接続を設定する 親トピック

検索サービスを有効にしてメッセージを受信するには、接続設定を実行してください。

手順

  1. [管理][IMSVA設定][接続] の順に選択します。
    初期設定で [コンポーネント] タブが表示されます。
  2. [すべてのポリシーサービスの設定] で、次の項目を設定します。
    • プロトコル: 検索サービスがポリシーサービスとの通信に使用するプロトコルの種類として [HTTP] または [HTTPS] を選択します。
    • キープアライブ: このチェックボックスをオンにすると、検索サービスとポリシーサービス間の常時アクティブな接続が維持されるためポリシー検索が強化されます。
    • バックログされる要求数の上限: IMSVAが後で処理できるまで保持する要求の最大数を指定します。
  3. [保存] をクリックします。

LDAP設定について 親トピック

ユーザグループ定義、管理者アカウント、またはエンドユーザメール隔離の認証にLDAPを使用する場合は、LDAP情報を入力します。
複数または混合タイプのLDAPサーバを設定するには、[管理][IMSVA設定][接続] | [LDAP] 画面から行います。設定ウィザードでは、複数のLDAPサーバを設定することはできません。
複数のLDAPサーバが使用されている場合、IMSVAは、LDAPサーバのアカウント情報をIMSVAのローカルキャッシュに同期します。サーバ間の同期にかかる時間は、LDAPサーバに登録されているアカウント数によって異なります。同期が完了すると、その時間と日付が [最終同期日] 列に表示されます。IMSVAでは、アカウントが毎日自動的に同期されます。[保存して同期] をクリックすることで、手動で同期を実行することもできます。
注意
注意
設定するLDAPサーバが1つだけの場合、IMSVAはリモートLDAPサーバのデータに直接クエリを実行します。LDAPサーバが複数設定されている場合、IMSVAはリモートLDAPサーバのすべてのデータをローカルOpenLDAPサーバに同期します。この場合、LDAP設定ではエンドユーザメール隔離の認証がサポートされません。またLDAPサーバが多数ある場合は、データの同期中にパフォーマンスの問題が発生することがあります。
そのためトレンドマイクロでは、設定するLDAPサーバを5つ未満にすることをお勧めします。LDAPサーバを5つ以上設定する場合は、グローバルカタログなどの統合ディレクトリサービスを使用してクエリを管理し、IMSVAがデータをローカルサーバに同期する必要がないようにしてください。
複数のLDAPサーバが有効な場合、LDAP認証を使用する [エンドユーザメール隔離] と [エンドユーザメール隔離機能のシングルサインオン] を有効にすることはできません。
[管理][接続][LDAP] 画面でLDAP設定が指定されていない場合、次のLDAP関連の項目は機能しません。
  • [ポリシー][内部アドレス](LDAPグループの検索)
  • [ポリシー](任意のルール)[送信者から受信者](LDAPユーザおよびグループの検索)
  • [管理][エンドユーザメール隔離][ユーザメール隔離アクセス][アクセスを有効にするLDAPグループの選択]
  • [管理][管理者アカウント][追加](LDAP認証)

LDAPサーバの種類 親トピック

LDAPサーバの種類

LDAPサーバ
LDAP管理者アカウント (例)
基本識別名 (例)
認証方法
Active Directory
Kerberosを使用しない場合: user1@domain.com (UPN) またはdomain\user1
Kerberosを使用する場合: user1@domain.com
dc=domain, dc=com
簡易
詳細 (Kerberos使用)
Active Directoryグローバルカタログ
Kerberosを使用しない場合: user1@domain.com (UPN) またはdomain\user1
Kerberosを使用する場合: user1@domain.com
dc=domain, dc=com
dc=domain1, dc=com (一意のドメインが複数存在する場合)
簡易
詳細 (Kerberos使用)
OpenLDAP
cn=manager, dc=test1, dc=com
dc=test1, dc=com
簡易
Lotus Domino
user1/domain
該当なし
簡易
Sun iPlanet Directory
uid=user1, ou=people, dc=domain, dc=com
dc=domain, dc=com
簡易

LDAPサーバを追加する 親トピック

手順

  1. 次のいずれかを選択して、[LDAP] タブにアクセスします。
    • [管理][IMSVA設定][接続] | [LDAP]
    • [管理][IMSVA設定][設定ウィザード] | [手順6: LDAP設定]
  2. [追加] をクリックします。
    [LDAP設定] 画面が表示されます。
  3. LDAPサーバのわかりやすい説明を入力します。
  4. [LDAPサーバの種類] で、ネットワーク上のLDAPサーバの種類として次のいずれかを選択します。
    • Domino
    • Microsoft Active Directory
    • Microsoft Active Directoryグローバルカタログ
    • OpenLDAP
    • Sun iPlanet Directory
  5. [有効 LDAP1] のチェックボックスをオンにします。
  6. [LDAPサーバ] に、サーバの名前またはIPアドレスを指定します。
  7. [待機ポート番号] に、LDAPサーバがアクセス要求の待機ポートとして使用するポート番号を指定します。
  8. 必要に応じて [有効 LDAP2] の下の項目を設定します。
  9. [ポリシーサービスおよびEUQサービスのLDAPキャッシュ生存期限] で、[キャッシュ生存期限 (分)] を指定します。
    キャッシュ生存期限: この値によってLDAPクエリの結果がキャッシュに保持される期間が決まります。長い期間を指定すると、ポリシー実行中のLDAPクエリ機能が向上します。ただし、LDAPサーバにおける変更に対するポリシーサーバの対応は遅くなります。期間を短くすると、IMSVAがLDAPクエリをさらに頻繁に実行する必要があるため、パフォーマンスは低下します。
  10. [LDAP管理者] に、管理者アカウント、対応するパスワードおよび基本識別名を指定します。
    詳細については、LDAPサーバの種類を参照してください。
  11. 次のいずれかの認証方法を選択します。
    • 簡易
    • 詳細: Active Directoryに対してKerberos認証を使用します。次の項目を設定します。
      • Kerberos認証の初期設定のレルム: クライアントの初期設定のレルムを指定します。Windowsのドメイン名を大文字で指定する必要があります (Kerberos認証では大文字と小文字が区別されます)。
      • 初期設定のドメイン: レルムに対応するインターネットドメイン名を指定します。
      • 鍵発行局 (KDC) および管理サーバ: レルムの鍵発行局のホスト名またはIPアドレスを指定します。通常はドメインコントローラの情報を指定します。
      • 鍵発行局 (KDC) ポート番号: 発行局に関連付けられたポート番号を指定します。
  12. [IMSVAとLDAP間の暗号化通信を有効にする] チェックボックスをオンにし、[参照] をクリックしてCA証明書ファイルをアップロードし、LDAPサーバで使用する証明書を確認します。
  13. [追加] をクリックします。
    設定ウィザードを使用している場合は、[次へ] をクリックします。
    注意
    注意
    Kerberos認証をサポートするのは、Active DirectoryとActive Directoryグローバルカタログのみです。
  14. [LDAPメールアドレス属性] で、IMSVAがユーザのメールアドレスを取得するLDAP属性を選択します。
    • mail: メールアドレスを保持している初期設定のLDAP属性です。
    • proxyAddresses: Microsoft Exchange Serverを使用する場合に推奨される属性です。
    • その他の属性: メールアドレスを保持しているLDAP属性を指定します。
  15. [保存して同期] をクリックします。

LDAPサーバを有効/無効にする 親トピック

ネットワーク要件に従って、LDAPサーバを有効または無効にできます。

手順

  1. [管理][IMSVA設定][接続][LDAP] の順に選択し、[LDAP] タブにアクセスします。
  2. LDAPサーバ表で、有効または無効にするサーバをクリックします。
    [LDAP設定] 画面が表示されます。
  3. [LDAPサーバの種類] で、[有効 LDAP1][有効 LDAP2] のチェックボックスをオンまたはオフにして、LDAPサーバを有効または無効にします。
    注意
    注意
    LDAP1とLDAP2は、互いのバックアップサーバを指します。選択するチェックボックスが1つのみの場合、LDAPサーバのステータスは有効ですが、そのバックアップサーバは有効でないことになります。
  4. [保存] をクリックします。

POP3の設定をする 親トピック

SMTPトラフィックの他に、IMSVAでは、クライアントがメッセージを受信する際に、ゲートウェイでPOP3メッセージも検索できます。
ヒント
ヒント
POP3メッセージフィルタを使用するには、[システムステータス] 画面の [POP3接続を許可する] をオンにします。初期設定ではこのオプションは選択されていません。

手順

  1. [管理][IMSVA設定][接続] の順に選択します。
    初期設定では [コンポーネント] タブが表示されます。
  2. [POP3] タブをクリックします。
  3. インターネット上の任意のPOP3サーバからの接続を設定するには、IMSVAが受信POP3接続用に使用するポート番号を [一般的なPOP3接続] に指定します。
  4. 特定のPOP3サーバからの接続を設定するには、次の手順を実行します。
    1. [専用のPOP3接続] の下の [追加] をクリックします。
      [専用のPOP3接続] 画面が表示されます。
    2. IMSVAが受信POP3接続用に使用するポート番号、POP3サーバのIPアドレス、およびPOP3サーバのポート番号を指定します。
    3. [OK] をクリックします。
    4. 既存の接続を変更するには、その接続名をクリックします。
  5. [メッセージテキスト] で、ユーザが受信しようとしているメッセージがフィルタに一致して隔離または削除された場合にIMSVAからユーザに送信されるメッセージを編集します。
  6. [保存] をクリックします。
    注意
    注意
    IMSVAのデーモンが正しく動作するためには、検索サービスの受信ポートが待機状態になっている必要があります。

一般的なPOP3サービスを設定する 親トピック

一般的なPOP3サービスでは、POP3クライアントはUSERコマンドを使用してログオンし、値を区切るためにUserServerSeparator文字を使用して、ユーザ名、実際のPOP3サーバ、オプションのポート番号を指定します。
例1: UserServerSeparator文字「#」を使用して、ユーザ「User1」をサーバ「Server1」に接続する場合、クライアントは次のUSERコマンドを発行します。
USER User1#Server1
例2: Server1上のポート2000に接続する場合は、次のコマンドが使用されます。
USER User1#Server1#2000
注意
注意
ポート番号を指定しないと、IMSVAでは初期設定値の110を使用します。
次の例では、Outlookで一般的なPOP3を設定する方法を示します。

手順

  1. IMSVA検索サービスのIPアドレス「192.168.11.147」で、POP3サーバアドレスを指定します。
  2. ユーザ名「test123#192.168.11.252」を入力します。
  3. POP3ポートを110に設定します。

POP3専用サービスを設定する 親トピック

専用のPOP3サービスでは、POP3サービスは常に特定のPOP3サーバに接続されます。IMSVAでは、このサービスをPOP3ログオン、およびAUTHコマンドを使用したすべての種類のログオンに使用します。このサービスについては、クライアントの接続先となり得る特定のPOP3サーバごとに、プロキシ上で個別のポートを設定する必要があります。
次の例では、Microsoft Outlookで専用のPOP3を設定する方法を示します。

手順

  1. IMSVA検索サービスのIPアドレス「192.168.11.147」で、POP3サーバアドレスを指定します。
  2. ユーザ名「test123」を指定します。
  3. POP3ポートを1100に設定します。これは、IMSVAの専用のPOP3サービスが待機するポートです。

データベースを設定する 親トピック

IMSVAがメッセージとデータを保存できるようにデータベース接続を設定します。

手順

  1. [管理][IMSVA設定][接続] の順に選択します。
    初期設定では [コンポーネント] タブが表示されます。
  2. [データベース] タブをクリックします。
    表の上部に、IMSVA管理データベースの種類、サーバのIPアドレス、ポート番号、ユーザ名、およびデータベース名が表示されます。
    注意
    注意
    管理データベースのパスワードを変更する場合は、次のスクリプトを実行します。
    /opt/trend/imss/script/dbupdate.sh setpw newPassword
  3. [EUQデータベース] で、必要に応じてEUQデータベースを管理するための操作を実行します。
    注意
    注意
    操作の詳細については、EUQデータベースを管理するを参照してください。

Control Managerを設定する 親トピック

Trend Micro Control Manager (以下、Control Manager) を使用してIMSVAを管理するには、IMSVAサーバのControl Manager/MCPエージェントを有効にし、Control Managerサーバを設定します。Control ManagerサーバとIMSVAの間にプロキシサーバが配置されている場合は、プロキシを設定してください。Control ManagerサーバとIMSVAの間にファイアウォールが配置されている場合は、ポート転送がファイアウォールのポート転送機能と連携するように設定してください。
注意
注意
Control Managerの詳細については、Control Managerのドキュメントを参照してください。

手順

  1. [管理][IMSVA設定][接続] の順に選択します。
    初期設定では [コンポーネント] タブが表示されます。
  2. [Control Managerサーバ] タブをクリックします。
  3. [Control Managerサーバの設定] で、次のパラメータを指定します。
    オプション 説明
    MCPエージェントを有効にする
    チェックボックスをオンにしてエージェントを有効にします。
    サーバ
    Control ManagerのIPアドレスまたは完全修飾ドメイン名 (FQDN) を指定します。
    通信プロトコル
    HTTPまたはHTTPSを選択し、対応するポート番号を指定します。HTTPアクセス用の初期設定ポート番号は80であり、HTTPS用の初期設定ポート番号は443です。
    Webサーバ認証
    Control Manager Webサーバにアクセスするためのアクセスアカウント情報を指定します。
  4. [プロキシ設定] で、次のパラメータを指定します。
    オプション 説明
    プロキシを有効にする
    チェックボックスをオンにしてプロキシサーバを有効にします。
    プロキシのタイプ
    プロキシサーバが使用するプロトコルとして [HTTP][SOCKS4]、または [SOCKS5] を選択します。
    プロキシサーバ
    プロキシサーバの完全修飾ドメイン名またはIPアドレス、ポート番号、およびユーザ名とパスワードを指定します。
    ポート
    プロキシサーバのポートを指定します。
    ユーザ名
    プロキシサーバにアクセスするユーザ名を指定します。
    パスワード
    ユーザ名のパスワードを指定します。
  5. [不審オブジェクトリストの設定] で、次の操作を行います。
    • IMSVAで不審ファイルを検出する場合は、[不審ファイルリスト] チェックボックスをオンにして、Control Managerから不審ファイルリストを同期する間隔を指定します。初期設定の同期間隔は5分、最小間隔は1分です。
    • IMSVAで不審URLを検出する場合は、[不審URLリスト] チェックボックスをオンにします。
      注意
      注意
      Smart Protection Serverを介して利用可能なWebレピュテーションサービスに基づいて不審URLを検出します。WebレピュテーションとSmart Protection Serverが正しく設定されていることを確認してください。
  6. [保存] をクリックします。
    設定ウィザードを使用している場合は、[次へ] をクリックします。
    エージェントを有効にした場合、しばらくするとエージェントがControl Managerサーバに登録されます。エージェントを無効にした場合、IMSVAがただちにControl Managerサーバからログオフします。登録状況の変更については、Control Manager管理コンソールで確認してください。
    注意
    注意
    また、Control Managerのバージョンが6.0 SP3 Patch 1以上であり、Smart Protection Serverのバージョンが3.0 Patch 1以上であることを確認してください。

Control ManagerIMSVAのログオン資格情報を指定する 親トピック

設定を有効にするには、Control Manager管理コンソールでIMSVAの認証用のログオン資格情報を指定します。

手順

  1. Control Managerの管理コンソールにログオンします。
  2. [運用管理][管理下のサーバ] の順に選択します。
  3. [サーバの種類] の横で、[InterScan Messaging Security Virtual Appliance] を選択します。
  4. 対象のIMSVAサーバを見つけて、[処理] 列にある [編集] アイコンをクリックします。
    [サーバの編集] 画面が表示されます。
  5. [認証] で、IMSVAのログオン資格情報を指定します。
    注意
    注意
    IMSVAの管理用に、Control Managerの初期設定の「admin」アカウントとは別の管理者アカウントを作成することをお勧めします。このアカウントは、Control Manager管理コンソールでの認証に必要になります。
  6. [保存] をクリックします。

Control Managerの登録を解除する 親トピック

手順

  1. [管理][IMSVA設定][接続] の順に選択します。
    初期設定では [コンポーネント] タブが表示されます。
  2. [Control Managerサーバ] タブをクリックします。
  3. [全エージェントを登録解除] ボタンをクリックします。

Trend Vision One統合設定 親トピック

Trend Vision Oneは、エンドポイントを超えて検出と対応を拡張し、広範な可視性と専門家によるセキュリティ分析を提供することで、より多くの検出と迅速な対応を実現します。Trend Vision Oneにより、効果的に脅威に対応し、侵害の重大度と範囲を最小限に抑えることができます。
Trend Vision Oneとの統合により、IMSVAがログをTrend Vision Oneに転送して、相関検出やその他の高度な分析を行うことができます。

IMSVAをTrend Vision Oneに統合する 親トピック

ポリシーイベントログをTrend Vision Oneに転送するには、IMSVAをTrend Vision Oneと統合します。次のいずれかの接続方法を使用してTrend Vision Oneと統合できます。
  • 直接接続
  • Service Gateway経由
  • システムのプロキシサーバ経由
重要
重要
統合設定を行う前に、最新のHotFixを適用してください。

手順

  1. Trend Vision Oneで登録トークンを生成します。
    1. Trend Vision Oneコンソールで、[Service Management][Product Instance] または [Service Management][Product Connector] に移動します。
    2. [既存製品を追加] または [接続] をクリックします。
    3. [インスタンスタイプ] または [製品] フィールドで、InterScan Messaging Security Virtual Applianceを選択します。
    4. リンクをクリックして登録トークンを生成します。
    5. IMSVA管理コンソールで使用する登録トークンをコピーします。
    6. [保存] をクリックします。
  2. IMSVA管理コンソールで、[管理][IMSVA設定][接続][Trend Vision One] に移動します。
  3. [Trend Vision Oneトークン] の横に、手順で取得した登録トークンを貼り付けます。
  4. Service Gatewayまたはシステムのプロキシサーバ経由で統合するには、追加の設定を行います。
    • Service Gateway経由
      1. Trend Vision Oneコンソールで、[Workflow and Automation][Service Gateway Management] に移動します。
      2. 既存のService Gatewayが配信されていない場合は、Service Gatewayをインストールします。
        詳細な手順については、導入ガイドを参照してください。
      3. Service Gatewayの名前をクリックします。
      4. [サービスを管理] をクリックします。
      5. インストールアイコンをクリックしてインストールし、[転送プロキシ] サービスを有効にしてください。
      6. IMSVA管理コンソールで使用するために、Service GatewayのIPアドレスを記録します。
      7. IMSVA管理コンソールで、[管理][IMSVA設定][接続][Trend Vision One] に移動します。
      8. [Service Gateway接続を有効にする] を選択します。
      9. この手順で取得したService GatewayのIPアドレスを指定します。
    • システムのプロキシサーバ経由
      1. [プロキシサーバを使用して接続する] を選択します。
      2. リンクをクリックし、IMSVAでプロキシサーバを設定します。
  5. [ログをTrend Vision Oneに転送する] を選択します。
  6. [登録] をクリックします。

Trend Vision OneからのIMSVAの登録を解除する 親トピック

重要
重要
Trend Vision OneからIMSVAを登録解除した後、再度Trend Vision Oneに登録するには、新しい登録トークンを取得する必要があります。

手順

  1. [管理][IMSVA設定][接続][Trend Vision One] に移動します。
  2. [登録解除] をクリックします。
    IMSVAがTrend Vision Oneから切断され、Trend Vision Oneへのデータ送信が停止されます。

NTPを設定する 親トピック

Network Time Protocol (NTP) により、インターネットを介してコンピュータシステムのクロックを同期させます。IMSVAデバイスのコンピュータクロックとNTPサーバのクロックを同期させるには、NTPを設定します。

手順

  1. [管理][IMSVA設定][接続] の順に選択します。
    初期設定では [コンポーネント] タブが表示されます。
  2. [NTP設定] タブをクリックします。
  3. [NTPを有効にする] チェックボックスをオンにします。
  4. NTPサーバのドメイン名またはIPアドレスを指定します。
  5. [保存] をクリックします。

下位IPアドレスを設定する 親トピック

下位IPアドレスリストに含まれるデバイスは、グループ内の内部通信のために相互にアクセスできます。下位デバイスを上位デバイスに登録するには、まず現在のグループの下位デバイスのすべてのIPアドレスをこのリストに追加します。

手順

  1. [管理][IMSVA設定][接続] の順に選択します。
    初期設定では [コンポーネント] タブが表示されます。
  2. [下位IPアドレス] タブをクリックします。
  3. [IPアドレスの追加] で、下位デバイスのIPアドレスを指定します。
  4. [>>] をクリックします。
    そのアドレスが表に表示されます。
  5. [保存] をクリックします。