ビュー:
エージェントをインストールする前に、ソフトウェアのZIPパッケージとインストーラファイルのデジタル署名を確認する必要があります。正しいデジタル署名は、ソフトウェアがトレンドマイクロからの正規品であり、破損または改ざんされていないことを示します。
ソフトウェアのチェックサム、セキュリティアップデートおよびエージェントモジュールのデジタル署名も検証できます。Workload Securityがアップデートの整合性を検証する方法を参照してください。

ソフトウェアZIPパッケージの署名の確認 親トピック

Deep Security Agentとオンラインヘルプは、ZIPパッケージで提供されます。これらのパッケージはデジタル署名されています。 ZIPファイルのデジタル署名は、次の方法で確認できます。

ZIPをマネージャからエクスポートすることで 親トピック

エージェントインストーラーのエクスポートの指示に従ってZIPファイルをエクスポートします。エクスポート時に、Workload SecurityはZIPファイルのデジタル署名を確認します。署名が有効であれば、Workload Securityはエクスポートを許可します。署名が無効または欠落している場合、Workload Securityはアクションを禁止し、ZIPを削除し、イベントを記録します。

ZIPのプロパティファイルを表示することで 親トピック

手順

  1. Workload Security コンソールにログインします。
  2. 上部の [管理] をクリックします。
  3. 左側で、[アップデート][ソフトウェア][ローカル] を展開します。
  4. デジタル署名を確認するZIPパッケージを見つけてダブルクリックします。
    ZIPファイルの[プロパティ]ページが開き、管理者がデジタル署名を確認します。署名に問題がない場合は、[署名]フィールドに緑色のチェックマークが表示されます。署名が有効でないか、存在しない場合、管理者はZIPを削除し、イベントをログに記録します。
    crypto-dig-sig-zip-good=f1675917-044e-448f-a851-dd43b1aea64c.png

jarsignerを使用する 親トピック

マネージャを介して署名を確認できない場合は、jarsigner Javaユーティリティを使用してZIPの署名を確認します。例えば、Deep Securityソフトウェアページなどの非マネージャソースからエージェントZIPパッケージを取得し、エージェントを手動でインストールしたい場合です。このシナリオでは、マネージャが関与しないため、jarsignerユーティリティを使用します。jarsignerを使用して署名を確認するには:

手順

  1. 最新のJava Development Kitをコンピュータにインストールしてください。
  2. ZIPをダウンロードします。
  3. JDK内のjarsignerユーティリティを使用して署名を確認します。次のコマンドを実行してください: jarsigner -verify -verbose -certs -strict <ZIP_file> 例えば: jarsigner -verify -verbose -certs -strict Agent-RedHat_EL7-11.2.0-124.x86_64.zip
  4. エラー (エラーがある場合) と証明書の内容を読んで、署名が信頼できるかどうかを判断します。

インストーラーファイル(EXE、MSI、RPM、DEBファイル)の署名を確認する 親トピック

Deep Security AgentおよびDeep Security Notifierのインストーラは、RSAを使用してデジタル署名されています。インストーラは、Windows上のEXEまたはMSIファイル、Linux OS上のRPMファイル (Amazon、CloudLinux、Oracle、Red Hat、およびSUSE)、またはDebianおよびUbuntu上のDEBファイルです。
次の手順は、インストーラーファイルのデジタル署名を手動で確認する方法を説明しています。この確認を自動化するには、エージェントのデプロイメントスクリプトに含めることができます。デプロイメントスクリプトの詳細については、デプロイメントスクリプトを使用してコンピュータを追加および保護するを参照してください。
確認するインストーラファイルの種類に対応する指示に従います。

EXEまたはMSIファイルの署名の確認 親トピック

手順

  1. EXEファイルまたはMSIファイルを右クリックし、[プロパティ]を選択します。
  2. [デジタル署名] タブをクリックし、署名を確認します。

RPMファイルの署名の確認 親トピック

まず、GnuPGをインストールします。 親トピック

GnuPGを、署名を確認する予定のエージェントコンピュータにインストールしてください。まだインストールされていない場合、このユーティリティには署名キーをインポートし、デジタル署名を確認するために必要なGPGコマンドラインツールが含まれています。
注意
注意
GnuPGは、ほとんどのLinuxディストリビューションに初期設定でインストールされています。

次に、署名キーをインポートします。 親トピック

手順

  1. エージェントのZIPファイルのルートフォルダにある3trend_public.ascファイルを探します。ASCファイルには、デジタル署名を検証するために使用できるGPG公開署名キーが含まれています。
  2. 必要に応じて、任意のハッシュユーティリティを使用してASCファイルのSHA-256ハッシュダイジェストを検証してください。ハッシュは次の通りです: c59caa810a9dc9f4ecdf5dc44e3d1c8a6342932ca1c9573745ec9f1a82c118d7(エージェントバージョン20.0.0-2593以前の場合)bd3b00763db11cee2a6b990428d506f11cf86c68354388fe9cc41fa7e6c9ddae(エージェントバージョン20.0.0-2971以降の場合)7a7509c5458c762f6a341820a93e09f0f1b9dd3258608753e18d26575e9c730f(エージェントバージョン20.0.1-3180以降の場合)
  3. シグネチャをチェックするエージェントコンピュータで、ASCファイルをインポートします。次のコマンドを使用します。
    注意
    注意
    コマンドでは大文字と小文字が区別されます。
    gpg --import 3trend_public.asc
    次のメッセージが表示されます。
    gpg: directory '/home/build/.gnupg' created
gpg: new configuration file '/home/build/.gnupg/gpg.conf' created
gpg: WARNING: options in '/home/build/.gnupg/gpg.conf' are not yet active during this run
gpg: keyring '/home/build/.gnupg/secring.gpg' created
gpg: keyring '/home/build/.gnupg/pubring.gpg' created
gpg: /home/build/.gnupg/trustdb.gpg: trustdb created
gpg: key E1051CBD: public key "Trend Micro (trend linux sign) <alloftrendetscodesign@trendmicro.com>" imported
gpg: Total number processed: 1
gpg: imported: 1 (RSA: 1)
  4. ASCファイルからGPG公開署名キーをエクスポートします: gpg --export -a 'トレンドマイクロ' > RPM-GPG-KEY-CodeSign
  5. GPG公開署名キーをRPMデータベースにインポートします: sudo rpm --import RPM-GPG-KEY-CodeSign
  6. GPG公開署名キーがインポートされていることを確認してください: rpm -qa gpg-pubkey*
  7. インポートされたGPG公開鍵のフィンガープリントが表示されます。トレンドマイクロのものは次のとおりです: gpg-pubkey-e1051cbd-5b59ac99(エージェントバージョン20.0.0-2593以前の場合) gpg-pubkey-e1051cbd-6030cc3a(エージェントバージョン20.0.0-2971以降の場合) gpg-pubkey-e1051cbd-659d0a3e(エージェントバージョン20.0.1-3180以降の場合) 署名鍵はインポートされ、エージェントRPMファイルのデジタル署名を確認するために使用できます。

最後に、RPMファイルの署名を確認します。 親トピック

ヒント
ヒント
以下の説明に従ってRPMファイルの署名を手動で確認する代わりに、デプロイスクリプトにそれを実行させることができます。詳細については、デプロイスクリプトを使用してコンピュータを追加および保護するを参照してください。
このコマンドを使用してください: rpm -K Agent-PGPCore-<OS agent version>.rpm 例: rpm -K Agent-PGPCore-RedHat_EL7-11.0.0-950.x86_64.rpm 上記のコマンドをAgent-**PGP**Core-<...>.rpmファイルで実行してください。Agent-Core-<...>.rpmで実行しても動作しません。エージェントZIP内にAgent-PGPCore-<...>.rpmファイルが見つからない場合は、より新しいZIPを使用する必要があります。具体的には:
  • Deep Securityエージェント 11.0 Update 15以降のアップデートまたは
  • Deep Securityエージェント12 Update 2以降または
  • Deep Securityエージェント20以降署名の検証が成功すると、次のメッセージが表示されます: Agent-PGPCore-RedHat_EL7-11.0.0-950.x86_64.rpm: rsa sha1 (md5) pgp md5 OK

DEBファイルの署名の確認 親トピック

まず、dpkg-sigユーティリティをインストールします 親トピック

Debian 12より前のバージョンおよびUbuntu 23.10より前のバージョンでは、署名を確認する予定のエージェントコンピュータにdpkg-sigをインストールしてください。すでにインストールされていない場合、このユーティリティには署名キーをインポートし、デジタル署名を確認するために必要なGnuPGコマンドラインツールが含まれています。
Debianバージョン12以降およびUbuntu 23.10以降ではdpkg-sigユーティリティは利用できません。署名キーをインポートし、デジタル署名を確認するには、GnuPGコマンドラインツールを使用できます。

次に、署名キーをインポートします。 親トピック

手順

  1. エージェントのZIPファイルのルートフォルダにある3trend_public.ascファイルを探します。ASCファイルには、デジタル署名を検証するために使用できるGPG公開署名キーが含まれています。
  2. 必要に応じて、任意のハッシュユーティリティを使用してASCファイルのSHA-256ハッシュダイジェストを検証してください。ハッシュは以下の通りです: c59caa810a9dc9f4ecdf5dc44e3d1c8a6342932ca1c9573745ec9f1a82c118d7(エージェントバージョン20.0.0-2593以前の場合)bd3b00763db11cee2a6b990428d506f11cf86c68354388fe9cc41fa7e6c9ddae(エージェントバージョン20.0.0-2971以降の場合)7a7509c5458c762f6a341820a93e09f0f1b9dd3258608753e18d26575e9c730f(エージェントバージョン20.0.1-3180以降の場合)
  3. 署名を確認する予定のエージェントコンピュータで、ASCファイルをGPGキーリングにインポートします。次のコマンドを使用してください: gpg --import 3trend_public.asc 次のメッセージが表示されます:
    gpg: key E1051CBD: public key "Trend Micro (trend linux sign) <alloftrendetscodesign@trendmicro.com>" imported
gpg: Total number processed: 1
gpg: imported: 1 (RSA: 1)
  4. オプションで、トレンドマイクロのキー情報を表示します。次のコマンドを使用します: gpg --list-keys 次のようなメッセージが表示されます:
    /home/user01/.gnupg/pubring.gpg
-------------------------------
pub 2048R/E1051CBD 2018-07-26 [expires: 2021-07-25]
uid Trend Micro (trend linux sign) <alloftrendetscodesign@trendmicro.com>
sub 2048R/202C302E 2018-07-26 [expires: 2021-07-25]

最後に、DEBファイルの署名を確認します。 親トピック

DEBファイルの署名を手動で検証する代わりに、デプロイメントスクリプトにそれを行わせることができます。詳細については、デプロイメントスクリプトを使用してコンピュータを追加および保護するを参照してください。
Debianバージョン12以前およびUbuntuバージョン23.10以前で署名を手動で検証するには、次のコマンドを実行してください:
dpkg-sig --verify <agent_deb_file>
<agent_deb_file> はエージェントDEBファイルの名前とパスです。例:
dpkg-sig --verify Agent-Core-Ubuntu_16.04-12.0.0-563.x86_64.deb
次の処理メッセージが表示されることを予期してください:
エージェント-Core-Ubuntu_16.04-12.0.0-563.x86_64.debを処理中...
署名が正常に確認されると、次のメッセージが表示されます。
GOODSIG _gpgbuilder CF5EBBC17D8178A7776C1D365B09AD42E1051CBD 1568153778
Debian 12以降のバージョンおよびUbuntu 23.10以降のバージョンで署名を手動で検証するには、次のコマンドを実行します:
gpg --verify <agent_deb_file>
<agent_deb_file> はエージェントDEBファイルの名前とパスです。例:
gpg --verify Agent-Core-Ubuntu_24.04-20.0.2-1390.x86_64.deb
署名が正常に確認されると、次のメッセージが表示されます。
gpg: Signature made Thu Jan 2 08:55:50 2025 UTC
gpg: using RSA key CF5EBBC17D8178A7776C1D365B09AD42E1051CBD
gpg: Good signature from "Trend Micro (trend linux sign) <alloftrendetscodesign@trendmicro.com>" [unknown]
Primary key fingerprint: CF5E BBC1 7D81 78A7 776C 1D36 5B09 AD42 E105 1CBD