アンチウイルス機能の設定手順

UTX100/UTX200でアンチウイルスの設定をするための手順になります。ウイルス検出時のログの内容や、例外設定の方法を解説します。

※ アンチウイルスとは、添付ファイル付きのメールを受信したりWebサイトからファイルをダウンロードした際に検査を行い、マルウェアへの感染被害を予防するための機能になります。

  1. 接続先について
  2. 基本設定
  3. セキュリティーログの確認
  4. 例外設定
  5. サービスの登録
  6. 例外設定後の通信確認
  7. エンジン設定
  8. 備考:Confidence Levelと深刻度について
UTX構成モードブリッジモード (※)
UTX IPアドレス192.168.100.210
アクセス元PC192.168.100.23

(※) 操作手順はルーター/ブリッジモードで共通です

※ UTX100、UTX200で同じ手順になります。以下の説明では「UTX」と称します。
※ GUIの画面は、ファームウェアバージョンR80.20.15 (992001960) のキャプチャーになります。


1. 接続先について

本書では、接続先としてCheck Point社が提供するアンチウイルス用のテストファイルを利用します。テストページには次の手順でアクセス可能です。

  1. Check Point ThreatWiki (https://threatwiki.checkpoint.com/threatwiki/public.htm) を開きます
  2. ページ右上にある「Test Anti-Virus」をクリックします

    ※ UTX配下で接続するとアンチウイルスが動作して接続をブロックします。セキュリティーレポートの検知数にも反映されますので、実際に接続される際はご注意ください。
    ※ ダウンロードするファイルは EICAR(www.eicar.org) のテストファイルです。


2. 基本設定

アンチウイルスの基本設定は次のメニューで設定できます。

  1. 左メニューから【脅威対策】 > 【脅威対策】 > 【ブレードコントロール】 とメニューを開きます
  2. アンチウイルス機能の有効/無効を切り替えたい場合、「アンチウイルス」の左側にある【オン】または【オフ】をクリックします
  3. 【適用】をクリックします
  4. 保護機能の設定は、「ポリシー」に【カスタム】を選択すると変更できます

    保護機能のポリシーに対する初期設定値は下記の通りです。

    厳格 (Strict)推奨(工場出荷状態時)
    追跡オプションログ記録
    コンフィデンス - 高ブロック
    コンフィデンス - 中ブロック
    コンフィデンス - 低検出
    深刻度低以上中以上
    パフォーマンスの影響高-中中-低

    ※ 「コンフィデンス」とは「Confidence Level」のことです。「Confidence Level」について詳しくは「8. 備考:Confidence Levelと深刻度について」をご参照ください。
    ※ この設定はアンチウイルス機能とアンチボット機能の両方に影響します。


3. セキュリティーログの確認

  1. 左メニューから【ログ&モニタリング】 >【セキュリティログ】 とメニューを開きます
  2. 検索欄に 「Anti-Virus」と入力すると、アンチウイルスのログのみを抽出できます
  3. アクセス元 PC (192.168.100.23) からのログをダブルクリックし、詳細情報を確認します
    ブレードアンチウイルス
    アクションBlock
    ソース192.168.100.23
    宛先213.211.198.62
    マルウェアアクションMalicious fie/exploit download
    リソースhttp://www.eicar.org/download/eicar_com.zip

ログ詳細の各項目を解説します。


4. 例外設定

アンチウイルスブレードでは、「安全である」と判断したアクセスに対して許可する設定(例外設定)ができます。例外設定には以下の特徴があります。

例外設定には以下の3つの方法があります。許可したい対象によって使い分けてください。

4-1. URLの例外登録

アクセス先URLを例外として登録する方法です。特定のウェブサイトからのダウンロードをまとめて許可したい場合に有効です。

  1. 左メニューから【脅威対策】 > 【脅威対策】 >【例外】 とメニューを開きます
  2. 「脅威対策の例外」メニューから【ホワイトリスト】をクリックします
  3. 【URLホワイトリスト】をクリックします
  4. 【新規】をクリックします
  5. 「URLの追加」メニューが開くため、例外として登録したいドメインを入力します

    ※ 今回の例ではログの「リソース」欄の「http://www.eicar.org/download/eicar_com.zip」から登録しています

  6. 入力ができたら【適用】をクリックします
  7. 【閉じる】をクリックしてメニューを閉じます

4-2. ファイルの例外登録

ダウンロードしたいファイルを例外として登録する方法です。特定ファイルのダウンロードのみを許可したい場合に有効です。

  1. 左メニューから【ログ&モニタリング】 >【セキュリティログ】 とメニューを開きます
  2. 例外指定したい通信のブロックログを開き、【ファイルMD5】の欄の値をコピーして残しておきます
  3. 左メニューから【脅威対策】 > 【脅威対策】 >【例外】 とメニューを開きます
  4. 「脅威対策の例外」メニューから【ホワイトリスト】をクリックします
  5. 【ファイルのホワイトリスト】をクリックします
  6. 【新規】をクリックします
  7. 「ファイルの追加」メニューが開くため、手順2でコピーした【ファイルMD5】の値を貼り付けます
  8. 入力ができたら【適用】をクリックします
  9. 【閉じる】をクリックしてメニューを閉じます

4-3. 例外対象のスコープを登録

マルウェア保護機能の例外となるスコープを登録する方法です。特定のサーバーやPCの通信を全て例外設定したい場合に有効です。

※ この方法で指定した端末に対してはアンチウイルス機能が全て無効となり、設定によってはアンチボット機能も無効になります。セキュリティーレベルが低下することを認識した上で利用してください。

  1. 左メニューから【脅威対策】 > 【脅威対策】 >【例外】 とメニューを開きます
  2. 「脅威対策の例外」から【新規】をクリックします
  3. 「新しいマルウェアの例外の追加」が開くので【ソース】をクリックします
  4. 【新規】から「ネットワークオブジェクト」をクリックします
  5. タイプを「単一IP」、「IP範囲」、「ネットワーク」から選択します
  6. 例外対象の IP アドレス、またはネットワークを入力し、【適用】をクリックします

    ※ 下図では「IP範囲」を例としています

  7. 【宛先】をクリックして手順3〜5と同様の手順で設定することで、例外対象とする宛先を限定できます

    ※ ドメインで指定することはできません

  8. 【保護】をクリックし、例外とする保護の対象を次の中から選択します
    任意の保護アンチウイルス、アンチボット、IPSの検知が対象です
    すべてのアンチウイルスアンチウイルスブレードの検知のみが対象です
    すべてのアンチボットアンチボットブレードの検知のみが対象です
    任意のIPSIPSブレードの検知のみが対象です
  9. 例外とするプロトコルを限定する場合、【サービス】をクリックして指定します

    ※ 登録方法は「5. サービスの登録」を参照ください

  10. アクションを【検出】に設定します
  11. 【適用】をクリックします

5. サービスの登録

「サービス」には、あらかじめ HTTP や HTTPS といった主要なプロトコルが登録されています。手動でポート番号を指定したい場合、以下の方法で登録することが可能です。

  1. 【ユーザ&オブジェクト】 > 【サービス】 とメニューを開きます
  2. 【新規】をクリックします
  3. アクセス先が利用するポート番号を登録します
    名前任意(例:Camera_Login)
    タイプTCP
    プロトコルタイプなし
    ポート任意(例:50443)
    コメント任意

    ※ IP プロトコルで定義するものは 【タイプ】→【その他】 と指定します

  4. 【適用】をクリックして登録します

6. 例外設定後の通信確認

  1. 実際にアクセスを行い、接続が可能となったことを確認します
  2. ログの内容が変わったことを確認します
    アクションDetect(検出)
    処理の結果exception(例外)

    ※ 本書ではアンチウイルスのテストファイルを利用して例外設定の解説を行っています。しかし、ダウンロード先である EICAR(www.eicar.org)のウェブサイトは、UTXのセキュリティー機能の一つであるURLフィルタリングブレードのブロック対象となっています。もし本書と同様の手順で検証したい場合は、事前にURLフィルタリングで「www.eicar.org*」を許可対象として設定してください。


7. エンジン設定

「エンジン設定」を変更することで、スキャンする対象をより細かく設定することができます。

  1. 【脅威対策】 > 【保護】 > 【エンジン設定】 とメニューを開きます
  2. 変更を行いたい機能の設定項目を確認します
  3. 変更が完了したら【適用】をクリックします

各機能の設定項目を以下で説明します。

  1. 保護スコープ
    スキャン対象の通信方向、及びインターフェースを指定します
  2. スキャンしたプロトコル
    スキャン対象の通信プロトコルを指定します
  3. ファイルタイプポリシー
    スキャン対象のファイルタイプ(拡張子)を指定します
  4. ポリシー上書き
    基本設定からアクションを上書きできます
  5. 検出のみ
    検出のみを実施し、ブロックをさせない場合は有効にします
  6. アンチウイルスユーザメッセージのカスタマイズ

    接続をブロックした時に表示されるメッセージのカスタマイズができます(日本語には対応していません)
    利用可能な変数は下記の通りです

8. 備考:Confidence Levelと深刻度について

アンチウイルスやアンチボットのログには「Confidence Level」と「深刻度」という項目があります。どちらも検知した脅威の程度を表す指標ですが、それぞれが持つ意味は異なります。


[EOF]