1. SAP 顧客環境は、SAP NetWeaver プラットフォームのセキュリティコンポーネントである SAP Virus Scan Interface (VSI) を通じて保護されています。VSI は、ドキュメント、埋め込み画像、JavaScript や PDF および Microsoft Office ドキュメント内のスクリプトなど、あらゆる形式のコンテンツを保護するために使用されます。Scanner は、SAP NetWeaver テクノロジーおよび SAP HANA プラットフォームとシームレスに連携します。
2. Scanner は、SAP NetWeaver テクノロジープラットフォームにアップロードされたコンテンツをスキャンして、その真のタイプを判定し、NetWeaver VSI インターフェースを介して SAP システムに報告します。コンテンツスキャンは、ドキュメント内に埋め込まれたり偽装されたりする可能性のある悪意のあるスクリプトコンテンツから保護します。
3. SAP管理者は、許可する実際のドキュメントの種類に応じてポリシーを設定できます。

Workload Security およびSAPコンポーネント

• Workload Security: 管理者がセキュリティポリシーを構成し、エージェントに保護を展開するために使用する集中型のウェブベース管理コンソール。
• エージェント: コンピュータに直接展開されたセキュリティエージェントです。その保護の性質は、各エージェントがWorkload Securityから受け取るルールとセキュリティ設定に依存します。
• SAP NetWeaver: SAP統合技術コンピューティングプラットフォーム。SAP NetWeaverウイルス検索インターフェース (NW-VSI) は、実際の検索を行うサードパーティ製品にウイルス検索機能を提供します。NW-VSIインターフェースは有効化する必要があります。
• SAP NetWeaver ABAP WinGUI: SAP NetWeaver用のWindows管理コンソールです。このドキュメントでは、エージェントとSAP NetWeaverウイルス検索インターフェースの設定に使用されます。

Workload Security ScannerとSAP NetWeaverの統合を有効にする

1. Workload Securityアカウント用のスキャナーを購入します。注文が完了すると、Workload Securityコンソールでスキャナーを確認できます。スキャナーが有効かどうかを確認するには、[コンピュータ]または[ポリシー]エディターを開き、[設定]に移動します。[Scanner]タブが表示されるはずです。
2. プラットフォーム別のサポート機能を確認して、どのオペレーティングシステムがScannerをサポートしているかを確認してください。
3. サポートされているオペレーティングシステムのいずれかを実行しているSAPアプリケーションサーバにエージェントをインストールします。エージェントのインストールを参照してください。
4. SAPサーバをWorkload Securityに追加し、SAPサーバでエージェントを有効化します。SAPサーバをWorkload Securityに追加し、エージェントを有効化するを参照してください。
5. コンピュータまたはポリシーでSAP統合機能を有効にします。セキュリティプロファイルの割り当てを参照してください。
6. 次のトランザクションを呼び出してSAPウイルススキャンインターフェース (VSI) を構成します。SAPを構成してエージェントを使用するを参照してください。
   • VSCANGROUP
   • VSCAN
   • VSCANPROFILE
   • VSCANTEST

Deep Security Agentをインストールする

1. Deep Securityソフトウェアのダウンロードページにアクセスして、OS用のエージェントパッケージをダウンロードしてください。
2. ターゲットシステムにエージェントをインストールします。OSに応じてrpmまたはzypperを使用できます。この例では、次のコマンドを実行してrpmを使用します: rpm -ihv Agent-Core-SuSE_<version>.x86_64.rpm

SAPサーバーをWorkload Securityに追加し、Deep Security Agentを有効化する

• -aはagentを有効化するコマンドです
• dsm://managerurl:443/ は、エージェントをWorkload Securityに指すパラメータです。managerurl はWorkload SecurityのURLであり、443 はエージェントとマネージャ間のデフォルト通信ポートです。

1. Workload Securityコンソールで、[コンピュータ]タブに移動します。
2. コンピュータ名をクリックし、次に[詳細]をクリックして、コンピュータのステータスが管理されていることを確認してください。

セキュリティプロファイルを割り当てる

1. [コンピュータ]または[ポリシー]エディターで、[不正プログラム検索] → [一般]に移動します。
2. [不正プログラム検索]セクションで、[設定]を[オン](または[継承 (オン)]) に設定し、[保存]をクリックします。
   
3. [リアルタイム検索]、[手動検索]、または[予約検索]セクションで、[不正プログラム検索設定]と[スケジュール]を設定するか、それらの設定を親ポリシーから継承することを許可します。
4. [保存]をクリックします。不正プログラム対策モジュールのステータスが[オフ、インストール保留中]に変わります。これは、エージェントがWorkload Securityから必要なモジュールを取得していることを意味します。これが機能するためには、クライアントがリレーのリスニングポート番号にアクセスする必要があります。数分後、エージェントは不正プログラム対策パターンや検索エンジンなどのセキュリティ更新のダウンロードを開始するはずです。
5. [コンピュータ]エディターで、[設定] → [Scanner]に移動します。
6. [SAP]セクションで、[設定]を[オン](または[継承 (オン)]) に設定し、[保存]をクリックします。

SAP を構成して Deep Security Agent を使用する

1. トレンドマイクロScannerグループを構成する または Java環境でトレンドマイクロScannerグループを構成する
2. トレンドマイクロウイルススキャンプロバイダを設定する または Java環境でトレンドマイクロウイルススキャンプロバイダを設定する
3. トレンドマイクロのウイルススキャンプロファイルを設定する または Java環境でトレンドマイクロのウイルススキャンプロファイルを設定する
4. ウイルススキャンインターフェイスをテストするまたはJava環境でウイルススキャンインターフェイスをテストする

トレンドマイクロのスキャナグループを設定する

1. SAP WinGUIで[VSCANGROUP]トランザクションを実行します。編集モードで[New Entries]をクリックします。
   
2. [Scanner Group]フィールドにグループ名を指定し、[Group Text]フィールドにスキャナーグループの説明を入力して、新しいスキャナーグループを作成します。
   
3. [保存]アイコンをクリックするか、編集モードを終了してください。
   [ワークベンチリクエストのプロンプト]ダイアログが表示されます。次の例では、VSI関連のすべての変更を追跡するために新しいWorkbenchリクエストが作成されます。
   

トレンドマイクロのウイルススキャンプロバイダを設定する

1. SAP WinGUIで[VSCAN]トランザクションを実行します。編集モードで[New Entries]をクリックします。
   
2. VSI認定ソリューションの設定を入力します。
   この例では、以下のパラメータを設定します
   

   設定	値	説明
   プロバイダの種類	ADAPTER (Virus Scan Adapter)	自動的に設定されます (初期設定)。
   プロバイダ名	VSA_<ホスト名>	自動的に設定され、エイリアスとして機能します。
   検索グループ	前の手順で設定したグループを選択します。	入力ヘルプを使用して、以前に作成されたすべてのスキャナグループを表示できます。
   ステータス	Active (Application Server)	自動的に設定されます (初期設定)。
   サーバ	nplhost_NPL_42	自動的に設定されるホスト名です。
   Reinit.Interv.	8時間	ウイルススキャンアダプタが再初期化されて新しいウイルス定義がロードされるまでの時間を指定します。
   アダプタパス（Linux）	/lib64/libsapvsa.so	初期設定のパスです。
   アダプタパス（Windows）	C:\Program Files\Trend Micro\Deep Security Agent\lib\dsvsa.dll	初期設定のパスです。

3. [保存]アイコンをクリックするか、編集モードを終了してください。
   これをワークベンチ要求にまとめるプロンプトが表示されます。
4. リクエストを確認し、[開始]をクリックしてください。
   [ステータス]ライトが緑色に点灯すると、アダプターがロードされてアクティブであることを意味します。
   

トレンドマイクロのウイルススキャンプロファイルを設定する

1. SAP WinGUIで[VSCANPROFILE]トランザクションを実行し、ウイルス検索が必要なSAP操作を選択してください。
   例えば、[/SCET/GUI_UPLOAD]または[/SCET/GUI_DOWNLOAD]のために[アクティブ]を選択し、次に[保存]アイコンをクリックします。
   
2. 編集モードで、[New Entries]をクリックします。
   ウイルス検索プロファイルでは、特定のトランザクション (ファイルのアップロード、ファイルのダウンロードなど) をウイルス検索インタフェースに応じて処理する方法を定義します。アプリケーションサーバで設定済みのウイルス検索アダプタを使用するには、新しいウイルス検索プロファイルを作成する必要があります。
3. [検索プロファイル]でZ_TMProfileを入力し、[アクティブ]、[初期設定プロファイル]、[プロファイル構成パラメータを評価]を選択します。
   
4. 編集モードのまま、[手順]フォルダをダブルクリックして手順を設定します。
   
5. [New Entries]をクリックします。
   ステップは、プロファイルがトランザクションから呼び出されたときの動作を定義します。
6. [Position]を0に、[種類]をグループに、[Scanner Group]を以前に設定したグループ名に設定します。
7. [保存]アイコンをクリックするか、編集モードを終了してください。
   最終的に既存のウイルス検索プロファイル[/SCET/DP_VS_ENABLED]に関する通知が表示されます。
8. 既存のプロファイルはアクティブではなく、使用されていないため、通知は無視してください。
   この通知を確認すると、この設定をカスタマイズ要求に含めるように求められます。新しい要求を作成すると、加えられた変更を追跡できます。
   
9. 手順の構成パラメータを作成するには、[Profile Configuration Parameters]フォルダをダブルクリックし、[New Entries]をクリックしてパラメータを設定します。

   パラメータ	種類	説明
   CUST_ACTIVE_CONTENT	BOOL	ファイルにスクリプト (JavaScript、PHP、またはASPスクリプト) が含まれているかどうかを確認し、ブロックします。
   CUST_CHECK_MIME_TYPE	BOOL	ファイル拡張子名がそのMIMEタイプと一致するかどうかを確認します。一致しない場合、ファイルはブロックされます。 すべてのMIMEタイプと拡張子名は正確に一致している必要があります。例えば、Microsoft Wordファイルは.docまたは.dotでなければなりません。JPEG画像ファイルは.jpgでなければなりません。ただし、テキストファイルとバイナリファイルは、他の既知のファイルの拡張子でない限り、任意の拡張子を持つことができます。つまり、.txtまたは.binは可能ですが、.docや.jpgは不可です サポートされているMIMEタイプを参照してください。

10. [Step Configuration Parameters]フォルダをダブルクリックし、[New Entries]をクリックしてパラメータを設定してください。

    パラメータ	種類	説明	Linuxのデフォルト	Windowsのデフォルト
    SCANBESTEFFORT	BOOL	検索はベストエフォートで実行する必要があります。つまり、SCANALLFILESやSCANEXTRACTなど、VSAによるオブジェクトの検索を許可するすべてのセキュリティクリティカルフラグを有効にする必要があります。また、内部フラグも有効にする必要があります。これらのフラグの詳細は、証明書に保存できます。	未設定	未設定
    SCANALLFILES	BOOL	ファイル拡張子に関係なくすべてのファイルをスキャンします。	disabled	disabled
    SCANEXTENSIONS	CHAR	VSAが検索するファイル拡張子のリスト。設定された拡張子を持つファイルのみがチェックされます。他の拡張機能はブロックされます。ここでワイルドカードを使用してパターンを検索することもできます。 \*はこの場所とその次の場所を表し、?は、この文字のみを表します。たとえば、exe;com;do?;ht* =>\`\*\` は、すべてのファイルを検索することを意味します。	null	「」
    SCANLIMIT	INT	この設定は、圧縮ファイルに適用されます。解凍して検索するファイルの最大数を指定します。	INT_MAX	65535
    SCANEXTRACT	BOOL	アーカイブまたは圧縮オブジェクトを解凍します。	有効	有効
    SCANEXTRACT_SIZE	SIZE_T	最大解凍サイズです。	0x7FFFFFFF	62914560 (60 MB)
    SCANEXTRACT_DEPTH	INT	オブジェクトが解凍される最大の深さ (階層) です。	20	20
    SCANLOGPATH	CHAR	VSAのカスタムログパス。 通常のファイルへの絶対パス、または通常のファイルを作成できる場所への絶対パスである必要があります。実行可能ファイルのパスにすることはできません。 限られたログメッセージのみが記録されます。例えば、検出された不正プログラムです。 Deep Security Agent 20 LTSのアップデート2024-05-02でサポートされています。	未設定	未設定
    SCANMIMETYPES	CHAR	スキャン対象となるMIMEタイプのリストです。設定されたMIMEタイプのファイルのみがチェックされます。それ以外のMIMEタイプはブロックされます。このパラメータは、CUST_CHECK_MIME_TYPEが有効になっている場合にのみ機能します。	未設定	未設定
    BLOCKMIMETYPES	CHAR	ブロックされるMIMEタイプのリスト。このパラメータは、CUST_CHECK_MIME_TYPEが有効になっている場合にのみ機能します。	未設定	未設定
    BLOCKEXTENSIONS	CHAR	ブロックするファイル拡張子のリスト。	未設定	未設定

ウイルススキャンインタフェースをテストする

1. SAP WinGUIで[VSCANTEST]トランザクションを実行します。
   
   VSI対応の各SAPアプリケーションサーバには、設定ステップが正しく実行されたかどうかをチェックするテストも組み込まれています。そのため、特定のスキャンツールを呼び出すことのできるトランザクションにEICARテストウイルス (www.eicar.org) が追加されます。
2. 何も入力しないと、前の手順で設定した初期設定のプロファイルが呼び出されるため、何も入力しないでください。
3. [実行]をクリックします。
   EICARテストウイルスの説明が表示されます。
4. 通知を確認します。
   トランザクションがインターセプトされました：
   

1. トランザクションが初期設定のウイルススキャンプロファイル (Z_TMPROFILE) を呼び出します。
2. ウイルススキャンプロファイルZ_TMPROFILEは、ウイルススキャングループZ_TMGROUPからアダプタを呼び出すように設定されています。
3. ウイルススキャングループZ_TMGROUPには複数のアダプタが設定されており、そのうちの1つが呼び出されます (この例ではVSA_NPLHOST)。
4. ウイルススキャンアダプタから、ウイルスが見つかったことを示す値「2-」が返されます。
5. 検出された不正プログラムに関する情報として、Eicar_test_1およびファイルオブジェクト/tmp/ zUeEbZZ_TMPROFILEが表示されます。
6. ステップ00 (ウイルススキャングループ) が失敗してファイルトランザクションの処理が停止されたため、呼び出された初期設定のウイルススキャンプロファイルZ_TMPROFILEが失敗します。

Java 環境でトレンドマイクロスキャナーグループを構成する

1. SAP NetWeaver Administrator にログインします。
2. [設定]タブを選択し、次に[Virus Scan Provider]を選択します。
   
3. 変更モードで、[グループ] タブを開き、[追加] をクリックします。
4. [グループ名]フィールドにグループ名を入力し、[続行]をクリックします。これにより、[ウイルス検索グループ]リストに新しい行が追加されます。
   
5. [ウイルス検索グループの詳細]の一部である[グループの説明]フィールドに、[設定]タブでグループの説明を入力してください。
6. [Default Scan Group]を選択して、このグループをデフォルトグループとして使用します。

Java 環境でトレンドマイクロウイルススキャンプロバイダを構成する

1. 変更モードで、[アダプタ]タブにて、[追加]をクリックして、ウイルス検索アダプタとしてウイルス検索プロバイダを作成します。
2. [アダプタ名]フィールドを使用して、定義済みの接頭辞の後に名前の残りの部分を追加し、[続行]をクリックします。名前は[VSA]で始まり、その後にアンダースコアが付加されている必要があります。これにより、[ ウイルス検索アダプタ]グループに新しい行が追加されます。
   
3. VSA共有ライブラリのパスを指定してください。UNIXでは/lib64/libsapvsa.so、WindowsではC:\Program Files\Trend Micro\Deep Security Agent\lib\dsvsa.dllです。
4. [Scan Group]リストから選択してください。
5. [初期設定の検索プロバイダ]を選択します。
6. 設定を保存して、ウイルススキャンプロバイダーを有効にします。
   

Java 環境でトレンドマイクロのウイルススキャンプロファイルを設定する

1. [プロファイル] タブで、[追加] をクリックして変更モードでウイルス検索プロファイルを作成します。
2. [プロファイル名 ]フィールドに、定義済みの接頭辞の後に続く名前を入力し、[続行]をクリックします。これにより、[ウイルス検索プロファイル]グループに新しい行が追加されます。
3. [ウイルス検索プロファイルの詳細]の下で[設定]タブを選択し、[初期設定の検索プロファイル]痕跡を設定して参照情報プロファイルとして編集するプロファイルを選択します。
   • デフォルトプロファイルを使用するには、[レファレンスプロファイル]リストから[初期設定プロファイル]を選択してください。
   • レファレンスプロファイルを使用するには、[レファレンスプロファイル]リストから新しいプロファイルをリンクする既存のレファレンスプロファイルを選択します。ウイルス検索プロファイルが他のウイルス検索プロファイルをレファレンスプロファイルとして使用できるため、複数のアプリケーションを同じウイルス検索プロファイルで操作することが可能です。
4. 新しいプロファイルを定義するには、[追加]をクリックし、次のフィールドに入力してください。

   フィールド	説明
   プロファイル名	新しいプロファイルの名前。
   プロフィールの説明	新しいプロフィールの説明。
   参照プロファイル	選択すると、他のフィールドが非表示になります。
   手順リンク	このプロファイルのステップの連携: - すべての手順が成功: ANDリンクでは、全体の結果が成功するためには、すべての手順が成功する必要があります。 - 少なくとも1つの手順が成功: ORリンク、全体の結果が成功するためには1つの手順が成功するだけでよい。
   プロフィールの手順	このプロファイルの手順。

5. [プロファイルのステップ]グループでプロファイル手順を次のように指定します。
   • [追加] をクリックします。
   • [Step Type]リストからグループまたは別のプロファイルを選択して使用してください。
   • グループまたはプロファイルの値を指定してください。
   • [上へ移動]、[下に移動]、[削除]を使用して[プロファイルのステップ]リストを設定します。
   
6. プロファイルを有効にするには、入力内容を保存し、[ウイルス検索プロファイル]グループでプロファイルを選択してから、[有効にする]をクリックしてください。

1. 編集モードで該当するプロファイルの[パラメータ]タブを選択します。
2. [追加] をクリックして新しいエントリを作成します。
3. エントリを保存します。

Java環境でウイルススキャンインターフェースをテストする

1. /vscantestパスの下でテストアプリケーションを開始します。
2. 提供されたテストデータまたは自身のローカルファイルを使用して、チェックするオブジェクトを指定します。
3. テストするウイルススキャンプロファイル、スキャナーグループ、またはウイルススキャンプロバイダーを選択します。
4. 次のいずれかのオプションを選択します
   • [Check only] - 指定されたウイルス対策製品はデータをウイルススキャンし、結果を表示します。
   • [Check and clean] - 指定されたウイルス対策製品は、スキャンして結果を表示するだけでなく、ウイルス感染が診断された場合にデータをクリーンアップしようとします。
5. [Execute the action]をクリックしてテストを開始します。

サポートされているMIMEタイプ

• Agentバージョン9.6ではVSAPI 9.85が使用されます。
• Agentバージョン10.0はATSE 9.861を使用します。
• Agentバージョン10.1はATSE 9.862を使用します。
• Agentバージョン10.2、10.3、11.0、11.1、および11.2ではATSE 10.000が使用されます。
• Agentバージョン11.3以降ではATSE 11.0.000を使用