dsa_control -a dsm://cetl-dsm.ceur-testlab.trendmicro.de:4120/
     
     上記の出力は、Agentの有効化が完了したことを示しています。
3. アクティベーションを確認するには、Deep Security Managerコンソールで[コンピュータ]タブに移動し、コンピュータ名を選択してから[詳細]を選択し、コンピュータのステータスが管理対象であることを確認します。

セキュリティプロファイルを割り当てる

1. [コンピュータエディタ]で[不正プログラム対策]→[一般]に移動します。
2. [不正プログラム対策]セクションで、[設定]を[オン](または[継承 オン]) に設定し、[保存]をクリックします。
3. [リアルタイム検索]、[手動検索]、または[予約検索]セクションで、[不正プログラム検索設定]と[スケジュール]を設定するか、それらの設定を親ポリシーから継承するようにします。
4. [保存]をクリックします。不正プログラム対策モジュールのステータスが[オフ、インストール保留中]に変更されます。これは、エージェントが必要なモジュールをDeep Security Managerから取得していることを意味します。これが機能するためには、クライアントがRelayのリスニングポート番号でDeep Security Relayにアクセスする必要があります。数分後、エージェントは不正プログラム対策パターンやスキャンエンジンなどのセキュリティアップデートのダウンロードを開始するはずです。
5. [コンピュータ]エディターで、[設定]→[Scanner]に移動します。
6. [SAP]セクションで、[設定]を[オン](または[継承 オン]) に設定し、[保存]をクリックします

Agentを使用するようにSAPを設定する

1. トレンドマイクロScannerグループを構成する または Java環境でトレンドマイクロScannerグループを構成する
2. トレンドマイクロウイルススキャンプロバイダを構成する または Java環境でトレンドマイクロウイルススキャンプロバイダを構成する
3. トレンドマイクロのウイルススキャンプロファイルを設定する または Java環境でトレンドマイクロのウイルススキャンプロファイルを設定する
4. ウイルススキャンインターフェースをテストする または Java環境でウイルススキャンインターフェースをテストする

トレンドマイクロのスキャナグループを設定する

1. SAP WinGUIで[VSCANGROUP]トランザクションを実行します。編集モードで[新しいエントリ]をクリックします。
2. 新しいScannerグループを作成し、[Scanner Group]領域にグループ名を指定し、[グループテキスト]領域にScannerグループの説明を入力します。
3. [保存]アイコンをクリックして編集モードを終了します。[ワークベンチリクエストのプロンプト]ダイアログが表示されます。次の例では、VSI関連のすべての変更を追跡するために新しいワークベンチリクエストが作成されます:

トレンドマイクロのウイルススキャンプロバイダを設定する

1. SAP WinGUIで[VSCAN]トランザクションを実行します。編集モードで[新しいエントリ]をクリックします。
2. VSI認定ソリューションの新しい構成を入力してください。以下の例では、次の構成パラメータが設定されています:

   設定	Value	説明
   プロバイダの種類	ADAPTER (Virus Scan Adapter)	自動的に設定されます (初期設定)。
   プロバイダ名	VSA_<ホスト名>	自動的に設定され、エイリアスとして機能します。
   検索グループ	前の手順で設定したグループを選択します。	入力ヘルプを使用して、以前に作成されたすべてのスキャナグループを表示できます。
   ステータス	Active (Application Server)	自動的に設定されます (初期設定)。
   サーバ	nplhost_NPL_42	自動的に設定されるホスト名です。
   Reinit.Interv.	8時間	ウイルススキャンアダプタが再初期化されて新しいウイルス定義がロードされるまでの時間を指定します。
   アダプタパス（Linux）	/lib64/libsapvsa.so	初期設定のパスです。
   アダプタパス（Windows）	C:\Program Files\Trend Micro\Deep Security Agent\lib\dsvsa.dll	初期設定のパスです。

3. 編集モードを終了するには、[保存]アイコンをクリックしてください。これをワークベンチリクエストにパックするためのプロンプトが表示されます。
4. リクエストを確認し、[開始]をクリックします。[ステータス]ライトが緑色に変わり、アダプターがロードされてアクティブになったことを示します:

トレンドマイクロのウイルススキャンプロファイルを設定する

1. SAP WinGUIで[VSCANPROFILE]トランザクションを実行し、ウイルススキャンが必要なSAP操作を選択します。例えば、[/SCET/GUI_UPLOAD]または[/SCET/GUI_DOWNLOAD]の「アクティブ」チェックボックスをチェックし、[保存]アイコンをクリックします。
2. 編集モードで[新しいエントリ]をクリックします。ウイルススキャンプロファイルは、特定のトランザクション (ファイルのアップロード、ファイルのダウンロードなど) がウイルススキャンインターフェースに対応してどのように処理されるかを定義します。アプリケーションサーバで以前に構成されたウイルススキャンアダプタを使用するには、新しいウイルススキャンプロファイルを作成する必要があります。
3. [スキャンプロファイル]フィールドにZ_TMProfileを入力し、[有効]、[デフォルトプロファイル]、[プロファイル構成パラメータを評価]を選択します。
4. 編集モードのまま、左側の[手順]をダブルクリックして手順を設定します:
5. [新しいエントリ] をクリックします。ステップは、プロファイルがトランザクションから呼び出されたときの動作を定義します。
6. [位置]を0に、[種類]をグループに、[Scanner Group]を以前に設定したグループ名に設定します。
7. [保存] アイコンをクリックして編集モードを終了します。既存のウイルススキャンプロファイル [/SCET/DP_VS_ENABLED] に関する通知が表示されます。
8. 既存のプロファイルに関する通知は無視してください。プロファイルはアクティブではなく、使用されていません。この通知を確認した後、カスタマイズリクエストにこの設定をパックするよう求められます。新しいリクエストを作成することで、行われた変更を追跡するのに役立ちます。
9. ステップの構成パラメータを作成するには、左側の[プロファイル構成パラメータ]をダブルクリックし、次に[新しいエントリ]をクリックしてパラメータを設定します。

   パラメータ	種類	説明
   CUST_ACTIVE_CONTENT	BOOL	ファイルにスクリプト (JavaScript、PHP、またはASPスクリプト) が含まれているかどうかを確認し、ブロックします。
   CUST_CHECK_MIME_TYPE	BOOL	ファイル拡張子名がMIMEタイプと一致するか確認します。一致しない場合、ファイルはブロックされます。すべてのMIMEタイプと拡張子名は正確に一致させることができます。例えば: Microsoft Wordファイルは.docまたは.dotでなければなりません JPEGファイルは.jpgでなければなりません テキストファイルとバイナリファイルは、他の既知のファイルの拡張子でない限り、任意の拡張子を持つことができます。つまり、.txt や .bin は可能ですが、.doc や .jpg は不可です サポートされているMIMEタイプを参照してください。

10. 左側の[ステップ構成パラメータ]をダブルクリックし、[新しいエントリ]を選択してパラメータを設定します。

    パラメータ	種類	説明	初期設定（Linux）	初期設定（Windows）
    SCANBESTEFFORT	BOOL	検索はベストエフォートで実行する必要があります。つまり、SCANALLFILESやSCANEXTRACTなど、VSAによるオブジェクトの検索を許可するすべてのセキュリティクリティカルフラグを有効にする必要があります。また、内部フラグも有効にする必要があります。これらのフラグの詳細は、証明書に保存できます。	(not set)	(not set)
    SCANALLFILES	BOOL	ファイル拡張子に関係なくすべてのファイルをスキャンします。	disabled	disabled
    SCANEXTENSIONS	CHAR	VSAがスキャンするファイル拡張子のリスト。設定された拡張子のみがチェックされます。他の拡張子はブロックされます。ワイルドカードもここでパターン検索に使用できます。*はこの場所およびそれ以降を表し、?はこの文字のみを表します。例えば、exe;com;do?;ht* => \`\*\`はすべてのファイルをスキャンすることを意味します。	null	「」
    SCANLIMIT	INT	この設定は圧縮ファイルに適用されます。解凍されてスキャンされるファイルの最大数を指定します。	INT_MAX	65535
    SCANEXTRACT	BOOL	アーカイブまたは圧縮オブジェクトを解凍します。	有効	有効
    SCANEXTRACT_SIZE	SIZE_T	最大解凍サイズです。	0x7FFFFFFF	62914560 (60 MB)
    SCANEXTRACT_DEPTH	INT	オブジェクトが解凍される最大の深さ (階層) です。	20	20
    SCANLOGPATH	CHAR	VSAのカスタムログパス。 通常のファイルへの絶対パス、または通常のファイルを作成できる場所への絶対パスである必要があります。実行可能ファイルのパスは使用できません。 制限されたログメッセージのみが記録されます。例えば、検出された不正プログラムです。 Deep Security Agent 20 LTS 2024-05-02のアップデートでサポートされています。	(not set)	(not set)
    SCANMIMETYPES	CHAR	スキャン対象のMIMEタイプのリスト。設定されたMIMEタイプのファイルのみがチェックされます。他のMIMEタイプはブロックされます。このパラメータは、CUST_CHECK_MIME_TYPEが有効な場合にのみ機能します。	(not set)	(not set)
    BLOCKMIMETYPES	CHAR	ブロックされるMIMEタイプのリスト。このパラメータは、CUST_CHECK_MIME_TYPEが有効な場合にのみ機能します。	(not set)	(not set)
    BLOCKEXTENSIONS	CHAR	ブロックされているファイル拡張子のリストです。	(not set)	(not set)

ウイルススキャンインタフェースをテストする

1. SAP WinGUIで[VSCANTEST]トランザクションを実行します。VSI対応の各SAPアプリケーションサーバには、設定ステップが正しく実行されたかどうかをチェックするテストも組み込まれています。そのため、特定のスキャンツールを呼び出すことのできるトランザクションにEICARテストウイルス (www.eicar.org) が追加されます。
2. 値を指定しない場合、前のステップで設定されたデフォルトプロファイルが呼び出されるため、何も設定しないでください。
3. [実行]をクリックします。EICARテストウイルスについて説明する通知が表示されます。
4. 通知を確認してください。トランザクションが傍受されました:

1. トランザクションが初期設定のウイルススキャンプロファイル (Z_TMPROFILE) を呼び出します。
2. ウイルススキャンプロファイルZ_TMPROFILEは、ウイルススキャングループZ_TMGROUPからアダプタを呼び出すように設定されています。
3. ウイルススキャングループZ_TMGROUPには複数のアダプタが設定されており、そのうちの1つが呼び出されます (この例ではVSA_NPLHOST)。
4. ウイルススキャンアダプタから、ウイルスが見つかったことを示す値「2-」が返されます。
5. 検出された不正プログラムに関する情報として、Eicar_test_1およびファイルオブジェクト/tmp/ zUeEbZZ_TMPROFILEが表示されます。
6. ステップ00 (ウイルススキャングループ) が失敗してファイルトランザクションの処理が停止されたため、呼び出された初期設定のウイルススキャンプロファイルZ_TMPROFILEが失敗します。

Java 環境でトレンドマイクロスキャナーグループを構成する

1. SAP NetWeaver Administrator にログインします。
2. [設定]タブを選択し、[ウイルススキャンプロバイダ]を選択します。
3. 変更モードで、[グループ]タブの[追加]をクリックします。
4. [設定]タブで、V[ウイルススキャングループの詳細]の一部である[グループの説明]フィールドにグループの説明を入力します。
5. [デフォルトスキャングループ]を選択してこのグループをデフォルトグループとして使用します。

Java 環境でトレンドマイクロウイルススキャンプロバイダを構成する

1. 変更モードで、[アダプター]タブにて[追加]をクリックして、ウイルススキャンアダプタとしてウイルススキャンプロバイダを作成します。
2. [アダプター名]フィールドを使用して、定義済みの接頭辞の後に名前の残りの部分を追加し、次に[続行]をクリックします。名前はVSA_で始まる必要があります。これにより、[ウイルススキャンアダプター]グループに新しい行が追加されます。
3. VSA共有ライブラリのパスを指定してください。UNIXでは/lib64/libsapvsa.so、WindowsではC:\Program Files\Trend Micro\Deep Security Agent\lib\dsvsa.dllです。
4. [スキャングループ]リストから選択してください。
5. [デフォルトスキャンプロバイダ]を選択してください。
6. 構成を保存してウイルススキャンプロバイダを有効にします。

Java 環境でトレンドマイクロのウイルススキャンプロファイルを設定する

1. [プロファイル]タブで[追加]をクリックして、変更モードでウイルススキャンプロファイルを作成します。
2. [プロファイル名]フィールドに、定義済みの接頭辞の後に続く名前を入力し、[続行]をクリックします。これにより、[ウイルススキャンプロファイルグループ]に新しい行が追加されます。
3. [ウイルススキャンプロファイルの詳細]の下で[設定]タブを選択し、[デフォルトスキャンプロファイル]インジケーターを設定して参照情報プロファイルとして編集するプロファイルを選択します。

   • デフォルトプロファイルを使用するには、[参照情報プロファイル]リストから[デフォルトプロファイル]を選択してください。
   • 参照情報プロファイルを使用するには、[参照情報プロファイル]リストから新しいプロファイルをリンクする既存の参照情報プロファイルを選択します。これは、ウイルススキャンプロファイルが他のウイルススキャンプロファイルを参照情報プロファイルとして使用できるため、複数のアプリケーションを同じウイルススキャンプロファイルで操作できるためです。
4. 新しいプロファイルを定義するには、[追加]をクリックし、次のフィールドに入力してください。

   フィールド	説明
   プロファイル名	新しいプロファイルの名前。
   プロファイルの説明	新しいプロフィールの説明。
   参照情報プロファイル	選択すると、他のフィールドが非表示になります。
   手順リンク	このプロファイルのステップのリンク: すべてのステップが成功しました: ANDリンク、すべてのステップが成功することで全体の結果が成功します。 少なくとも1つのステップが成功: ORリンク、全体の結果が成功するためには1つのステップが成功するだけでよい。
   プロフィールの手順	このプロファイルの手順。

5. 次のように[プロファイル手順]グループのプロファイルステップを指定してください:

   • [追加]をクリックします。
   • [tepタイプ]リストからグループまたは別のプロファイルを選択して使用してください。
   • グループまたはプロファイルの値を指定してください。
   • [上へ移動]、[下へ移動]、[削除]を使用して[プロファイル手順]リストを構成します。

   
6. プロファイルを有効化するには、入力内容を保存し、[ウイルススキャンプロファイル]グループでプロファイルを選択し、[有効化]をクリックしてください。

1. 編集モードで該当するプロファイルの[パラメータ]タブを選択します。
2. [追加]をクリックして新しいエントリを作成します。
3. エントリを保存します。

Java環境でウイルススキャンインターフェースをテストする

1. /vscantestパスの下でテストアプリケーションを開始します。
2. 提供されたテストデータまたは自身のローカルファイルを使用して、チェックするオブジェクトを指定します。
3. テストするウイルススキャンプロファイル、スキャナーグループ、またはウイルススキャンプロバイダーを選択します。
4. 次のいずれかのオプションを選択します

   • [チェックのみ] - 指定されたウイルス対策製品はデータをウイルスのためにスキャンし、結果を表示します。
   • [チェックとクリーン] - 指定されたウイルス対策製品は、スキャンして結果を表示するだけでなく、ウイルス感染が診断された場合にデータをクリーンしようとします。
5. [アクションを実行]をクリックしてテストを開始します。

サポートされているMIMEタイプ

• Deep Security Agent 9.6ではVSAPI 9.85を使用
• Deep Security Agent 10.0ではATSE 9.861を使用
• Deep Security Agent 10.1ではATSE 9.862を使用
• Deep Security Agent 10.2、10.3、11.0、11.1、および11.2はATSE 10.000を使用します
• Deep Security エージェント 11.3以降はATSE 11.0.000を使用します