SAP NetWeaverとの統合

Scanner 機能を使用すると、 Workload Securityを使用してSAP環境を保護し、不正プログラム、クロスサイトスクリプティング、SQLインジェクションなどのさまざまな脅威を含む攻撃から重要な情報を保護できます。Workload Security は、SAP NetWeaverテクノロジプラットフォームにアップロードされたコンテンツを検索して実際の種類を判断し、NetWeaver-VSIインタフェース経由でSAPシステムに報告します。コンテンツ検索は、ドキュメント内に埋め込まれたり偽装されている可能性のある不正なスクリプトコンテンツから保護します。SAP管理者は、許可するドキュメントの種類に応じてポリシーを設定できます。

Scanner は、Relay有効化済みAgentがインストールされたコンピュータではサポートされません。

Scannerは次のように機能します。

1. SAPユーザ環境は、SAP NetWeaverプラットフォームのセキュリティコンポーネントであるSAP Virus Scan Interface（VSI）によって保護されます。VSIは、ドキュメント、埋め込み画像、およびJavaScriptやスクリプトなどのアクティブなコンテンツを含むすべての形式の顧客コンテンツを保護するために使用されます。Scanner 機能は、SAP NetWeaverテクノロジおよびSAPHANA®プラットフォームとシームレスに連携します。
2. Workload SecurityScanner 機能は、SAP NetWeaverテクノロジプラットフォームにアップロードされたコンテンツを検索してその実際の種類を判断し、NetWeaver VSIインタフェース経由でSAPシステムに報告します。コンテンツ検索は、ドキュメント内に埋め込まれたり偽装されている可能性のある不正なスクリプトコンテンツから保護します。
3. SAP管理者は、許可する実際のドキュメントの種類に応じてポリシーを設定できます。

Workload Security およびSAPコンポーネント

Workload Security は、SAP NetWeaverサーバにあるエージェントに接続します。Agentがlibsapvsaまたはdsvsa.dll (トレンドマイクロが提供する検索用のウイルスアダプタ) に接続します。

このソリューションを構成するコンポーネントは以下のとおりです。

• Workload Security：管理者がセキュリティポリシーを設定し、エージェントに保護を適用するために使用する一元化されたWebベースの管理コンソールです。
• Agent：コンピュータに直接インストールされるセキュリティエージェント。この保護の性質は、各エージェントが Workload Securityから受信するルールとセキュリティ設定によって異なります。
• SAP NetWeaver：SAP統合テクノロジコンピューティングプラットフォーム。SAP NetWeaver Virus Scan Interface (NW-VSI) は、実際の検索を実行するサードパーティ製品にウイルス検索機能を提供します。NW-VSIインタフェースを有効化する必要があります。
• SAP NetWeaver ABAP WinGUI：SAP NetWeaver用のWindows管理コンソールです。このドキュメントでは、 エージェントおよびSAP NetWeaver Virus Scan Interfaceの設定に使用します。

Workload Security ScannerとSAP NetWeaverの統合を有効にする

1. Workload Securityアカウント用にScannerを購入します。注文が完了すると、 Workload SecurityコンソールにScannerが表示されます。Scannerが有効になっているかどうかを確認するには、 Computer または Policy エディタを開き、 [ Settings] に移動します。 [ Scanner ] タブが表示されます。
2. プラットフォーム別サポート機能で、 ScannerをサポートするOSを確認します。
3. サポートされているいずれかのオペレーティングシステムを実行しているSAPアプリケーションサーバにエージェントをインストールします。「 エージェントのインストール」を参照してください。
4. Workload SecurityにSAPサーバを追加し、SAPサーバでエージェントを有効化します。「SAPサーバーをWorkload Security に追加し、エージェントを有効化する」を参照してください。
5. コンピュータまたはポリシーでSAP統合機能を有効にします。「 セキュリティプロファイルを割り当てる」を参照してください。
6. 以下のトランザクションを呼び出して、SAP Virus Scan Interface (VSI) を設定します。「Agentを使用するようにSAPを設定する」を参照してください。
   • VSCANGROUP
   • VSCAN
   • VSCANPROFILE
   • VSCANTEST

オペレーティングシステムと環境によっては、出力が若干異なる場合があります。

エージェントをインストールする

エージェントは、エージェントのコア機能のみとともにインストールされます。SUSE Linux Enterprise ServerまたはRed Hat Enterprise LinuxにAgentをインストールした後、Agentで各保護モジュールを有効にします。このときに、保護モジュールに必要なプラグインがダウンロードされ、インストールされます。

1. Deep Securityソフトウェアのダウンロードページ に移動し、OSに対応したエージェントパッケージをダウンロードします。
2. Agentをターゲットシステムにインストールします。OSに応じて、rpmまたはzypperを使用できます。この例では、rpmは次のように入力して使用します。
   rpm -ihv Agent-Core-SuSE_<version>.x86_64.rpm

3. Agentのインストールが完了したことを通知する次のような出力が表示されます。

   

Workload Securityから生成されたインストールスクリプトを使用してエージェントをインストールすることもできます。

AgentのSAPサーバへのインストールは完了しましたが、保護モジュールはまだ有効になっていません。保護を有効にするには、SAPサーバを Workload Securityに追加する必要があります。

SAPサーバをWorkload Securityに追加し、エージェントを有効化する

SAPサーバを追加するには、 Workload Security コンソールを開き、[ コンピュータ] タブで [新規]をクリックします。サーバを追加するには、Microsoft Active Directory、VMware vCenter、Amazon Web Services、またはMicrosoft Azureとの同期を含めて、複数の方法があります。FQDNまたはIPアドレスを使用してコンピュータを追加することもできます。詳細な手順については、「 コンピュータの追加について」を参照してください。

インスタンスのステータスが 非管理 (アクティベーションが必要) または 非管理 (不明)です。次に、コンピュータを保護するルールとポリシーをWorkload Securityで割り当てる前に、Agentを有効化する必要があります。有効化プロセスには、AgentとWorkload Security間での一意のフィンガープリントの交換が含まれます。 Agentを有効化するには、Agentからの起動とManagerからの起動の2つの方法があります。

Managerからの有効化： この方法では、 Workload Security （マネージャ）が、ハートビート用の エージェントの待機ポート番号を介してエージェントのFQDNまたはIPに接続できる必要があります。ただし、NATポート転送、ファイアウォール、またはAWSセキュリティグループが原因で難しい場合があります。Managerからのアクティベーションを実行するには、 Workload Security コンソールの[ Computers ]タブに移動し、エージェントがインストールされているインスタンスを右クリックして、[Actions]→[Activate]をクリックします。Managerからのリモート有効化を使用する場合は、 エージェント も権限のないManagerから保護することを強くお勧めします。

Agentからのリモート有効化: Agentから開始する方法では、Agentが Workload Securityに接続できる必要があります。

また、Workload Securityコンソールから [Agentからのリモート有効化を許可] を選択して、Agentからのリモート有効化を有効にする必要があります。

次に、ローカルで実行するコマンドラインツールを使用して、有効化エージェントを開始します。最小有効化指示には、有効化コマンドと Workload Security URL（ポート番号を含む）が含まれています。

dsa_control -a dsm://[managerurl]:[port]/

指定する項目は次のとおりです。

• -a はエージェントを有効化するコマンドです。
• dsm://managerurl:443/ は、エージェントがWorkload Securityを参照するようにするパラメータです。 managerurl はWorkload SecurityのURLで、 443 はAgentからManagerへの初期設定の通信ポートです。

有効化コマンドに必須のパラメータは、マネージャのURLのみです。追加のパラメータも使用できます。使用可能なパラメータのリストについては、「コマンドラインの基本」を参照してください。

有効化を確認する手順は次のとおりです。

1. Workload Security コンソールで、[ コンピュータ] タブに移動します。
2. コンピュータ名をクリックし、[ 詳細 ] をクリックして、コンピュータのステータスが [管理対象] になっていることを確認します。

セキュリティプロファイルを割り当てる

この時点でのAgentのステータスは [管理対象 (オンライン)] ですが、保護モジュールはインストールされていません。これは、エージェントと Workload Security は通信しているが、エージェントが設定を使用していないことを意味します。

保護を適用するには、いくつかの方法があります。この例では、SAPインスタンス上で直接、不正プログラム対策とSAPを有効化し、初期設定の検索設定を割り当てます。

1. [コンピュータ] エディタまたは [ポリシー] エディタで、[不正プログラム対策]→[一般] の順に選択します。

2. 不正プログラム対策 セクションで、 Configuration を On （または Attached On）に設定し、[ Save]をクリックします。

   

3. [リアルタイム検索]、[手動検索]、または [予約検索] のセクションで、[不正プログラム検索設定] および [スケジュール] を設定するか、それらの設定を親ポリシーから継承するように設定します。

4. [保存] をクリックします。不正プログラム対策モジュールのステータスが、[オフ、インストール保留中] に変わります。これは、エージェントが必要なモジュールを Workload Securityから取得していることを意味します。この機能を使用するには、クライアントが リレーの待機ポート番号で Relay にアクセスする必要があります。しばらくすると、エージェントは不正プログラム対策パターンファイルや検索エンジンなどのセキュリティアップデートのダウンロードを開始します。
5. コンピュータエディタで、[設定]→[Scanner] に進みます。
6. [ SAP ]セクションで、[ Configuration ]を[ On ]（または[ Inherited On ]）に設定し、[ Save ]をクリックします。

Agentのステータスが再び [管理対象 (オンライン)] に変わり、不正プログラム対策モジュールとScanner (SAP) モジュールのステータスが [オン] に変わったら、SAPの設定に進むことができます。

Agentを使用するようにSAPを設定する

エージェントが起動し、そのオペレーティングシステムのファイルシステムを検索できるようになりました。次に、エージェントにSAPアプリケーションサーバを認識させます。これを使用するには、アプリケーションサーバ内にウイルス検索アダプタを作成します。ウイルス検索アダプタはグループに属している必要があります。ウイルス検索アダプタとウイルス検索グループを作成したら、ウイルス検索プロファイルを使用して、検索対象と動作を設定します。

必要な手順は次のとおりです。

1. トレンドマイクロのスキャナグループを設定する
2. トレンドマイクロのウイルススキャンプロバイダを設定する
3. トレンドマイクロのウイルススキャンプロファイルを設定する
4. ウイルススキャンインタフェースをテストする

ウイルス検索グループとウイルス検索アダプタはどちらもグローバル設定 (クライアント00) です。ウイルス検索プロファイルは、各テナント (クライアント01、02など) で設定する必要があります。

トレンドマイクロのスキャナグループを設定する

1. SAP WinGUIで、 VSCANGROUP トランザクションを実行します。編集モードにして、New Entries をクリックします。

   

2. Scanner Group 領域にグループ名を、 Group Text 領域に Scanner グループの説明を指定して、新しい Scanner グループを作成します。

   

3. [Save ] アイコンをクリックするか、編集モードを終了します。

   [ Prompt for Workbench request ] ダイアログが表示されます。次の例では、VSI関連のすべての変更を追跡するために、新しいワークベンチ要求が作成されます。

   

次の手順で、VSI統合を実際に設定します。これはウイルススキャンアダプタと呼ばれます。

トレンドマイクロのウイルススキャンプロバイダを設定する

1. SAP WinGUIで、 VSCAN トランザクションを実行します。編集モードにして、New Entries をクリックします。

   

2. VSI認定ソリューションの設定を入力します。

   次の例では、次の設定パラメータが設定されています。

   

   設定	値	説明
   プロバイダの種類	ADAPTER (Virus Scan Adapter)	自動的に設定されます (初期設定)。
   プロバイダ名	VSA_<ホスト名>	自動的に設定され、エイリアスとして機能します。
   検索グループ	前の手順で設定したグループを選択します。	入力ヘルプを使用して、以前に作成されたすべてのスキャナグループを表示できます。
   ステータス	Active (Application Server)	自動的に設定されます (初期設定)。
   サーバ	nplhost_NPL_42	自動的に設定されるホスト名です。
   Reinit.Interv.	8 Hours	ウイルススキャンアダプタが再初期化されて新しいウイルス定義がロードされるまでの時間を指定します。
   アダプタパス（Linux）	/lib64/libsapvsa.so	初期設定のパスです。
   アダプタパス（Windows）	C:\Program Files\Trend Micro\Deep Security Agent\lib\dsvsa.dll	初期設定のパスです。

3. [Save ] アイコンをクリックするか、編集モードを終了します。

   これをワークベンチ要求にまとめるプロンプトが表示されます。

4. 要求を確認し、[ Start] をクリックします。

   Status ランプが緑色に変わります。これは、アダプタがロードされ、アクティブであることを示します。

   

ここまでで、VSIの設定はほぼ完了です。アプリケーションサーバは、トレンドマイクロが提供するウイルス検索を使用してファイルトランザクションを処理する準備ができました。

トレンドマイクロのウイルススキャンプロファイルを設定する

1. SAP WinGUIで、VSCANPROFILEトランザクションを実行し、ウイルススキャンが必要なSAPの操作を選択します。

   たとえば、 /SCET/GUI_UPLOAD または /SCET/GUI_DOWNLOAD に対して Active を選択し、 Save アイコンをクリックします。

   

2. 編集モードにして、[New Entries] をクリックします。

   ウイルス検索プロファイルでは、特定のトランザクション (ファイルのアップロード、ファイルのダウンロードなど) をウイルス検索インタフェースに応じて処理する方法を定義します。アプリケーションサーバで設定済みのウイルス検索アダプタを使用するには、新しいウイルス検索プロファイルを作成する必要があります。

3. [ Scan Profile]で、「Z_TMProfile」と入力し、[ Active Default Profile] を選択し、 Evaluate Profile Configuration Param [] を選択します。

   

4. 編集モードで、 Steps フォルダをダブルクリックして手順を設定します。

   

5. [New Entries] をクリックします。

   ステップは、プロファイルがトランザクションから呼び出されたときの動作を定義します。

6. Position を0、 Type をGroup、 Scanner Group を前に設定したグループの名前に設定します。

7. [Save ] アイコンをクリックするか、編集モードを終了します。

   最終的に、既存のウイルス検索プロファイル /SCET/DP_VS_ENABLEDに関する通知が表示されます。

8. 既存のプロファイルはアクティブではなく、使用されていないため、通知は無視してください。

   この通知を確認すると、この設定をカスタマイズ要求に含めるように求められます。新しい要求を作成すると、加えられた変更を追跡できます。

   

9. ステップの設定パラメータを作成するには、 [Profile Configuration Parameters] フォルダをダブルクリックし、[New Entries] をクリックしてパラメータを設定します。

   パラメータ	種類	説明
   CUST_ACTIVE_CONTENT	BOOL	ファイルにスクリプト (Java/PHP/ASPスクリプト) とブロックが含まれているかどうかを確認します。
   CUST_CHECK_MIME_TYPE	BOOL	ファイルの拡張子がファイルのMIMEタイプと一致するかどうかを確認します。一致しない場合はファイルがブロックされます。すべてのMIMEタイプと拡張子名を正確に照合できます。次に例を示します。 Wordファイルは.docまたは.dotである必要があります。 JPEGファイルは.jpgである必要があります テキストファイルとバイナリファイルはどの拡張子でもかまわない (ブロックしない) 「サポートされているMIMEタイプ」を参照してください。

10. [Step Configuration Parameters] フォルダをダブルクリックします。[New Entries] をクリックし、パラメータを設定します。

    パラメータ	種類	説明	初期設定（Linux）	初期設定（Windows）
    SCANBESTEFFORT	BOOL	スキャンを「ベストエフォート」ベースで実行します。つまり、VSAにオブジェクトの検索を許可するセキュリティ上重要なフラグ (SCANALLFILESやSCANEXTRACTなど) をすべて有効化するだけでなく、内部フラグも有効にします。該当するフラグに関する詳細は証明書に保存することができます。	（未設定）	（未設定）
    SCANALLFILES	BOOL	ファイル拡張子に関係なくすべてのファイルをスキャンします。	disabled	disabled
    SCANEXTENSIONS	CHAR	VSAでスキャンする必要があるファイル拡張子のリストです。指定した拡張子のファイルのみがチェックされます。その他の拡張子はブロックされます。ワイルドカードを使用してパターンを検索することもできます。*はこの場所を表し、この文字のみを表します。例：exe; com; do？; ht * => 「*」はすべてのファイルを検索することを意味します。	null	「」
    SCANLIMIT	INT	この設定は圧縮ファイルに適用されます。解凍されてスキャンされるファイルの最大数を指定します。	INT_MAX	65535
    SCANEXTRACT	BOOL	アーカイブまたは圧縮オブジェクトを解凍します。	有効	有効
    SCANEXTRACT_SIZE	SIZE_T	最大解凍サイズです。	0x7FFFFFFF	62914560（60 MB）
    SCANEXTRACT_DEPTH	INT	オブジェクトが解凍される最大の深さ (階層) です。	20	20
    SCANMIMETYPES	CHAR	スキャン対象となるMIMEタイプのリストです。設定されたMIMEタイプのファイルのみがチェックされます。それ以外のMIMEタイプはブロックされます。このパラメータは、CUST_CHECK_MIME_TYPEが有効になっている場合にのみ機能します。	（未設定）	（未設定）
    BLOCKMIMETYPES	CHAR	ブロックされるMIMEタイプのリスト。このパラメータは、CUST_CHECK_MIME_TYPEが有効になっている場合にのみ機能します。	（未設定）	（未設定）
    BLOCKEXTENSIONS	CHAR	ブロックされるファイル拡張子のリスト。	（未設定）	（未設定）

この設定はクライアント単位であり、SAPアプリケーションサーバの各テナントで設定する必要があります。

ウイルススキャンインタフェースをテストする

1. SAP WinGUIで、 VSCANTEST トランザクションを実行します。

   

   VSI対応の各SAPアプリケーションサーバには、設定ステップが正しく実行されたかどうかをチェックするテストも組み込まれています。そのため、特定のスキャンツールを呼び出すことのできるトランザクションにEICARテストウイルス (www.eicar.org) が追加されます。

2. 何も入力しないと、前の手順で設定した初期設定のプロファイルが呼び出されるため、何も入力しないでください。

3. [実行] をクリックします。

   EICARテストウイルスの説明が表示されます。

4. 通知を確認します。

   トランザクションがインターセプトされました：

   

[Infections] には、検出された不正プログラムに関する情報が表示されます。

[Content Information] には、ファイルの正しいMIMEタイプが表示されます。

ファイルには、ランダムに生成された7文字のアルファベットにウイルススキャンプロファイル名を付加した名前が付けられます。

この後に、トランザクションの各ステップに関する出力が表示されます。

1. このトランザクションは、初期設定のウイルス検索プロファイル（ウイルス検索プロファイルZ \ _TMPROFILE）を呼び出しました。
2. ウイルス検索プロファイルZ \ _TMPROFILEは、ウイルス検索グループZ \ _TMGROUPからアダプタを呼び出すように設定されています。
3. ウイルス検索グループZ \ _TMGROUPには複数のアダプタが設定されており、そのうちの1つ（この場合はVSA \ _NPLHOST）を呼び出します。
4. ウイルススキャンアダプタから、ウイルスが見つかったことを示す値「2-」が返されます。
5. 検出された不正プログラムに関する情報は、Eicar \ _test \ _1およびファイルオブジェクト/ tmp / zUeEbZZ \ _TMPROFILEを表示することで表示されます。
6. 呼び出された初期設定のウイルス検索プロファイルZ \ _TMPROFILEは失敗しました。これは、手順00（ウイルス検索グループ）が失敗したため、ファイルトランザクションの以降の処理が停止したためです。

クロスチェックのために、この不正プログラムイベントに関する情報もWorkload Securityコンソールに表示されます。イベントを表示するには、コンピュータエディタを開き、[ 不正プログラム対策 ]→[イベント] の順にクリックします。

サポートされているMIMEタイプ

Scanner でサポートされるMIMEタイプは、使用しているエージェントのバージョンによって異なります。

• Agentバージョン9.6ではVSAPI 9.85が使用されます。
• Agentバージョン10.0はATSE 9.861を使用します。
• Agentバージョン10.1はATSE 9.862を使用します。
• Agentバージョン10.2、10.3、11.0、11.1、および11.2ではATSE 10.000が使用されます。
• Agentバージョン11.3以降ではATSE 11.0.000を使用