Sophos Endpoint Security and Control ヘルプ

Sophos Endpoint Security
and Control
ヘルプ
製品バージョン: 10.0
ドキュメント作成日: 2012年 6月
目次
1 Sophos Endpoint Security and Control について............................................................3
2 ホームページについて......................................................................................................5
3 ソフォスのユーザーグループ.........................................................................................6
4 Sophos Anti-Virus.................................................................................................................9
5 Sophos Application Control...............................................................................................61
6 Sophos Device Control.......................................................................................................62
7 Sophos Data Control..........................................................................................................65
8 Sophos Web Control...........................................................................................................67
9 Sophos Client Firewall........................................................................................................68
10 Sophos AutoUpdate........................................................................................................109
11 Sophos Tamper Protection.............................................................................................113
12 トラブルシューティング............................................................................................120
13 用語集.............................................................................................................................130
14 テクニカルサポート....................................................................................................138
15 ご利用条件.....................................................................................................................139
2
ヘルプ
1 Sophos Endpoint Security and Control について
Sophos Endpoint Security and Control バージョン 10.0 は統合セキュリティソフ
トです。主な機能は次のとおりです。
Sophos Anti-Virus : ウイルス、トロイの木馬、ワーム、スパイウェアはもち
ろん、アドウェアや他の業務上不要と思われるアプリケーションを検出・ク
リーンアップできます。ソフォスのホスト侵入防止システム(HIPS) テクノロ
ジーは、疑わしいファイルやルートキットからコンピュータを保護します。
Sophos Behavior Monitoring: ソフォスのホスト侵入防止システム(HIPS) テク
ノロジーを使用して、Windows 2000 以降を実行するコンピュータを未知の
「ゼロデイ脅威」および疑わしい動作から保護します。
Sophos Live Protection: 誤検知のリスクを抑え、高い精度で新種マルウェアを
検出します。最新の情報が保存されるソフォスのマルウェアデータベースを
リアルタイムに参照することで、新しい脅威にすばやく対応できます。新種
マルウェアとして検出された場合、ソフォスから脅威定義ファイルのアップ
デート版を数秒内に受信できます。
Sophos Web Protection: Web サイトの脅威に対する保護機能が強化されてお
り、マルウェア感染サイトへのアクセスをブロックできます。ソフォスのオ
ンラインデータベースをリアルタイムで参照して悪意のある Web サイトを
検索し、エンドポイントの悪質なサイトへのアクセスをブロックします。
Sophos Application Control: VoIP (Voice over IP)、IM (インスタントメッセー
ジ)、ファイル交換アプリケーション、ゲームなどの未認証アプリケーショ
ンの使用をブロックします。
Sophos Device Control: 未認証の外部ストレージデバイスや、無線接続機器を
ブロックします。
Sophos Data Control: 管理対象コンピュータを監視し、事故による個人情報の
流出を防止します。
Sophos Web Control: 社内ネットワーク外のコンピュータや、移動先で使用す
るコンピュータに保護、制御、およびレポート機能を提供できます。
Sophos Client Firewall : ワーム、トロイの木馬、スパイウェアを通じた機密情
報の漏洩や、ハッカーの侵入を防止します。
Sophos AutoUpdate: フェールセーフなアップデート機能で、ダウンロード率
を調整できるため、低速なネットワークでもより軽快にアップデートできま
す。
3
Sophos Endpoint Security and Control
Sophos Tamper Protection: 未認証のユーザー (専門知識のないユーザーなど)
や既知のマルウェアによる、ソフォスのセキュリティソフトのアンインス
トールや、Sophos Endpoint Security and Control の無効化 (GUI 経由) を防止し
ます。
4
ヘルプ
2 ホームページについて
「ホーム」ページは、Sophos Endpoint Security and Control ウィンドウを開い
たときに、画面右側に表示されます。ホームページでは、ソフトウェアの操
作や設定ができます。
Sophos Endpoint Security and Control の使用状況によって、この場所に表示さ
れる内容は変わります。「ホーム」ページに戻るには、ツールバーの「ホー
ム」ボタンをクリックします。
5
Sophos Endpoint Security and Control
3 ソフォスのユーザーグループ
3.1 ソフォスのユーザーグループについて
Sophos Endpoint Security and Control では、ソフォスのユーザーグループごと
に各種機能の操作を制限できます。
Sophos Endpoint Security and Control をインストールすると、ローカルコン
ピュータの各ユーザーは、所属する Windows のグループの種類に基づいて
ソフォスのグループに割り当てられます。
Windows のグループ
ソフォスのグループ
Administrators
SophosAdministrator
Power Users
SophosPowerUser
Users
SophosUser
ゲストユーザーなど、どのソフォスのユーザーグループにも割り当てられて
いないユーザーの場合、次のタスクのみを実行できます。
■
オンアクセス検索
■
右クリック検索
SophosUser
SophosUser グループのメンバーは、上記のタスクと次のタスクを実行できま
す。
■
Sophos Endpoint Security and Control ウィンドウを開く
■
オンデマンド検索を設定・実行する
■
右クリック検索を環境設定する
■
隔離されたアイテムを管理する (権限に制限があります)
■
ファイアウォールのルールを作成・設定する
SophosPowerUser
SophosPowerUser のメンバーには、SophosUser が持つ権限と次の権限が付与
されています。
■
隔離マネージャの高い操作権限
■
認証マネージャへのアクセス権限
SophosAdministrator
6
ヘルプ
SophosAdministrator のメンバーは、Sophos Endpoint Security and Control の全
機能に対する操作・設定権限を持っています。
ヒント: タンパー プロテクションが有効になっている場合、
SophosAdministrator グループのメンバーが次のタスクを実行するには、タン
パー プロテクションのパスワードが必要です。
■
オンアクセス検索を環境設定する。
■
疑わしい動作の検知を環境設定する。
■
タンパー プロテクションを無効にする。
詳細は、ローカルマシンのタンパー プロテクションについて (p. 113) を参照
してください。
3.2 ソフォスのグループにユーザーを追加する
ドメイン管理者、またはローカルマシンの Windows の Administrators グルー
プのメンバーは、ソフォスのユーザーグループのメンバーを変更できます。
こうすることで、Sophos Endpoint Security and Control に対するアクセス権が
変更されます。
ソフォスのユーザーグループにユーザーを追加する方法は次のとおりです。
1. Windows の「コンピュータの管理」を開きます。
2. コンソールツリーで、「ユーザー」をクリックします。
3. 対象のユーザーアカウントを右クリックし、「プロパティ」をクリックし
ます。
4. 「所属するグループ」タブで、「追加」をクリックします。
5. 「選択するオブジェクト名を入力してください」に、次のいずれかのソ
フォスのグループ名を入力します。
■
■
■
SophosAdministrator
SophosPowerUser
SophosUser
6. 入力したソフォスのグループ名が正しいことを確認するには、「名前の確
認」をクリックします。
Sophos Endpoint Security and Control に対するアクセス権の変更を有効にする
には、各ユーザーがコンピュータにログオンし直す必要があります。
7
Sophos Endpoint Security and Control
注
■
「コンピュータの管理」を開くには、「スタート」、「コントロール パ
ネル」の順にクリックします。そして、「管理ツール」、「コンピュータ
の管理」の順にダブルクリックします。
■
ソフォスのユーザーグループからユーザーを削除するには、「所属するグ
ループ」タブで、所属するグループを選択し、「削除」をクリックしま
す。
3.3 隔離マネージャのユーザー権限を設定する
SophosAdministrator グループのメンバーは、隔離マネージャのユーザー権限
を設定することができます。
1. 「 ホーム > ウイルス対策および HIPS > ウイルス対策および HIPS の環境
設定 > 環境設定 > 隔離マネージャ用のユーザー権限 」をクリックします。
2. 各アクションの実行権限を付与するユーザーグループを選択します。
ヒント: 「認証」オプションを除いて、ここで設定する権限は「隔離マ
ネージャ」のみに適用されます。
オプション
説明
セクタのクリーンアップ
フロッピーディスクのブートセクタをクリーンアップ
できます。
ファイルのクリーンアップ
ドキュメントやプログラムをクリーンアップできま
す。
ファイルの削除
感染ファイルを削除できます。
ファイルの移動
感染ファイルを別のフォルダに移動できます。
認証
疑わしいアイテム、アドウェア、および不要と思われ
るアプリケーションを認証して、コンピュータでの実
行を許可できます。
このオプションは、「認証マネージャ」と「隔離マ
ネージャ」の両方に適用されます。
8
ヘルプ
4 Sophos Anti-Virus
4.1 オンアクセス検索とオンデマンド検索について
オンアクセス検索
オンアクセス検索は最も基本的なウイルス・脅威対策機能です。
ファイルをコピー、移動、または開いた時点で、Sophos Anti-Virus が検索を
実行し、感染していない場合や、認証済みの場合のみアクセスを許可しま
す。
Sophos Administrators は、ファイルを保存、作成、名前を変更した時に、ファ
イルがチェックされるよう設定することもできます。
詳細は、オンアクセス検索を環境設定する (p. 10) を参照してください。
オンデマンド検索
オンデマンド検索では、さらに詳細な検索が行えます。その名前からわかる
ように、オンデマンド検索はユーザーの要求に応じて実行する検索です。
ファイルを個別に検索したり、コンピュータ全体を検索するなど、さまざま
な検索を実行できます。
詳細は、オンデマンド検索の種類 (p. 19) を参照してください。
4.2 オンアクセス検索
4.2.1 オンアクセス検索について
オンアクセス検索のデフォルト設定は、保護機能とシステムパフォーマンス
のバランスが考慮されているため、この設定の使用をお勧めします。
ヒント: 特定の暗号化ソフトがインストールされている場合、オンアクセス
検索でウイルスが検出されないことがあります。コンピュータのスタート
アッププロセスを変更し、オンアクセス検索が開始するとファイルが復号化
されるように設定してください。暗号化ソフトがインストトールされている
環境でのウイルス対策および HIPS ポリシーの使用について、詳細はソフォ
ス サポートデータベースの文章 12790 を参照してください。
(http://www.sophos.co.jp/support/knowledgebase/article/12790.html)
9
Sophos Endpoint Security and Control
4.2.2 オンアクセス検索を環境設定する
重要: Sophos Endpoint Security and Control が管理コンソールで管理されてい
る場合、ここで変更する設定内容は管理コンソールによって上書きされるこ
とがあります。
デフォルトで、Sophos Anti-Virus のオンアクセス検索で検出、クリーンアッ
プされる脅威は次のとおりです。
■
ウイルス
■
トロイの木馬
■
ワーム
■
スパイウェア
オンアクセス検索を設定するには次の操作を行ってください。
1. 「 ホーム > ウイルス対策および HIPS > ウイルス対策および HIPS の環境
設定 > 環境設定 > オンアクセス検索 」をクリックします。
2. オンアクセス検索の動作を変更するには、「ファイル検索のタイミング」
パネルで、以下の説明に従ってオプションを選択します。
10
オプション
説明
読み取ったとき
ファイルをコピー、移動、開いたときに
検索を実行します。
ファイル名を変更したとき
ファイル名を変更したときに検索を実行
します。
書き込んだとき
ファイルを保護、作成したときに検索を
実行します。
ヘルプ
3. 「検索するアイテム」パネルで、次の説明に従ってオプションを設定しま
す。
オプション
説明
アドウェアおよび不要と思
われるアプリケーション
アドウェアはポップアップメッセージなど広告を表示す
るプログラムで、ユーザーの生産性やシステム効率に影
響を与える可能性があります。
不要と思われるアプリケーションは、悪質ではないもの
の一般的に企業ネットワークには不適切と考えられてい
るアプリケーションです。
疑わしいファイル
疑わしいファイルは、ウイルスによく見られる特徴を持
ちながらウイルスに限定されない特徴も持つファイルで
す。
11
Sophos Endpoint Security and Control
4. 「他の検索オプション」パネルで、次の説明に従ってオプションを設定し
ます。
オプション
説明
ブートセクタが感染
しているドライブへ
のアクセスを許可す
る
感染している起動可能なリムーバブルメディアまたはデバイ
ス (ブータブル CD、フロッピーディスク、または USB メモリ
など) へのアクセスを許可する場合は、このオプションを有効
にします。
このオプションはソフォステクニカルサポートから指示があっ
た場合のみに使います。
「トラブルシューティング」セクションのトピック、ブート
セクタが感染しているドライブへのアクセスを許可する (p.125)
も参照してください。
すべてのファイルを
検索する
コンピュータのパフォーマンスに深刻な影響を与えるため、
この検索オプションは週に一度の定期スキャンだけで実行す
ることをお勧めします。
圧縮ファイル内を検
索する
アーカイブファイルや圧縮ファイルをローカルコンピュータ
にダウンロードしたり、ローカルコンピュータからメール送
信したりする前に、その中身を検索する場合は、このオプショ
ンを有効にします。
しかしながら、検索スピードが著しく低下するため、このオ
プションを無効に設定することをお勧めします。
このオプションが無効になっていても、システムはアーカイ
ブや圧縮ファイル内の脅威から保護されます。マルウェアの
可能性があるアーカイブや圧縮ファイルのコンポーネントは、
以下のようにオンアクセス検索でブロックされます。
■ 圧縮ファイルから解凍したファイルを開くと検索が実行さ
れます。
■ ダイナミック圧縮ユーティリティ (PKLite、LZEXE、Diet)
を使って圧縮されたファイルは検索が実行されます。
システムメモリを検
索する
バックグラウンド検索を毎時間実行し、コンピュータのシス
テムメモリ (OS が使用するメモリ) に潜むマルウェアを検出す
る場合は、このオプションを有効にします。
4.2.3 オンアクセス検索を一時的に無効にする
SophosAdministrator グループのメンバーは、保守作業やトラブルシューティ
ングのために、オンアクセス検索を一時的に無効化し、有効に戻さなければ
12
ヘルプ
ならないこともあります。オンアクセス検索を無効にした場合でも、ご使用
のコンピュータに対してオンデマンド検索を実行することはできます。
ここで指定する Sophos Endpoint Security and Control の設定内容は、コンピュー
タを再起動した後も保持されます。オンアクセス検索を無効にすると、再度
有効にするまでコンピュータは保護されません。
1. 「 ホーム > ウイルス対策および HIPS > ウイルス対策および HIPS の環境
設定 > 環境設定 > オンアクセス検索 」をクリックします。
2. 「このコンピュータでオンアクセス検索を実行する」のチッェクボックス
を選択から外します。
4.2.4 オンアクセスのクリーンアップを環境設定する
重要: Sophos Endpoint Security and Control が管理コンソールで管理されてい
る場合、ここで変更する設定内容は管理コンソールによって上書きされるこ
とがあります。
オンアクセスのクリーンアップを設定する方法は次のとおりです。
1. 「 ホーム > ウイルス対策および HIPS > ウイルス対策および HIPS の環境
設定 > 環境設定 > オンアクセス検索 」をクリックします。
2. 「クリーンアップ」タブをクリックします。
3. 感染しているアイテムを自動的にクリーンアップするには、「ウイルス/
スパイウェア」の「ウイルス/スパイウェアを含むアイテムを自動クリー
ンアップする」チェックボックスを選択します。
ヒント: このオプションが有効になっている場合、一部のウイルス/スパイ
ウェアをクリーンアップすると、システムのフル検索が開始されるため、
コンピュータ上のすべてのウイルスがクリーンアップされます。完了まで
に時間がかかることがあります。
13
Sophos Endpoint Security and Control
4. 「ウイルス/スパイウェア」の自動クリーンアップを無効にした場合や、
自動クリーンアップに失敗した場合に Sophos Anti-Virus で実行する感染ア
イテムの処理方法を選択します。
オプション
説明
アクセス拒否のみ
続行する前に Sophos Anti-Virus で実行する処理方法を確
認します。
このオプションはデフォルトで選択されています。
削除する
アクセスを拒否し、次の
場所に移動する
これらの設定はソフォス テクニカルサポートから指示が
あった場合のみに使います。
それ以外の場合は、隔離マネージャを使用して、Sophos
Anti-Virus がコンピュータで検出されたウイルス/スパイ
ウェアをクリーンアップしてください。詳細は隔離エリ
アにあるウイルス/スパイウェアに対処する (p. 46) を参照
してください。
5. 「疑わしいファイル」の下からマルウェアでよく使用されるコードが検出
されたときに Sophos Anti-Virus で実行するアクションを選択します。
オプション
説明
アクセス拒否のみ
続行する前に Sophos Anti-Virus で実行する処理方法を確
認します。
このオプションはデフォルトで選択されています。
削除する
アクセスを拒否し、次の場
所に移動する
これらの設定はソフォス テクニカルサポートから指示が
あった場合のみに使います。
通常は隔離マネージャを使用して、Sophos Sophos
Anti-Virus で検出されたコンピュータ上の疑わしいファイ
ルをクリーンアップしてください。詳細は隔離エリアに
ある疑わしいファイルに対処する (p. 50) を参照してくだ
さい。
4.2.5 検索を実行したファイルのチェックサムをリセットする
検索を実行したファイルのチェックサムのリストは、Sophos Anti-Virus でアッ
プデートを実行したり、コンピュータを再起動するとリセットされます。そ
の後、Sophos Anti-Virus で検索を実行すると、新しいデータでリストが再作
成されます。
コンピュータを再起動したくない場合は、検索を実行したファイルのチェッ
クサムのリストを Sophos Endpoint Security and Control でリセットできます。
14
ヘルプ
検索を実行したファイルのチェックサムをリセットする方法は次のとおりで
す。
1. 「 ホーム > ウイルス対策および HIPS > ウイルス対策および HIPS の環境
設定 > 環境設定 > オンアクセス検索 」をクリックします。
2. 「検索」タブで、「キャッシュの初期化」をクリックします。
4.2.6 オンアクセス検索のファイル拡張子を指定する
重要: Sophos Endpoint Security and Control が管理コンソールで管理されてい
る場合、ここで変更する設定内容は管理コンソールによって上書きされるこ
とがあります。
オンアクセス検索の対象にするファイル拡張子を指定できます。
1. 「 ホーム > ウイルス対策および HIPS > ウイルス対策および HIPS の環境
設定 > 環境設定 > オンアクセス検索 」をクリックします。
2. 「拡張子」タブをクリックし、次のようにオプションを設定します。
すべてのファイルを検索する
ファイルの拡張子に関わらず、すべてのファイルを検索します。
検索アイテムを指定する
拡張子リストで指定した拡張子を持つファイルのみを検索します。
警告: 拡張子リストには、ソフォスが検索を推奨するすべてのファイルタ
イプが含まれています。リストの内容を変更する場合は、よく注意をして
次のように変更してください。
リストにファイルの拡張子を追加する場合は、「追加」をクリックしま
す。ワイルドカード文字「?」を使用して任意の一文字を指定できます。
リストからファイルの拡張子を削除する場合は、拡張子を選択し、「削
除」をクリックします。
リストにあるファイルの拡張子を変更する場合は、拡張子を選択し、「編
集」をクリックします。
「検索アイテムを指定する」を選択すると、「拡張子のないファイルも検
索する」もデフォルトで選択されます。拡張子のないファイルの検索を無
効にするには、「拡張子のないファイルも検索する」を選択から外してく
ださい。
15
Sophos Endpoint Security and Control
4.2.7 オンアクセス検索の対象から除外するアイテムを追加、編集、削除
する
重要: Sophos Endpoint Security and Control が管理コンソールで管理されてい
る場合、ここで変更する設定内容は管理コンソールによって上書きされるこ
とがあります。
オンアクセス検索の対象から除外するファイル、フォルダ、およびドライブ
の一覧を編集する方法は次のとおりです。
1. 「 ホーム > ウイルス対策および HIPS > ウイルス対策および HIPS の環境
設定 > 環境設定 > オンアクセス検索 」をクリックします。
2. 「除外」タブをクリックし、次のいずれか 1つのオプションを選択しま
す。
■
■
■
オンアクセス検索の対象から除外するファイル、フォルダ、およびド
ライブを指定するには、「追加」をクリックします。
検索の除外対象項目を削除するには、「削除」をクリックします。
検索の除外対象項目を編集するには、「編集」をクリックします。
3. 除外するアイテムを追加または編集するには、「アイテムの除外」ダイア
ログボックスで、「アイテムタイプ」を選択します。
4. 「参照」ボタンを使用するか、テキストボックスに直接入力して、「アイ
テム名」を指定します。
ヒント: 64ビット環境では、「除外するアイテム」ダイアログに「参照」
ボタンが表示されません。
アイテム名の指定に関する詳細は、検索の対象から除外するアイテムの
ファイル名およびパスを指定する (p. 21) を参照してください。
4.2.8 検索の対象から除外するアイテムのファイル名およびパスを指定す
る
標準的な命名規則
Sophos Anti-Virus で、ファイル名やパスは、標準的な命名規則に照合して認
証されます。たとえば、フォルダ名にスペース文字を含めることはできます
が、スペース文字 のみ で構成することはできません。
16
ヘルプ
特定のファイルを除外する
特定のファイルを除外するには、パスとファイル名の両方を指定します。パ
スには、ドライブ文字やネットワークの共有フォルダ名を含めることができ
ます。
C:\Documents\CV.doc
\\Server\Users\Documents\CV.doc
ヒント: 除外が常に正しく適用されるようにするには、ファイル名やフォル
ダ名を長い名前と短い名前 (8.3 形式) の両方の形式で指定してください。
C:\Program Files\Sophos\Sophos Anti-Virus
C:\Progra~1\Sophos\Sophos~1
詳細は、http://www.sophos.co.jp/support/knowledgebase/article/13045.htmlを参
照してください。
特定のファイル名のファイルすべてを除外する
ファイルシステム上にある特定のファイル名のファイルすべてを除外するに
は、パスなしでファイル名を指定します。
spacer.gif
特定のドライブやネットワーク共有フォルダ内のアイテムすべてを除外する
特定のドライブやネットワーク共有フォルダ内のアイテムすべてを除外する
には、ドライブ文字やネットワークの共有フォルダ名を指定します。
C:
\\Server
特定のフォルダを除外する
特定のフォルダとそのサブフォルダ内のアイテムすべてを除外するには、ド
ライブ文字やネットワーク共有フォルダ名を使用してフォルダパスを指定し
ます。
D:\Tools\logs\
特定のフォルダ名のフォルダすべてを除外する
すべてのドライブやネットワーク共有フォルダにある、特定のフォルダとそ
のサブフォルダ内のアイテムすべてを除外するには、ドライブ文字やネット
ワーク共有フォルダ名を使用せずにフォルダパスを指定します。たとえば、
\Tools\logs と指定すると、次のようなフォルダが除外されます。
17
Sophos Endpoint Security and Control
C:\Tools\logs\
\\Server\Tools\logs\
ヒント: ドライブ文字やネットワーク共有フォルダ名直前までのパスすべて
を指定する必要があります。上の例で、\logs と指定しても何も除外されませ
ん。
ワイルドカード文字「?」、「*」
ファイル名や拡張子で任意の 1文字を指定するには、ワイルドカード文字
「?」を使用します。
ファイル名や拡張子の末尾に使用した場合は、任意の 1文字、または文字の
ない状態と一致します。たとえば、「file??.txt」は、「file.txt」や「file1.txt」、
および「file12.txt」に一致しますが、「file123.txt」には一致しません。
ワイルドカード文字「*」は、ファイル名や拡張子に対して、[ファイル名].*、
または *.[拡張子] という形式で使用します。
正:
file.*
*.txt
誤:
file*.txt
file.txt*
file.*txt
二重拡張子
二重拡張子を持つファイル名は、最終拡張子のみ拡張子として扱われ、それ
以外の拡張子はファイル名の一部として扱われます。
MySample.txt.doc = ファイル名 [MySample.txt] + 拡張子 [.doc]
4.3 オンデマンド検索
18
ヘルプ
4.3.1 オンデマンド検索の種類
右クリック検索
Windows エクスプローラに表示されるファイル、フォルダ、ドライブを即時
に検索します。
■
右クリック検索を実行する (p. 26)
カスタム検索
特定のファイルやフォルダをまとめて検索。手動で実行したり、スケジュー
ル設定を行って決まった時刻に実行できます。
■
カスタム検索を実行する (p. 33)
■
カスタム検索をスケジュール設定する (p. 32)
コンピュータのフル検索
コンピュータ全体に対して即時に実行する検索。ブートセクタやシステムメ
モリも対象に含まれます。
■
コンピュータのフル検索を実行する (p. 34)
4.3.2 オンデマンド検索のファイル拡張子を指定する
重要: Sophos Endpoint Security and Control が管理コンソールで管理されてい
る場合、ここで変更する設定内容は管理コンソールによって上書きされるこ
とがあります。
オンデマンド検索の対象にするファイル拡張子を指定できます。
1. 「環境設定」メニューで、「拡張子&除外リスト (オンデマンド検索)」を
クリックします。
19
Sophos Endpoint Security and Control
2. 「拡張子」タブをクリックし、次のようにオプションを設定します。
すべてのファイルを検索する
ファイルの拡張子に関わらず、すべてのファイルを検索します。
検索アイテムを指定する
拡張子リストで指定した拡張子を持つファイルのみを検索します。
警告: 拡張子リストには、ソフォスが検索を推奨するすべてのファイルタ
イプが含まれています。リストの内容を変更する場合は、よく注意をして
次のように変更してください。
リストにファイルの拡張子を追加する場合は、「追加」をクリックしま
す。ワイルドカード文字「?」を使用して任意の一文字を指定できます。
リストからファイルの拡張子を削除する場合は、拡張子を選択し、「削
除」をクリックします。
リストにあるファイルの拡張子を変更する場合は、拡張子を選択し、「編
集」をクリックします。
「検索アイテムを指定する」を選択すると、「拡張子のないファイルも検
索する」もデフォルトで選択されます。拡張子のないファイルの検索を無
効にするには、「拡張子のないファイルも検索する」を選択から外してく
ださい。
4.3.3 オンデマンド検索の対象から除外するアイテムを追加、編集、削除
する
重要: Sophos Endpoint Security and Control が管理コンソールで管理されてい
る場合、ここで変更する設定内容は管理コンソールによって上書きされるこ
とがあります。
ここで説明する内容は、すべてのオンデマンド検索に適用されます。特定の
アイテムをカスタム検索の対象から除外する方法については、カスタム検索
を作成する (p. 27) を参照してください。
オンデマンド検索の対象から除外するファイル、フォルダ、およびドライブ
の一覧を編集する方法は次のとおりです。
1. 「 ホーム > ウイルス対策および HIPS > ウイルス対策および HIPS の環境
設定 > 環境設定 > 拡張子&除外リスト (オンデマンド検索) 」をクリック
します。
20
ヘルプ
2. 「除外」タブをクリックし、次のいずれか 1つのオプションを選択しま
す。
■
■
■
オンデマンド検索の対象から除外するファイル、フォルダ、およびド
ライブを指定するには、「追加」をクリックします。
検索の除外対象項目を削除するには、「削除」をクリックします。
検索の除外対象項目を編集するには、「編集」をクリックします。
3. 除外するアイテムを追加または編集するには、「アイテムの除外」ダイア
ログボックスで、「アイテムタイプ」を選択します。
4. 「参照」ボタンを使用するか、テキストボックスに直接入力して、「アイ
テム名」を指定します。
ヒント: 64ビット環境では、「除外するアイテム」ダイアログに「参照」
ボタンが表示されません。
アイテム名の指定に関する詳細は、検索の対象から除外するアイテムの
ファイル名およびパスを指定する (p. 21) を参照してください。
4.3.4 検索の対象から除外するアイテムのファイル名およびパスを指定す
る
標準的な命名規則
Sophos Anti-Virus で、ファイル名やパスは、標準的な命名規則に照合して認
証されます。たとえば、フォルダ名にスペース文字を含めることはできます
が、スペース文字 のみ で構成することはできません。
特定のファイルを除外する
特定のファイルを除外するには、パスとファイル名の両方を指定します。パ
スには、ドライブ文字やネットワークの共有フォルダ名を含めることができ
ます。
C:\Documents\CV.doc
\\Server\Users\Documents\CV.doc
ヒント: 除外が常に正しく適用されるようにするには、ファイル名やフォル
ダ名を長い名前と短い名前 (8.3 形式) の両方の形式で指定してください。
C:\Program Files\Sophos\Sophos Anti-Virus
C:\Progra~1\Sophos\Sophos~1
詳細は、http://www.sophos.co.jp/support/knowledgebase/article/13045.htmlを参
照してください。
21
Sophos Endpoint Security and Control
特定のファイル名のファイルすべてを除外する
ファイルシステム上にある特定のファイル名のファイルすべてを除外するに
は、パスなしでファイル名を指定します。
spacer.gif
特定のドライブやネットワーク共有フォルダ内のアイテムすべてを除外する
特定のドライブやネットワーク共有フォルダ内のアイテムすべてを除外する
には、ドライブ文字やネットワークの共有フォルダ名を指定します。
C:
\\Server
特定のフォルダを除外する
特定のフォルダとそのサブフォルダ内のアイテムすべてを除外するには、ド
ライブ文字やネットワーク共有フォルダ名を使用してフォルダパスを指定し
ます。
D:\Tools\logs\
特定のフォルダ名のフォルダすべてを除外する
すべてのドライブやネットワーク共有フォルダにある、特定のフォルダとそ
のサブフォルダ内のアイテムすべてを除外するには、ドライブ文字やネット
ワーク共有フォルダ名を使用せずにフォルダパスを指定します。たとえば、
\Tools\logs と指定すると、次のようなフォルダが除外されます。
C:\Tools\logs\
\\Server\Tools\logs\
ヒント: ドライブ文字やネットワーク共有フォルダ名直前までのパスすべて
を指定する必要があります。上の例で、\logs と指定しても何も除外されませ
ん。
ワイルドカード文字「?」、「*」
ファイル名や拡張子で任意の 1文字を指定するには、ワイルドカード文字
「?」を使用します。
ファイル名や拡張子の末尾に使用した場合は、任意の 1文字、または文字の
ない状態と一致します。たとえば、「file??.txt」は、「file.txt」や「file1.txt」、
および「file12.txt」に一致しますが、「file123.txt」には一致しません。
ワイルドカード文字「*」は、ファイル名や拡張子に対して、[ファイル名].*、
または *.[拡張子] という形式で使用します。
22
ヘルプ
正:
file.*
*.txt
誤:
file*.txt
file.txt*
file.*txt
二重拡張子
二重拡張子を持つファイル名は、最終拡張子のみ拡張子として扱われ、それ
以外の拡張子はファイル名の一部として扱われます。
MySample.txt.doc = ファイル名 [MySample.txt] + 拡張子 [.doc]
4.3.5 右クリック検索
4.3.5.1 右クリック検索を環境設定する
重要: Sophos Endpoint Security and Control が管理コンソールで管理されてい
る場合でも、ここで変更する設定内容が管理コンソールによって上書きされ
ることはありません。
デフォルトで、Sophos Anti-Virus の右クリック検索で検出、クリーンアップ
される脅威は次のとおりです。
■
ウイルス
■
トロイの木馬
■
ワーム
■
スパイウェア
■
アドウェアや他の不要と思われるアプリケーションアドウェア (PUA)
右クリック検索を設定する方法は次のとおりです。
1. 「 ホーム > ウイルス対策および HIPS > ウイルス対策および HIPS の環境
設定 > 環境設定 > 右クリック検索 」をクリックします。
23
Sophos Endpoint Security and Control
2. 「検索するアイテム」パネルで、次の説明に従ってオプションを設定しま
す。
オプション
説明
アドウェアおよび不要と思
われるアプリケーション
アドウェアはポップアップメッセージなど広告を表示す
るプログラムで、ユーザーの生産性やシステム効率に影
響を与える可能性があります。
不要と思われるアプリケーションは、悪質ではないもの
の一般的に企業ネットワークには不適切と考えられてい
るアプリケーションです。
疑わしいファイルは、ウイルスによく見られる特徴を持
ちながらウイルスに限定されない特徴も持つファイルで
す。
疑わしいファイル
3. 「他の検索オプション」パネルで、次の説明に従ってオプションを設定し
ます。
オプション
説明
すべてのファイル
を検索する
コンピュータのパフォーマンスに深刻な影響を与えるため、この
検索オプションは週に一度の定期スキャンだけで実行することを
お勧めします。
圧縮ファイル内を
検索する
アーカイブファイルや圧縮ファイルをローカルコンピュータにダ
ウンロードしたり、ローカルコンピュータからメール送信したり
する前に、その中身を検索する場合は、このオプションを有効に
します。
しかしながら、検索スピードが著しく低下するため、このオプ
ションを無効に設定することをお勧めします。
このオプションが無効になっていても、システムはアーカイブや
圧縮ファイル内の脅威から保護されます。マルウェアの可能性が
あるアーカイブや圧縮ファイルのコンポーネントは、以下のよう
にオンアクセス検索でブロックされます。
■ 圧縮ファイルから解凍したファイルを開くと検索が実行され
ます。
■ ダイナミック圧縮ユーティリティ (PKLite、LZEXE、Diet) を
使って圧縮されたファイルは検索が実行されます。
24
ヘルプ
4.3.5.2 右クリック クリーンアップを環境設定する
重要: Sophos Endpoint Security and Control が管理コンソールで管理されてい
る場合、ここで変更する設定内容は管理コンソールによって上書きされるこ
とがあります。
右クリック クリーンアップを設定する方法は次のとおりです。
1. 「 ホーム > ウイルス対策および HIPS > ウイルス対策および HIPS の環境
設定 > 環境設定 > 右クリック検索 」をクリックします。
2. 「クリーンアップ」タブをクリックします。
3. 感染しているアイテムを自動的にクリーンアップするには、「ウイルス/
スパイウェア」の「ウイルス/スパイウェアを含むアイテムを自動クリー
ンアップする」チェックボックスを選択します。
4. 自動クリーンアップを有効にしていない場合や、自動クリーンアップに失
敗した場合に Sophos Anti-Virus で実行する感染アイテムの処理方法を選択
します。
オプション
説明
ログのみを生成する
Sophos Anti-Virus では、感染項目を検索のログに出力する以
外のアクションは実行されません。詳細は検索ログを表示す
る (p. 60) を参照してください。
このオプションはデフォルトで選択されています。
削除する
次の場所に移動する
これらの設定はソフォス テクニカルサポートから指示があっ
た場合のみに使います。
それ以外の場合は、隔離マネージャを使用して、Sophos
Anti-Virus がコンピュータで検出されたウイルス/スパイウェ
アをクリーンアップしてください。詳細は隔離エリアにある
ウイルス/スパイウェアに対処する (p. 46) を参照してくださ
い。
25
Sophos Endpoint Security and Control
5. 「疑わしいファイル」の下からマルウェアでよく使用されるコードが検出
されたときに Sophos Anti-Virus で実行するアクションを選択します。
オプション
説明
ログのみを生成する
Sophos Anti-Virus では、感染項目を検索のログに出力する以
外のアクションは実行されません。
このオプションはデフォルトで選択されています。
削除する
次の場所に移動する
これらの設定はソフォステクニカルサポートから指示があっ
た場合のみに使います。
それ以外の場合は、隔離マネージャを使用して、Sophos
Anti-Virus がコンピュータで検出されたウイルス/スパイウェ
アをクリーンアップしてください。詳細は隔離エリアにある
疑わしいファイルに対処する (p. 50) を参照してください。
6. すべてのユーザーに対して、アドウェアや不要と思われるアプリケーショ
ン (PUA) のすべてのコンポーネントを削除するには、「アドウェアや不
要と思われるアプリケーション」の「アドウェアや不要と思われるアプリ
ケーションを自動クリーンアップする」チェックボックスを選択します。
クリーンアップを実行しても、アドウェアや不要と思われるアプリケー
ションによる変更箇所は修復されません。
■
アドウェアや不要と思われるアプリケーションの副作用について、ソ
フォスの Web サイトの詳細を参照するには、クリーンアップ情報を入
手する (p. 54) を参照してください。
■
「隔離マネージャ」を使用してコンピュータからアドウェアや不要と
思われるアプリケーションをクリーンアップするには、隔離エリアに
あるアドウェアや不要と思われるアプリケーションに対処する (p. 48)
を参照してください。
4.3.5.3 右クリック検索を実行する
Windows エクスプローラまたはデスクトップから、右クリック検索を実行し
て、ファイル、フォルダ、およびドライブを検索できます。
1. Windows エクスプローラまたはデスクトップで、検索を実行するファイ
ル、フォルダ、またはドライブを選択します。
一度に複数のファイルやフォルダを選択することができます。
2. 右クリックし、「 Sophos Anti-Virus で検索する」をクリックします。
26
ヘルプ
脅威や管理対象アプリケーションが検出されたら、「詳細」をクリックしま
す。詳細はこのヘルプ内の「隔離アイテムを管理する」のセクションを参照
してください。
4.3.6 カスタム検索
4.3.6.1 カスタム検索を作成する
1. 「ホーム」ページの「ウイルス対策および HIPS」で、「検索」をクリッ
クします。
「ホーム」ページの詳細は、ホームページについて (p. 5) を参照してく
ださい。
2. 「新規検索の作成」をクリックします。
3. 「検索名」ボックスに、検索名を入力します。
4. 「検索するアイテム」パネルで、検索するドライブやフォルダを選択しま
す。各ドライブやフォルダの左にあるチェックボックスを選択してくださ
い。チェックボックスに表示されるアイコンの説明は、検索するアイテム
の種類を表示するアイコン (p. 27) を参照してください。
ヒント: オフラインまたは削除されたためアクセスできないドライブや
フォルダは、取り消し線付きで表示されます。ドライブやフォルダが選択
されていない場合や、親ドライブ/フォルダの指定に変更がある場合、「検
索するアイテム」パネルには表示されません。
5. より詳細な設定をするには、「検索を環境設定する」をクリックします。
(詳細は、カスタム検索を環境設定する (p. 28) を参照してください。)
6. 検索をスケジュール設定するには、「検索をスケジュール設定する」をク
リックします。(詳細は、カスタム検索をスケジュール設定する (p. 32) を
参照してください。)
7. 「保存」をクリックしてこの検索を保存するか、「保存&開始」をクリッ
クしてこの検索を保存して実行します。
4.3.6.2 検索するアイテムの種類を表示するアイコン
「検索するアイテム」のパネルで、各アイテム (ドライブまたはフォルダ) の
横のチェックボックスに、検索するアイテムの種類を表すアイコンが表示さ
れます。各アイコンに関する説明は以下を参照してください。
27
Sophos Endpoint Security and Control
アイコン
説明
アイテムとそのサブアイテムすべてが検索の対象として選択され
ていない状態。
アイテムとそのサブアイテムすべてが検索の対象として選択され
ている状態。
このアイテムは部分的に選択されています。アイテムは選択され
ていませんが、一部のサブアイテムは検索の対象として選択され
ています。
アイテムとそのサブアイテムのすべてがこの検索から除外されて
いる状態。
アイテムが部分的に除外されている状態。アイテムは選択されて
いますが一部のサブアイテムは検索から除外されています。
オンデマンド検索用の除外が設定されているため、アイテムとそ
のサブアイテムすべてが、すべてのオンデマンド検索から除外さ
れている状態。詳細は、オンアクセス検索の対象から除外するア
イテムを追加、編集、削除する (p. 16) を参照してください。
4.3.6.3 カスタム検索を環境設定する
重要: Sophos Endpoint Security and Control が管理コンソールで管理されてい
る場合、ここで変更する設定内容は管理コンソールによって上書きされるこ
とがあります。
デフォルトで、Sophos Anti-Virus のカスタム検索で検出、クリーンアップさ
れる脅威は次のとおりです。
■
ウイルス
■
トロイの木馬
■
ワーム
■
スパイウェア
■
アドウェアや他の不要と思われるアプリケーションアドウェア (PUA)
■
ルートキット
カスタム検索を設定する方法は次のとおりです。
1. 「ホーム」ページの「ウイルス対策および HIPS」で、「検索」をクリッ
クします。
「ホーム」ページの詳細は、ホームページについて (p. 5) を参照してく
ださい。
28
ヘルプ
2. 「実行可能な検索」リストで、編集する検索を選択し、「編集」をクリッ
クします。
3. 「検索を環境設定する」をクリックします。
4. 「検索するアイテム」パネルで、次の説明に従ってオプションを設定しま
す。
オプション
説明
アドウェアおよび不要と
思われるアプリケーショ
ン
アドウェアはポップアップメッセージなど広告を表示する
プログラムで、ユーザーの生産性やシステム効率に影響を
与える可能性があります。
不要と思われるアプリケーションは、悪質ではないものの
一般的に企業ネットワークには不適切と考えられているア
プリケーションです。
疑わしいファイル
疑わしいファイルは、ウイルスによく見られる特徴を持ち
ながらウイルスに限定されない特徴も持つファイルです。
ルートキット
ルートキット検索は、SophosAdministrator グループに所属
するユーザーがコンピュータのフル検索を行うたびに必ず
実行されます。
また、カスタム検索の一部としてルートキット検索を実行
することもできます。
29
Sophos Endpoint Security and Control
5. 「他の検索オプション」パネルで、次の説明に従ってオプションを設定し
ます。
オプション
説明
すべてのファイルを検
索する
コンピュータのパフォーマンスに深刻な影響を与えるため、
この検索オプションは週に一度の定期スキャンだけで実行す
ることをお勧めします。
圧縮ファイル内を検索
する
アーカイブファイルや圧縮ファイルをローカルコンピュータ
にダウンロードしたり、ローカルコンピュータからメール送
信したりする前に、その中身を検索する場合は、このオプショ
ンを有効にします。
しかしながら、検索スピードが著しく低下するため、このオ
プションを無効に設定することをお勧めします。
このオプションが無効になっていても、システムはアーカイ
ブや圧縮ファイル内の脅威から保護されます。マルウェアの
可能性があるアーカイブや圧縮ファイルのコンポーネントは、
以下のようにオンアクセス検索でブロックされます。
■ 圧縮ファイルから解凍したファイルを開くと検索が実行さ
れます。
■ ダイナミック圧縮ユーティリティ (PKLite、LZEXE、Diet)
を使って圧縮されたファイルは検索が実行されます。
システムメモリを検索
する
バックグラウンド検索を毎時間実行し、コンピュータのシス
テムメモリ (OS が使用するメモリ) に潜むマルウェアを検出す
る場合は、このオプションを有効にします。
低いプライオリティで
検索を実行する
Windows Vista 以降では、低いプライオリティでカスタム検索
を実行し、ユーザーが実行するアプリケーションへの影響を
最小限に抑えます。
4.3.6.4 カスタム検索のクリーンアップを環境設定する
重要: Sophos Endpoint Security and Control が管理コンソールで管理されてい
る場合、ここで変更する設定内容は管理コンソールによって上書きされるこ
とがあります。
カスタム検索のクリーンアップを設定する方法は次のとおりです。
1. 「ホーム」ページの「ウイルス対策および HIPS」で、「検索」をクリッ
クします。
「ホーム」ページの詳細は、ホームページについて (p. 5) を参照してく
ださい。
30
ヘルプ
2. 「実行可能な検索」リストで、編集する検索を選択し、「編集」をクリッ
クします。
3. 「検索を環境設定する」をクリックします。
4. 「クリーンアップ」タブをクリックします。
5. 感染ファイルを自動的にクリーンアップするには、「ウイルス/スパイウェ
ア」の「ウイルス/スパイウェアを含むファイルを自動クリーンアップす
る」チェックボックスを選択します。
6. 自動クリーンアップを有効にしていない場合や、自動クリーンアップに失
敗した場合に Sophos Anti-Virus で実行する感染アイテムの処理方法を選択
します。
オプション
説明
ログのみを生成する
Sophos Anti-Virus では、感染項目をカスタム検索のログに出
力する以外のアクションは実行されません。詳細は カスタム
検索のログを表示する (p. 34) を参照してください。
このオプションはデフォルトで選択されています。
削除する
次の場所に移動する
これらの設定はソフォス テクニカルサポートから指示があっ
た場合のみに使います。
それ以外の場合は、隔離マネージャを使用して、Sophos
Anti-Virus がコンピュータで検出されたウイルス/スパイウェ
アをクリーンアップしてください。詳細は隔離エリアにある
ウイルス/スパイウェアに対処する (p. 46) を参照してくださ
い。
7. 「疑わしいファイル」の下からマルウェアでよく使用されるコードが検出
されたときに Sophos Anti-Virus で実行するアクションを選択します。
オプション
説明
ログのみを生成する
Sophos Anti-Virus では、感染項目を検索のログに出力する以
外のアクションは実行されません。
このオプションはデフォルトで選択されています。
削除する
次の場所に移動する
これらの設定はソフォステクニカルサポートから指示があっ
た場合のみに使います。
それ以外の場合は、隔離マネージャを使用して、Sophos
Anti-Virus がコンピュータで検出されたウイルス/スパイウェ
アをクリーンアップしてください。詳細は隔離エリアにある
疑わしいファイルに対処する (p. 50) を参照してください。
31
Sophos Endpoint Security and Control
8. すべてのユーザーに対して、アドウェアや不要と思われるアプリケーショ
ン (PUA) のすべてのコンポーネントを削除するには、「アドウェアや不
要と思われるアプリケーション」の「アドウェアや不要と思われるアプリ
ケーションを自動クリーンアップする」チェックボックスを選択します。
クリーンアップを実行しても、アドウェアや不要と思われるアプリケー
ションによる変更箇所は修復されません。
■
アドウェアや不要と思われるアプリケーションの副作用について、ソ
フォスの Web サイトの詳細を参照するには、クリーンアップ情報を入
手する (p. 54) を参照してください。
■
「隔離マネージャ」を使用してコンピュータからアドウェアや不要と
思われるアプリケーションをクリーンアップするには、隔離エリアに
あるアドウェアや不要と思われるアプリケーションに対処する (p. 48)
を参照してください。
4.3.6.5 カスタム検索をスケジュール設定する
SophosAdministrator グループのメンバーは、カスタム検索をスケジュール設
定したり、他のユーザーが作成したスケージュール検索を表示・編集できま
す。
1. 「ホーム」ページの「ウイルス対策および HIPS」で、「検索」をクリッ
クします。
「ホーム」ページの詳細は、ホームページについて (p. 5) を参照してく
ださい。
2. 「実行可能な検索」リストで、編集する検索を選択し、「編集」をクリッ
クします。
3. 「検索をスケジュール設定する」をクリックします。
4. 「スケジュール検索」ダイアログボックスで、「スケジュール検索を有効
にする」を選択します。
検索を実行する曜日を選択します。
「追加」をクリックして時刻を指定します。
必要に応じて時刻を選択し、「削除」や「編集」をクリックして削除・変
更します。
5. 「ユーザー名」および「パスワード」を入力します。空のパスワード欄が
空白でないことを確認します。
スケジュール検索は、このユーザーのアクセス権で実行されます。
32
ヘルプ
ヒント: 脅威のコンポーネントがメモリに検出された場合、検索でウイルス/
スパイウェアを自動的にクリーンアップしないように設定していると検索が
終了します。これは検索を続行すると脅威が拡散する恐れがあるためです。
もう一度検索を実行する前に、必ず脅威をクリーンアップしてください。
4.3.6.6 カスタム検索を実行する
ヒント: スケジュール設定したカスタム検索を手動で実行することはできま
せん。「実行可能な検索」のリストで、スケジュール検索の横には時計アイ
コンが表示されます。
1. 「ホーム」ページの「ウイルス対策および HIPS」で、「検索」をクリッ
クします。
「ホーム」ページの詳細は、ホームページについて (p. 5) を参照してく
ださい。
2. 「実行可能な検索」リストで、実行する検索を選択し、「開始」をクリッ
クします。
プログレス ダイアログボックスが表示され、「活動内容のサマリー」パ
ネルが Sophos Endpoint Security and Control ウィンドウに表示されます。
ヒント: 脅威のコンポーネントがメモリに検出された場合、検索でウイルス/
スパイウェアを自動的にクリーンアップしないように設定していると検索が
終了します。これは検索を続行すると脅威が拡散する恐れがあるためです。
もう一度検索を実行する前に、必ず脅威をクリーンアップしてください。
脅威や管理対象アプリケーションが検出されたら、「詳細」をクリックしま
す。詳細は「隔離アイテムを管理する」のセクションを参照してください。
4.3.6.7 カスタム検索の名前を変更する
1. 「ホーム」ページの「ウイルス対策および HIPS」で、「検索」をクリッ
クします。
「ホーム」ページの詳細は、ホームページについて (p. 5) を参照してく
ださい。
2. 「実行可能な検索」リストで、編集する検索を選択し、「編集」をクリッ
クします。
3. 「検索名」ボックスに、新しい検索名を入力します。
33
Sophos Endpoint Security and Control
4.3.6.8 カスタム検索のログを表示する
1. 「ホーム」ページの「ウイルス対策および HIPS」で、「検索」をクリッ
クします。
「ホーム」ページの詳細は、ホームページについて (p. 5) を参照してく
ださい。
2. 「実行可能な検索」リストで、対象のカスタム検索の「サマリー」をク
リックします。
3. 「サマリー」ダイアログボックスの下部にあるリンクをクリックします。
ログのページから、ログの内容をクリップボードにコピーしたり、メール送
信したり、印刷することができます。
ログファイル内の特定のテキストを検索する場合は、「検索」をクリックし
て、検索するテキストを入力します。
4.3.6.9 カスタム検索のサマリーを表示する
1. 「ホーム」ページの「ウイルス対策および HIPS」で、「検索」をクリッ
クします。
「ホーム」ページの詳細は、ホームページについて (p. 5) を参照してく
ださい。
2. 「実行可能な検索」リストで、対象のカスタム検索の「サマリー」をク
リックします。
4.3.6.10 カスタム検索を削除する
1. 「ホーム」ページの「ウイルス対策および HIPS」で、「検索」をクリッ
クします。
「ホーム」ページの詳細は、ホームページについて (p. 5) を参照してく
ださい。
2. 「実行可能な検索」リストで、削除する検索を選択し、「削除」をクリッ
クします。
4.3.7 コンピュータのフル検索を実行する
ブートセクタやシステムメモリを含むコンピュータシステム全体に対して、
即時に検索を実行する方法は次のとおりです。
❖
34
「ホーム」ページの「ウイルス対策および HIPS」で、「ローカルディス
クの検索」をクリックします。
ヘルプ
「ホーム」ページの詳細は、ホームページについて (p. 5) を参照してく
ださい。
進行状況のダイアログボックスが表示され、「活動内容のサマリー」がSophos
Endpoint Security and Control ウィンドウに表示されます。
ヒント: 脅威のコンポーネントがメモリに検出された場合、検索は終了しま
す。これは検索を続行すると脅威が拡散する恐れがあるためです。もう一度
検索を実行する前に、必ず脅威をクリーンアップしてください。
脅威や管理対象アプリケーションが検出されたら、「詳細」をクリックしま
す。詳細は「隔離アイテムを管理する」のセクションを参照してください。
4.4 Sophos Behavior Monitoring
4.4.1 Sophos Behavior Monitoring (ソフォス 動作監視) について
Sophos Behavior Monitoring は、オンアクセス検索の一機能で Windows 2000
以降を実行するコンピュータを未知の「ゼロデイ脅威」および疑わしい動作
から保護します。
ランタイム検知では実行前に検出できないセキュリティ脅威が阻止されま
す。動作監視機能は次の 2種類のランタイム検知技術で脅威をインターセプ
トします。
■
悪意のある/疑わしい動作の検知
■
バッファオーバーフローの検知
悪意のある/疑わしい動作の検知
疑わしい動作の検知は、ソフォスのホスト侵入防止システム (HIPS) を駆使
して、コンピュータで実行されているすべてのプログラムの動作を動的に解
析し、悪意を持つ可能性のある動作を検知・ブロックします。疑わしい動作
の中には、コンピュータの再起動時にウイルスの自動実行を可能にするレジ
ストリの変更などがあります。
疑わしい動作の検知は、すべてのシステムのプロセスを監視し、レジストリ
への疑わしい書き込みやファイルの複製など、アクティブなマルウェアがな
いかどうかを検知します。この機能を設定し、管理者に警告を送信および/
またプロセスをブロックできます。
悪意のある動作の検知は、コンピュータで実行されているすべてのプログラ
ムの動作を動的に解析し、既知の悪質な動作を検知・ブロックします。
35
Sophos Endpoint Security and Control
バッファオーバーフローの検知
バッファオーバーフローの検知はゼロデイ攻撃を防御するうえで重要な機能
です。
システム上で実行されているプログラムの動作を動的に分析し、バッファー
オーバーフローによる、それらのプロセスを悪用する動きを検知します。OS
およびアプリケーションのセキュリティの脆弱性を狙った攻撃が検知されま
す。
4.4.2 動作監視を有効にする
重要: Sophos Endpoint Security and Control が管理コンソールで管理されてい
る場合、ここで変更する設定内容は管理コンソールによって上書きされるこ
とがあります。
SophosAdministrator グループのメンバーは動作監視を有効に設定できます。
1. 「 ホーム > ウイルス対策および HIPS > ウイルス対策および HIPS の環境
設定 > 環境設定 > 動作監視 」をクリックします。
2. 「動作監視の環境設定」ダイアログボックスで、「動作監視を有効にす
る」チェックボックスを選択します。
4.4.3 悪意のある動作を検知する
重要: Sophos Endpoint Security and Control が管理コンソールで管理されてい
る場合、ここで変更する設定内容は管理コンソールによって上書きされるこ
とがあります。
悪意のある動作の検知は、コンピュータで実行されているすべてのプログラ
ムの動作を動的に解析し、既知の悪質な動作を検知・ブロックします。
SophosAdministrator グループのメンバーは、悪意のある動作の検知やレポー
トの設定を変更できます。
1. 「 ホーム > ウイルス対策および HIPS > ウイルス対策および HIPS の環境
設定 > 環境設定 > 動作監視 」をクリックします。
2. 「動作監視の環境設定」ダイアログボックスで、「動作監視を有効にす
る」チェックボックスを選択します。
3. 悪意のある動作をブロックし、管理者に警告を送信するには、「悪意のあ
る動作を検知する」チェックボックスを選択してください。
36
ヘルプ
4.4.4 疑わしい動作を防止する
重要: Sophos Endpoint Security and Control が管理コンソールで管理されてい
る場合、ここで変更する設定内容は管理コンソールによって上書きされるこ
とがあります。
疑わしい動作の検知は、すべてのシステムのプロセスを監視し、レジストリ
への疑わしい書き込みやファイルの複製など、アクティブなマルウェアがな
いかどうかを検知します。この機能を設定し、管理者に警告を送信および/
またプロセスをブロックできます。
SophosAdministrator グループのメンバーは、疑わしい動作の検知やレポート
の設定を変更できます。
1. 「 ホーム > ウイルス対策および HIPS > ウイルス対策および HIPS の環境
設定 > 環境設定 > 動作監視 」をクリックします。
2. 「動作監視の環境設定」ダイアログボックスで、「動作監視を有効にす
る」チェックボックスを選択します。
3. 「悪意のある動作を検知する」チェックボックスを選択します。
4. 疑わしいプロセスをブロックし、管理者に警告を送信するには、「疑わし
い動作を検知する」チェックボックスを選択してください。
5. 疑わしいプロセスをブロックせず、管理者に警告だけ送信するには、「疑
わしい動作を警告するが、ブロックしない」チェックボックスを選択して
ください。
最高の保護レベルに設定するため、疑わしいファイルを検索することを推奨
します。詳細は次の項目を参照してください。
■
オンアクセス検索を環境設定する (p. 10)
■
右クリック検索を環境設定する (p. 23)
■
カスタム検索を環境設定する (p. 28)
4.4.5 バッファオーバーフローを防止する
重要: Sophos Endpoint Security and Control が管理コンソールで管理されてい
る場合、ここで変更する設定内容は管理コンソールによって上書きされるこ
とがあります。
バッファオーバーフローの検知は、システム上で実行されているプログラム
の動作を動的に分析し、バッファーオーバーフローを利用したプロセスを悪
用する動きを検知します。
37
Sophos Endpoint Security and Control
SophosAdministrator グループのメンバーは、バッファオーバーフローの検知
やレポートの設定を変更できます。
1. 「 ホーム > ウイルス対策および HIPS > ウイルス対策および HIPS の環境
設定 > 環境設定 > 動作監視 」をクリックします。
2. 「動作監視の環境設定」ダイアログボックスで、「動作監視を有効にす
る」チェックボックスを選択します。
3. バッファオーバーフローをブロックし、管理者に警告を送信するには、
「バッファオーバーフローを検知する」チェックボックスを選択してくだ
さい。
4. バッファオーバーフローをブロックせず、管理者に警告だけ送信するに
は、「バッファオーバーフローを警告するが、ブロックしない」チェック
ボックスを選択してください。
4.5 Sophos Live Protection
4.5.1 Sophos Live Protection (ソフォス ライブスキャン) について
ソフォス ライブ スキャンは、不正な疑いのあるファイルが脅威であるかど
うかを判断する、クラウド型の検出機能です。脅威を検知すると、Sophos
Anti-Virus のクリーンアップ機能に設定されているアクションが直ちに実行
されます。
また、誤検知のリスクを抑え、高い精度で新種マルウェアを検出します。最
新の情報が保存されるソフォスのマルウェアデータベースをリアルタイムに
参照することで、新しい脅威にすばやく対応できます。新種マルウェアとし
て検出された場合、ソフォスから脅威定義ファイルのアップデート版を数秒
内に受信できます。
ソフォス ライブスキャンでは、次のオプションを設定できます。
■
ライブスキャンを有効にする
エンドポイントコンピュータのウイルス検索機能で疑わしいファイルが検
出された場合で、ローカルの脅威定義ファイル (IDE ファイル) を使って
も、ファイルが感染していないか、あるいは悪質なものか詳細な判定がで
きないときは、チェックサムやその他の属性など、特定のファイルデータ
がソフォスに送信され、詳細な解析が行われます。
オンラインベースのチェックでは、疑わしいファイルがソフォスラボの
データベースと照合されます。ファイルが未感染または悪質であると判断
された場合、結果がローカルコンピュータに返信され、ファイルのステー
タスが自動的に更新されます。
38
ヘルプ
■
サンプルファイルをソフォスに自動送信する
疑わしいファイルとして検出されるものの、ファイルのデータだけから悪
質なファイルと判断できない場合は、ソフォスへのサンプルファイルの提
出が要求されます。このオプションが有効になっている場合で、当該の
ファイルのサンプルがソフォスにないときは、ファイルが自動的にソフォ
スに送信されます。
サンプルファイルの提出は、誤検出のリスク削減につながり、マルウェア
検出機能の改善に役立ちます。
4.5.2 ソフォス ライブスキャンを有効/無効に切り替える
重要: Sophos Endpoint Security and Control が管理コンソールで管理されてい
る場合、ここで変更する設定内容は管理コンソールによって上書きされるこ
とがあります。
SophosAdministrator グループのメンバーは、ソフォス ライブスキャンのオプ
ションを有効/無効に切り替えることができます。
1. 「 ホーム > ウイルス対策および HIPS > ウイルス対策および HIPS の環境
設定 > 環境設定 > ソフォス ライブスキャン 」をクリックします。
2. 「ソフォスライブスキャン」ダイアログボックスで次の操作を行います。
■
■
ソフォスへのファイルデータの送信を有効/無効に切り替えるには、「ラ
イブスキャンを有効にする」チェックボックスを選択/選択解除します。
ソフォスへのファイルのサンプルの送信を有効/無効に切り替えるには、
「サンプルファイルをソフォスに自動送信する」チェックボックスを
選択/選択解除します。
このオプションは、「ライブスキャンを有効にする」を選択済みの場
合のみ使用できます。
注
ソフォス ライブスキャンを実行するためにファイルのサンプルを送信する
と、ファイルデータも同時に送信されます。
4.5.3 ソフォス ライブスキャンのログを表示する
ライブスキャンを実行するためにソフォスへ送信されたファイルデータや、
スキャン終了後のファイルのステータス情報は、ローカルコンピュータの検
索ログに記録されます。
39
Sophos Endpoint Security and Control
ソフォスライブスキャンが有効になっている場合、次の内容がログに表示さ
れます。
■
ソフォスにデータが送信された各ファイルのパス。
■
データの送信日時。
■
データ送信に失敗した場合はその理由 (判明している場合)。
■
ファイルの現在のステータス (悪意のあるファイルとして検出された場合
は、「ウイルス/スパイウェア」など)。
検索ログを表示する方法は次のとおりです。
■
「ホーム」ページの「ウイルス対策および HIPS」で、「ウイルス対策お
よび HIPS ログの表示」をクリックします。
「ホーム」ページの詳細は、ホームページについて (p. 5) を参照してく
ださい。
ログのページから、ログの内容をクリップボードにコピーしたり、メール送
信したり、印刷することができます。
ログファイル内の特定のテキストを検索する場合は、「検索」をクリックし
て、検索するテキストを入力します。
4.6 Sophos Web Protection
4.6.1 Sophos Web Protection (ソフォス Web スキャン) について
Sophos Web Protection は、Web サイトの脅威に対する保護機能を強化しま
す。感染 Web サイトに関するソフォスのオンラインデータベースで URL を
参照し、マルウェア感染サイトの場合、アクセスをブロックします。
Web スキャンで対応しているブラウザは次のとおりです。
■
Internet Explorer
■
Firefox
■
Google Chrome
■
Safari
■
Opera
悪意のある Web サイトへのアクセスがブロックされると、検索ログにイベ
ントが記録されます。検索ログの表示に関する詳細は、検索ログを表示する
(p. 60) を参照してください。
40
ヘルプ
4.6.2 悪意のある Web サイトへのアクセスのブロックを解除する
重要: Sophos Endpoint Security and Control が管理コンソールで管理されてい
る場合、ここで変更する設定内容は管理コンソールによって上書きされるこ
とがあります。
悪意のある Web サイトへのアクセスのブロックを解除する方法は次のとお
りです。
1. 「 ホーム > ウイルス対策および HIPS > ウイルス対策および HIPS の環境
設定 > 環境設定 > Web スキャン 」をクリックします。
2. 「悪意のある Web サイトへのアクセスのブロック」リストで、「無効」
をクリックします。
悪意のある Web サイトとして分類されるサイトを認証する方法は、Web
サイトを認証する (p. 43) を参照してください。
3. 「ダウンロードスキャン」リストで、「無効」、「有効」または「オンア
クセス検索の設定と同じ」をクリックします。
「オンアクセス検索の設定と同じ」を選択すると、既存のオンアクセス検
索の設定が適用されます。
4.7 使用するアイテムを認証する
4.7.1 アドウェアや不要と思われるアプリケーションの使用を認証する
重要: Sophos Endpoint Security and Control が管理コンソールで管理されてい
る場合、ここで変更する設定内容は管理コンソールによって上書きされるこ
とがあります。
アドウェアや Sophos Anti-Virus で業務上不要と思われると判断されたアプリ
ケーションを実行するには、そのアプリケーションを認証します。
アドウェアや不要と思われるアプリケーションの使用を認証する方法は次の
とおりです。
1. 「 ホーム > ウイルス対策および HIPS > ウイルス対策および HIPS の環境
設定 > 環境設定 > 認証 」をクリックします。
2. 「アドウェアや不要と思われるアプリケーション」タブで、「既知アド
ウェアや不要と思われるアプリケーション」リストから、アドウェアや不
要と思われるアプリケーションを選択します。
3. 「追加」をクリックします。
41
Sophos Endpoint Security and Control
追加したアドウェアや不要と思われるアプリケーションは、「認証済みアド
ウェアや不要と思われるアプリケーション」リストに表示されます。
ヒント: アドウェアや不要と思われるアプリケーションは、「隔離マネー
ジャ」を使って認証することもできます。操作方法の詳細は、隔離エリアに
あるアドウェアや不要と思われるアプリケーションに対処する (p. 48) を参
照してください。
4.7.2 認証済みアドウェアや不要と思われるアプリケーションをブロック
する
一度認証したアドウェアや不要と思われるアプリケーションの実行をブロッ
クする方法は次のとおりです。
1. 「 ホーム > ウイルス対策および HIPS > ウイルス対策および HIPS の環境
設定 > 環境設定 > 認証 」をクリックします。
2. 「アドウェアや不要と思われるアプリケーション」タブで、「認証済みア
ドウェアや不要と思われるアプリケーション」リストから、ブロックする
アドウェアや不要と思われるアプリケーションを選択します。
3. 「削除」をクリックします。
4.7.3 疑わしいアイテムの使用を認証する
重要: Sophos Endpoint Security and Control が管理コンソールで管理されてい
る場合、ここで変更する設定内容は管理コンソールによって上書きされるこ
とがあります。
Sophos Anti-Virus で疑わしいと判断されたアイテムを認証するには、次の操
作を行ってください。
1. 「 ホーム > ウイルス対策および HIPS > ウイルス対策および HIPS の環境
設定 > 環境設定 > 認証 」をクリックします。
2. バッファオーバーフローなど、検出されたアイテムの種類に対応するタブ
をクリックします。
3. 「既知」のリストから疑わしいアイテムを選択します。
4. 「追加」をクリックします。
疑わしいアイテムが「認証済み」のリストに表示されます。
ヒント: 疑わしいアイテムは、「隔離マネージャ」を使って認証することも
できます。操作方法の詳細は次のトピックを参照してください。
■
42
隔離エリアにある疑わしいファイルに対処する (p. 50)
ヘルプ
■
隔離されている疑わしい動作に対処する (p. 51)
4.7.4 事前に疑わしいアイテムを認証する
Sophos Endpoint Security and Control で、疑わしいと分類される前にアイテム
を認証することができます。
事前に疑わしいアイテムを認証する方法は次のとおりです。
1. 「 ホーム > ウイルス対策および HIPS > ウイルス対策および HIPS の環境
設定 > 環境設定 > 認証 」をクリックします。
2. バッファオーバーフローなど、検出されたアイテムの種類に対応するタブ
をクリックします。
3. 「新規エントリ」をクリックします。
4. 疑わしいアイテムを見つけ、ダブルクリックします。
疑わしいアイテムが「認証済み」のリストに表示されます。
4.7.5 Web サイトを認証する
重要: Sophos Endpoint Security and Control が管理コンソールで管理されてい
る場合、ここで変更する設定内容は管理コンソールによって上書きされるこ
とがあります。
ソフォス製品で悪意のあるサイトとして識別される Web サイトのブロック
を解除するには、対象のサイトを認証するサイトへ追加します。Web サイト
を認証すると、認証した Web サイトの URL はソフォスのオンライン Web
フィルタリングサービスで検証されなくなります。
警告: 悪意のあるサイトとして分類されている Web サイトを認証すると、コ
ンピュータが脅威に感染する可能性が高くなります。このため、サイトを認
証する前に、必ず、閲覧しても安全であることを確認してください。
Web サイトを認証する方法は次のとおりです。
1. 「 ホーム > ウイルス対策および HIPS > ウイルス対策および HIPS の環境
設定 > 環境設定 > 認証 」をクリックします。
2. 「Web サイト」タブをクリックします。
3. 「追加」をクリックします。
4. ドメイン名や IP アドレスを入力します。
「認証済み Web サイト」の一覧に、追加した Web サイトが表示されます。
43
Sophos Endpoint Security and Control
4.8 隔離アイテムを管理する
4.8.1 隔離マネージャについて
隔離マネージャを使って、検出時に自動的に削除されなかったアイテムに対
処できます。アイテムは、次のいずれかの場合に隔離マネージャに表示され
ます。
■
アイテムを検出した種類の検索に対して、クリーンアップ、削除、移動な
どのクリーンアップオプションが指定されていない。
■
アイテムを検出した種類の検索に対して、クリーンアップオプションは指
定されているが、オプションの実行に失敗した。
■
アイテムが何重にも感染しており、まだ他の脅威を含んでいる。
■
脅威は部分的に検出されただけで、完全に検出するにはコンピュータのフ
ル検索が必要である。操作方法は、コンピュータのフル検索を実行する
(p. 34) を参照してください。
■
アイテムが疑わしい動作を示している。
■
アイテムが管理対象アプリケーションである。
ヒント: オンアクセス検索時に検出されたアドウェア、不要と思われるアプ
リケーション、および複合感染は必ず隔離マネージャに表示されます。アド
ウェア、不要と思われるアプリケーション、複合感染の自動クリーンアップ
は、オンアクセス検索では行われません。
十分なアクセス権がないため、クリーンアップオプションの実行に失敗する
場合もあります。より強力な権限がある場合は、隔離マネージャを使用して
アイテムを処理できます。
Web コンテンツ検索では、コンピュータにダウンロードされていない脅威を
検出するため、「隔離マネージャ」のリストには表示されません。この場
合、脅威が検出された後に、対処する必要はありません。
4.8.2 「隔離マネージャ」ウィンドウについて
隔離マネージャには検索で検出されたアイテムがすべて表示され、ここから
それらのアイテムを処理できます。「隔離マネージャ」ウィンドウの各機能
については以下を参照してください。
44
ヘルプ
「表示」リストをクリックすると、アイテムの種類をフィルタ表示できます。
アイテムの ID 名。名前をクリックすると、対応するソフォス Web サイトの解析情
報ページが開きます。
アイテムの名前と場所。
ルートキットに関連するアイテムの場合は、「隠されているアイテム」と表示され
ます。
ファイル名の横に「[詳細]」リンクが表示されている場合、そのアイテムが複合感
染していることを意味します。リンクをクリックし、感染の一部分である他のコン
ポーネントの一覧を参照してください。ルートキットに関連するコンポーネントが
ある場合は、隠されたコンポーネントがあることがダイアログボックスで表示され
ます。
アイテムを処理する際に実行可能なアクション。
隠されているアイテムでない場合は、クリーンアップ、削除、および移動の 3つの
アクションがあります。
各アクションをクリックすると、確認メッセージが表示された後、そのアイテムに
対して直ちにアクションが実行されます。隠されたファイルに対してはクリーンアッ
プのみ実行できます。
検出されたアイテムのリスト。
アイテムを並べ替えるには、該当するカラムのヘッダをクリックします。
「すべて選択」をクリックすると、すべてのアイテムに同じアクションを実行でき
ます。
特定のアイテムを選択解除するには、「種類」カラムにあるチェックボックスを選
択解除します。
45
Sophos Endpoint Security and Control
すべてのアイテムを選択後、選択を解除するには、「選択解除」をクリックします。
特定のアイテムを選択するには、「種類」カラムにあるチェックボックスをクリッ
クします。
「リストから消去」をクリックすると、選択したアイテムが未処理のままリストか
ら消去されます。
このアクションにより、消去したアイテムがディスクから削除されることはありま
せん。
「アクションの実行」をクリックすると、選択した各アイテムに対して実行可能な
アクションが表示されます。
4.8.3 隔離エリアにあるウイルス/スパイウェアに対処する
ヒント: ここにおけるウイルスは、ウイルス、ワーム、トロイの木馬または
その他の悪意のあるソフトウェアを指します。
1. 「ホーム」ページの「ウイルス対策および HIPS」で、「隔離アイテムの
管理」をクリックします。
「ホーム」ページの詳細は、ホームページについて (p. 5) を参照してく
ださい。
2. 「表示」リストで、「ウイルス/スパイウェア」をクリックします。
それぞれのアイテムの詳細は各欄に表示されます。
「名前」は Sophos Anti-Virus で検出された ID 名です。ウイルス/スパイウェ
アの詳細情報を表示するには、対象の ID 名をクリックしてください。ソフォ
ス Web サイトのウイルス/スパイウェア解析が表示されます。
「詳細」には、アイテムの名前と場所が表示されます。ルートキットに関連
するアイテムの場合は、「隠されているアイテム」と表示されます。ファイ
ル名の横に「[詳細]」リンクが表示されている場合、そのアイテムが複合感
染していることを意味します。リンクをクリックし、感染の一部分である他
のコンポーネントの一覧を参照してください。ルートキットに関連するアイ
テムがある場合は、隠されたコンポーネントがあることがダイアログボック
スで表示されます。
「実行可能なアクション」には、各アイテムに対して実施可能な対処方法が
表示されます。隠されたアイテムでない場合は、クリーンアップ、削除およ
び移動の 3つのアクションがあります (以下参照)。各アクションをクリック
すると、確認メッセージが表示された後、アイテムに対してアクションが実
行されます。隠されたファイルに対してはクリーンアップのみ実行できま
す。
46
ヘルプ
感染アイテムの対処方法
ウイルス/スパイウェアに対処するには次のボタンを使います。
すべて選択/すべてクリア
これらのボタンをクリックして、すべてのアイテムを選択、または選択解除
します。これによって、複数のアイテムに同じアクションを実行できます。
特定のアイテムを選択または選択解除するには、アイテムの種類の左側にあ
るチェックボックスを選択/選択解除します。
リストから消去
ウイルスやスパイウェアを含まないことが確実にわかっている場合、選択し
たアイテムをリストから消去します。消去したアイテムがディスクから削除
されることはありません。
アクションの実行
選択した各アイテムに対して実行可能なアクションを表示します。
■
選択したアイテムからウイルスやスパイウェアを削除するには、「クリー
ンアップ」をクリックします。ドキュメントをクリーンアップしても、ド
キュメントが持つウイルスの副作用は修復されません。
ヒント: 複数のコンポーネントから構成されるウイルス/スパイウェアをコ
ンピュータからすべてクリーンアップしたり、または隠されたファイルを
クリーンアップするには、コンピュータを再起動する必要があります。こ
の場合、直ちにコンピュータを再起動、または後で再起動するか選択する
ことができます。コンピュータの再起動を行わないとクリーンアップは終
了しません。
ヒント: 一部のウイルスをクリーンアップする際にシステムのフル検索が
必要になります。この場合、すべてのウイルスにクリーンアップが実行さ
れます。完了までに時間がかかることがあります。検索が完了するまで、
「実行可能なアクション」の表示は、「クリーンアップしています」に変
更されます。
■
選択したアイテムをコンピュータから削除するには、「削除」をクリック
します。この機能は十分に注意して使用してください。
■
選択したアイテムを別のフォルダに移動するには、「移動」をクリックし
ます。アイテムは、クリーンアップ設定時に指定したフォルダに移動され
ます。実行ファイルは移動することで実行される可能性が低くなります。
この機能は十分に注意して使用してください。
47
Sophos Endpoint Security and Control
警告: 感染ファイルを削除・移動すると、そのファイルが見つからないため、
コンピュータが正常に動作しなくなることがあります。また、感染ファイル
が複合感染の一部である場合は、そのファイルを削除・移動するだけではコ
ンピュータをクリーンアップできません。この場合は、アイテムの対処方法
について、ソフォス テクニカルサポートにお問い合わせください。
テクニカルサポートへのお問い合わせに関する詳細は、テクニカルサポート
(p. 138) を参照してください。
実行可能なアクションを設定するには、隔離マネージャのユーザー権限を設
定する (p. 8) を参照してください。
4.8.4 隔離エリアにあるアドウェアや不要と思われるアプリケーションに
対処する
1. 「ホーム」ページの「ウイルス対策および HIPS」で、「隔離アイテムの
管理」をクリックします。
「ホーム」ページの詳細は、ホームページについて (p. 5) を参照してく
ださい。
2. 「表示」リストで、「アドウェアや不要と思われるアプリケーション」を
クリックします。
それぞれのアイテムの詳細は各欄に表示されます。
「名前」は Sophos Anti-Virus で検出された ID 名です。アドウェアや不要と
思われるアプリケーションの詳細情報を表示するには、対象の ID 名をクリッ
クしてください。ソフォス Web サイトの解析情報が表示されます。
「詳細」には、アドウェアや不要と思われるアプリケーションのサブタイプ
が表示されます。ルートキットに関連するアイテムの場合は、「隠されてい
るアイテム」と表示されます。サブタイプの横に「[詳細]」リンクが表示さ
れている場合、そのアイテムがアドウェアや不要と思われるアプリケーショ
ンの複合コンポーネントの 1つであることを意味します。リンクをクリック
し、アドウェアや不要と思われるアプリケーションの他のコンポーネントの
一覧を参照してください。ルートキットに関連するアイテムがある場合は、
隠されたコンポーネントがあることがダイアログボックスで表示されます。
「実行可能なアクション」には、各アイテムに対して実施可能な対処方法が
表示されます。認証およびクリーンアップの 2つのアクションがあります (以
下参照)。各アクションをクリックすると、確認メッセージが表示された後、
アイテムに対してアクションが実行されます。
48
ヘルプ
アドウェアや不要と思われるアプリケーションの対処方法
アドウェアや不要と思われるアプリケーションに対処するには、次のボタン
を使います。
すべて選択/すべてクリア
これらのボタンをクリックして、すべてのアイテムを選択、または選択解除
します。これによって、複数のアイテムに同じアクションを実行できます。
特定のアイテムを選択または選択解除するには、アイテムの種類の左側にあ
るチェックボックスを選択/選択解除します。
リストから消去
安全なことが確実にわかっている場合、選択したアイテムをリストから消去
します。消去したアイテムがディスクから削除されることはありません。
アクションの実行
選択した各アイテムに対して実行可能なアクションを表示します。
■
安全なことが確実にわかっている場合、選択したアイテムをコンピュータ
上で認証するには、「認証」をクリックします。これにより、アイテムが
認証済みアドウェア/不要と思われるアプリケーションのリストに追加さ
れ、Sophos Anti-Virus によりブロックされなくなります。
■
選択したアイテムのすべての既知コンポーネントを全ユーザーのコンピュー
タから削除するには、「クリーンアップ」をクリックします。コンピュー
タからアドウェアや不要と思われるアプリケーションを削除するには、
Windows Administrators および SophosAdministrator 両方のグループに所属
するユーザーである必要があります。
ヒント: 複数のコンポーネントから構成されるアドウェアや不要と思われる
アプリケーションをコンピュータからすべてクリーンアップしたり、または
隠されたファイルをクリーンアップするには、コンピュータを再起動する必
要があります。この場合、直ちにコンピュータを再起動、または後で再起動
するか選択することができます。コンピュータの再起動を行わないとクリー
ンアップは終了しません。
実行可能なアクションを設定するには、隔離マネージャのユーザー権限を設
定する (p. 8) を参照してください。
既知・認証済みアドウェア/不要と思われるアプリケーションの一覧を表示
するには、「認証の環境設定」をクリックしてください。
49
Sophos Endpoint Security and Control
4.8.5 隔離エリアにある疑わしいファイルに対処する
疑わしいファイルとは、ウイルスによく見られる特徴を持ちながらウイルス
に限定されない特徴も持つファイルを指します。
1. 「ホーム」ページの「ウイルス対策および HIPS」で、「隔離アイテムの
管理」をクリックします。
「ホーム」ページの詳細は、ホームページについて (p. 5) を参照してく
ださい。
2. 「表示」リストで、「疑わしいファイル」をクリックします。
それぞれのアイテムの詳細は各欄に表示されます。
「名前」は Sophos Anti-Virus で検出された ID 名です。疑わしいファイルの
詳細情報を表示するには、対象の ID 名をクリックしてください。ソフォス
Web サイトの疑わしいファイル解析が表示されます。
「詳細」には、アイテムの名前と場所が表示されます。ルートキットに関連
するアイテムの場合は、「隠されているアイテム」と表示されます。
「実行可能なアクション」には、各アイテムに対して実施可能な対処方法が
表示されます。隠されたアイテムでない場合は、認証、削除および移動の 3
つのアクションがあります (以下参照)。各アクションをクリックすると、確
認メッセージが表示された後、アイテムに対してアクションが実行されま
す。隠されたファイルに対しては認証のみ実行できます。
疑わしいファイルの対処方法
疑わしいファイルに対処するには次のボタンを使います。
すべて選択/すべてクリア
これらのボタンをクリックして、すべてのアイテムを選択、または選択解除
します。これによって、複数のアイテムに同じアクションを実行できます。
特定のアイテムを選択または選択解除するには、アイテムの種類の左側にあ
るチェックボックスを選択/選択解除します。
リストから消去
安全なことが確実にわかっている場合、選択したアイテムをリストから消去
します。消去したアイテムがディスクから削除されることはありません。
アクションの実行
50
ヘルプ
選択した各アイテムに対して実行可能なアクションを表示します。
■
安全なことが確実にわかっている場合、選択したアイテムをコンピュータ
上で認証するには、「認証」をクリックします。これにより、認証済み疑
わしいファイルのリストにアイテムが追加され、Sophos Sophos Anti-Virus
で接続がブロックされなくなります。
■
選択したアイテムをコンピュータから削除するには、「削除」をクリック
します。この機能は十分に注意して使用してください。
■
選択したアイテムを別のフォルダに移動するには、「移動」をクリックし
ます。アイテムは、クリーンアップ設定時に指定したフォルダに移動され
ます。実行ファイルは移動することで実行される可能性が低くなります。
この機能は十分に注意して使用してください。
警告: 感染ファイルを削除・移動すると、そのファイルが見つからないため、
コンピュータが正常に動作しなくなることがあります。
実行可能なアクションを設定するには、隔離マネージャのユーザー権限を設
定する (p. 8) を参照してください。
認証済み疑わしいファイルの一覧を表示するには、「認証の環境設定」をク
リックしてください。
4.8.6 隔離されている疑わしい動作に対処する
疑わしい動作とは、悪質と思われる動作を指します。
1. 「ホーム」ページの「ウイルス対策および HIPS」で、「隔離アイテムの
管理」をクリックします。
「ホーム」ページの詳細は、ホームページについて (p. 5) を参照してく
ださい。
2. 「表示」リストで、「疑わしい動作」をクリックします。
それぞれのアイテムの詳細は各欄に表示されます。
「名前」は Sophos Anti-Virus で検出された ID 名です。疑わしい動作の詳細
情報を表示するには、対象の ID 名をクリックしてください。ソフォス Web
サイトの疑わしい動作解析が表示されます。
「詳細」には、アイテムの名前と場所が表示されます。
「実行可能なアクション」には、各アイテムに対して実施可能な対処方法が
表示されます。疑わしい動作の阻止を有効にした場合のアクションは、以下
51
Sophos Endpoint Security and Control
に説明される「認証」です。このアクションをクリックすると、アイテムに
対してアクションが実行される前に確認メッセージが表示されます。
疑わしい動作の対処方法
疑わしい動作に対処するには次のボタンを使います。
すべて選択/すべてクリア
これらのボタンをクリックして、すべてのアイテムを選択、または選択解除
します。これによって、複数のアイテムに同じアクションを実行できます。
特定のアイテムを選択または選択解除するには、アイテムの種類の左側にあ
るチェックボックスを選択/選択解除します。
リストから消去
安全なことが確実にわかっている場合、選択したアイテムをリストから消去
します。消去したアイテムがディスクから削除されることはありません。
アクションの実行
選択した各アイテムに対して実行可能なアクションを表示します。
■
安全なことが確実にわかっている場合、選択したアイテムをコンピュータ
上で認証するには、「認証」をクリックします。これにより、認証済み疑
わしいアイテムのリストにアイテムが追加され、Sophos Anti-Virus で動作
がブロックされなくなります。
実行可能なアクションを設定するには、隔離マネージャのユーザー権限を設
定する (p. 8) を参照してください。
認証済み疑わしい動作の一覧を表示するには、「認証の環境設定」をクリッ
クしてください。
4.8.7 隔離エリアにある管理対象アプリケーションに対処する
管理対象アプリケーションは、社内セキュリティポリシーに基づき、コン
ピュータで起動しようとするとブロックされるアプリケーションです。
1. 「ホーム」ページの「ウイルス対策および HIPS」で、「隔離アイテムの
管理」をクリックします。
「ホーム」ページの詳細は、ホームページについて (p. 5) を参照してく
ださい。
2. 「表示」リストで、「管理対象アプリケーション」をクリックします。
それぞれのアイテムの詳細は各欄に表示されます。
52
ヘルプ
「名前」は Sophos Anti-Virus で検出された ID 名です。管理対象アプリケー
ションの詳細情報を表示するには、対象の ID 名をクリックしてください。
ソフォス Web サイトの管理対象アプリケーションの解析情報が表示されま
す。
「詳細」には、管理対象アプリケーションのサブタイプが表示されます。サ
ブタイプの横に「[詳細]」リンクが表示されている場合、クリックして、管
理対象アプリケーションの一部分である、他のコンポーネントの一覧を参照
してください。
「実行可能なアクション」には、各アイテムに対して実施可能な対処方法が
表示されます。なお、管理対象アプリケーションの対処方法は、「リストか
ら消去」に限られています (以下参照)。
管理対象アプリケーションの対処方法
管理対象アプリケーションに対処するには次のボタンを使います。
すべて選択/すべてクリア
これらのボタンをクリックして、すべてのアイテムを選択、または選択解除
します。これによって、複数のアイテムに同じアクションを実行できます。
特定のアイテムを選択または選択解除するには、アイテムの種類の左側にあ
るチェックボックスを選択/選択解除します。
リストから消去
選択したアイテムをリストから消去します。消去したアイテムがディスクか
ら削除されることはありません。管理対象アプリケーションを使用するに
は、管理コンソールで認証する必要があります。
4.9 クリーンアップ
4.9.1 クリーンアップについて
クリーンアップは、次のいずれかの方法でお使いのコンピュータから脅威を
削除する機能です。
■
ウイルス/スパイウェアをフロッピーディスクのブートセクター、ドキュ
メント、プログラム、その他の検索対象項目から削除する
■
疑わしいファイルを移動または削除する
■
アドウェアや不要と思われるアプリケーション (PUA) を削除する
Sophos Anti-Virus でウイルスやスパイウェアを含むアイテムを自動クリーン
アップすると、マルウェアそのものは削除され、感染しているアイテムに対
53
Sophos Endpoint Security and Control
しては駆除が実行されます。ウイルス検出スキャナは、破損前のファイルの
内容を把握することはできないため、駆除されたファイルは恒久的に破損し
たファイルとして扱うべきです。
ドキュメントをクリーンアップする
ドキュメントをクリーンアップしても、ドキュメントが持つウイルス/スパ
イウェアの副作用は修復されません。ウイルスの副作用についてソフォス
Web サイト上の情報を表示する方法は、クリーンアップ情報を入手する (p.
54) を参照してください。
プログラムをクリーンアップする
プログラムのクリーンアップは、一時的な対応策としてのみ使用してくださ
い。クリーンアップ後、オリジナルのディスクや感染前に取ったバックアッ
プを使用してプログラムを入れ替えてください。
Web コンテンツの脅威をクリーンアップする
Web コンテンツ検索では、コンピュータにダウンロードされていない脅威を
検出するため、クリーンアップは必要ありません。
注
■
クリーンアップ機能では、脅威が実行した動作を元に戻すことはできませ
ん。
■
感染アイテムに対して Sophos Anti-Virus で実行されるアクションは、すべ
てこのコンピュータ用のログやカスタム検索用のログに記録されます。検
索ログを表示する (p. 60) またはカスタム検索のログを表示する (p. 34) を
参照してください。
■
複合脅威をコンピュータからすべてクリーンアップするには、コンピュー
タを再起動する必要があります。この場合、直ちにコンピュータを再起
動、または後で再起動するか選択することができます。コンピュータの再
起動を行わないとクリーンアップは終了しません。
4.9.2 クリーンアップ情報を入手する
コンピュータで脅威が検出された場合は、脅威に関する情報やクリーンアッ
プの方法について、ソフォス Web サイトの脅威解析情報を必ず参照してく
ださい。次の項目から表示できます。
54
■
デスクトップ警告 (オンアクセス検索)
■
検索の進行状況ダイアログボックス (カスタム検索、右クリック検索)
ヘルプ
■
隔離マネージャ (全タイプの検索)
デスクトップ警告から情報を表示する
コンピュータのオンアクセス検索が有効になっている場合、脅威が検出され
ると Sophos Anti-Virus はデスクトップ警告を表示します。
情報を表示する脅威名をメッセージボックスでクリックしてください。Sophos
Anti-Virus は、ソフォス Web サイトから対象の脅威解析情報を表示します。
検索の進行状況ダイアログボックスから解析情報を表示する
カスタム検索や右クリック検索の場合、検索の進行状況アログボックス (ま
たは検索終了後に表示される検索のサマリー ダイアログボックス) の結果に
表示される脅威名をクリックすると、解析情報が表示されます。
Sophos Anti-Virus は、ソフォス Web サイトから対象の脅威解析情報を表示し
ます。
隔離マネージャから情報を表示する
1. 「ホーム」ページの「ウイルス対策および HIPS」で、「隔離アイテムの
管理」をクリックします。「ホーム」ページの詳細は、ホームページにつ
いて (p. 5) を参照してください。
2. 「名前」カラムで情報を表示する脅威名をクリックしてください。
Sophos Anti-Virus は、ソフォス Web サイトから対象の脅威解析情報を表示し
ます。
4.10 警告を設定する
4.10.1 ウイルス対策に関するデスクトップメッセージを環境設定する
重要: Sophos Endpoint Security and Control が管理コンソールで管理されてい
る場合、ここで変更する設定内容は管理コンソールによって上書きされるこ
とがあります。
脅威発見時に Sophos Anti-Virus でデスクトップメッセージを表示するには、
次の操作を行ってください。この設定の対象はオンアクセス検索のみです。
1. 「 ホーム > ウイルス対策および HIPS > ウイルス対策および HIPS の環境
設定 > 警告 > メッセージング 」をクリックします。
55
Sophos Endpoint Security and Control
2. 「メッセージング」ダイアログボックスで、「デスクトップメッセージ」
タブをクリックします。次の説明に従ってオプションを設定します。
デスクトップメッセージを有効にする
脅威発見時に Sophos Anti-Virus でデスクトップメッセージを表示するに
は、このオプションを選択します。
メッセージ送信レベル
どのようなイベントが発生した際に Sophos Anti-Virus でデスクトップメッ
セージを表示するかを指定します。
ユーザー定義メッセージ
このテキストボックスには、標準メッセージの終わりに追加されるテキス
トを入力できます。
4.10.2 ウイルス対策に関するメール警告を環境設定する
重要: Sophos Endpoint Security and Control が管理コンソールで管理されてい
る場合、ここで変更する設定内容は管理コンソールによって上書きされるこ
とがあります。
脅威発見時やエラー発生時に Sophos Anti-Virus がメール警告を送信できるよ
うにするには、次の操作を行ってください。オンアクセス検索、オンデマン
ド検索、および右クリック検索が対象です。
1. 「 ホーム > ウイルス対策および HIPS > ウイルス対策および HIPS の環境
設定 > 警告 > メッセージング 」をクリックします。
56
ヘルプ
2. 「メッセージング」ダイアログボックスで、「メール警告」タブをクリッ
クします。次の説明に従ってオプションを設定します。
メール警告を有効にする
Sophos Anti-Virus がメール警告を送信します。
メッセージ送信レベル
どのようなイベントが発生した際に Sophos Anti-Virus がメール警告を送信
するかを指定します。「検索エラー」には、Sophos Anti-Virus が検索しよ
うとしたアイテムへのアクセスが拒否された場合も含まれます。
Web コンテンツ検索ではコンピュータにダウンロードされていない脅威
を検出するため、Sophos Anti-Virus からメール警告は送信されません。こ
の場合、脅威が検出された後に、対処する必要はありません。
受信者のメールアドレス
「追加」または「削除」ボタンをクリックして、メール警告の受信者アド
レスを追加・削除してください。追加したメールアドレスを変更するに
は、「編集」をクリックします。
SMTP の設定
SMTP サーバーの設定内容やメール警告で使用する言語を変更します。(以
下の表を参照してください。)
SMTP を設定する
SMTP サーバー
テキストボックスに、SMTP サーバーのホスト名
や IP アドレスを入力します。SMTP サーバーに
接続できるかをテストする場合は、「テスト」を
クリックします。(テストメールは送信されませ
ん。)
SMTP 送信者アドレス
テキストボックスに、バウンスメールや配信不能
レポート (NDR) の送信先アドレスを入力します。
SMTP 返信先アドレス
メール警告は無人の送信専用メールボックスから
送信されるので、このメール警告に対する返信先
アドレスをこのテキストボックスに入力できま
す。
Language
ドロップダウン矢印をクリックして、メール警告
で使用する言語を選択します。
57
Sophos Endpoint Security and Control
4.10.3 ウイルス対策に関する SNMP メッセージを環境設定する
重要: Sophos Endpoint Security and Control が管理コンソールで管理されてい
る場合、ここで変更する設定内容は管理コンソールによって上書きされるこ
とがあります。
脅威発見時やエラー発生時に Sophos Anti-Virus が SNMP メッセージを送信で
きるようにするには、次の操作を行ってください。オンアクセス検索、オン
デマンド検索、および右クリック検索が対象です。
1. 「 ホーム > ウイルス対策および HIPS > ウイルス対策および HIPS の環境
設定 > 警告 > メッセージング 」をクリックします。
2. 「メッセージング」ダイアログボックスで、「SNMP メッセージ」タブを
クリックします。次の説明に従ってオプションを設定します。
SNMP メッセージを有効にする
ウイルス発見時に Sophos Anti-Virus が SNMP メッセージを表示します。
メッセージ送信レベル
どのようなイベントが発生した際に Sophos Anti-Virus が SNMP メッセージ
を送信するかを指定します。「検索エラー」には、Sophos Anti-Virus が検
索しようとしたアイテムへのアクセスが拒否された場合も含まれます。
Web コンテンツ検索ではコンピュータにダウンロードされていない脅威
を検出するため、Sophos Anti-Virus から SNMP メッセージは送信されませ
ん。この場合、脅威が検出された後に、対処する必要はありません。
SNMP トラップの宛先
テキストボックスに、メッセージ送信先コンピュータの IP アドレスまた
はコンピュータ名を入力します。
SNMP コミュニティ名
テキストボックス SNMP コミュニティ名を入力します。
テスト
テスト用 SNMP メッセージを、指定した SNMP トラップの宛先に送信し
ます。
4.10.4 ウイルス対策に関するイベントログを環境設定する
脅威が検出されたり、エラーが発生したときに、Sophos Anti-Virus がWindows
2000 以降のイベントログに警告を追加できるようにするには、次の手順を実
58
ヘルプ
行してください。オンアクセス検索、オンデマンド検索、および右クリック
検索が対象です。
1. 「 ホーム > ウイルス対策および HIPS > ウイルス対策および HIPS の環境
設定 > 警告 > メッセージング 」をクリックします。
2. 「メッセージング」ダイアログボックスで、「イベントログ」タブをク
リックします。次の説明に従ってオプションを設定します。
イベントログを有効にする
Sophos Anti-Virus が Windows のイベントログにメッセージを送信します。
メッセージ送信レベル
どのようなイベントが発生した際に Sophos Anti-Virus がメッセージを送信
するかを指定します。「検索エラー」には、Sophos Anti-Virus が検索しよ
うとしたアイテムへのアクセスが拒否された場合も含まれます。
Web コンテンツ検索ではコンピュータにダウンロードされていない脅威
を検出するため、イベントログにメッセージは送信されません。この場
合、脅威が検出された後に、対処する必要はありません。
4.11 検索ログ
4.11.1 検索ログを環境設定する
ローカルディスクの検索ログは次の場所に保存されます。
Windows Vista、Windows 7
C:\ProgramData\Sophos\Sophos
Anti-Virus\logs\SAV.txt
その他の Windows プラットフォーム
C:\Documents and Settings\All Users\Application
Data\Sophos\Sophos Anti-Virus\logs\SAV.txt
1. 「 ホーム > ウイルス対策および HIPS > ウイルス対策および HIPS ログの
表示 > ログを環境設定する 」をクリックします。
59
Sophos Endpoint Security and Control
2. 「このコンピュータのログの設定」ダイアログボックスで、次の説明に
従ってオプションを設定します。
ログレベル
全くログを取らない場合は、「なし」をクリックし、サマリー情報やエ
ラーメッセージなどをログに記録するには、「通常」をクリックします。
検索したファイルや主要な検索過程を含む、詳細情報をログに記録するに
は、「詳細」をクリックします。
ログのアーカイブ
ログファイルを毎月アーカイブするには、「アーカイブを有効にする」を
選択します。アーカイブファイルは、ログファイルと同じフォルダに保存
されます。アーカイブファイルが一定数を超えたら最も古いファイルが削
除されるよう、「アーカイブファイル数」を指定します。ログファイルの
サイズを縮小するには、「ログを圧縮する」を選択します。
4.11.2 検索ログを表示する
❖
「ホーム」ページの「ウイルス対策および HIPS」で、「ウイルス対策お
よび HIPS ログの表示」をクリックします。
「ホーム」ページの詳細は、ホームページについて (p. 5) を参照してく
ださい。
ログのページから、ログの内容をクリップボードにコピーしたり、メール送
信したり、印刷することができます。
ログファイル内の特定のテキストを検索する場合は、「検索」をクリックし
て、検索するテキストを入力します。
60
ヘルプ
5 Sophos Application Control
5.1 管理対象アプリケーションの検索について
管理対象アプリケーションは、社内セキュリティポリシーに基づき、コン
ピュータで起動しようとするとブロックされるアプリケーションです。
管理対象アプリケーションの検索機能は、アプリケーション コントロール
ポリシーの一項目として、管理コンソールで有効・無効に設定します。ま
た、この機能はオンアクセス検索の一部に含まれています。
オンアクセス検索の詳細は、オンアクセス検索とオンデマンド検索について
(p. 9) を参照してください。
5.2 管理対象アプリケーションの検索を無効にする
重要: Sophos Endpoint Security and Control が管理コンソールで管理されてい
る場合、ここで変更する設定内容は管理コンソールによって上書きされるこ
とがあります。
管理対象アプリケーションの検索が有効になっている場合、一部のアプリ
ケーションをアンインストールする際にブロックされることがあります。
SophosAdministrator グループのメンバーは、ローカルマシンのアプリケー
ションコントロール機能を一時的に無効にすることができます。
管理対象アプリケーションの検索を無効にする方法は次のとおりです。
1. 「環境設定」メニューの「アプリケーション コントロール」をクリック
します。
2. 「オンアクセス検索を有効にする」のチッェクボックスを選択から外しま
す。
61
Sophos Endpoint Security and Control
6 Sophos Device Control
6.1 ローカルマシンのデバイスコントロールについて
Sophos Device Control は、未認証の外部ストレージデバイスや、無線接続機
器をブロックする機能です。
ヒント: この機能はすべてのライセンスには含まれていません。利用するに
は追加購入が必要となります。
デバイスコントロール機能は、管理コンソールで管理されていない Sophos
Endpoint Security and Control では利用できません。
デバイスコントロール機能は、管理コンソールで有効・無効に設定されま
す。デバイスコントロールが有効になっている場合は、保守作業やトラブル
シューティングのために、コンピュータにデバイスを接続しようとするとブ
ロックされることがあります。このような場合、ローカルマシンのデバイス
コントロールの検出を、一時的に無効にすることができます。詳細は、一時
的にデバイスコントロールを無効にする (p. 63) を参照してください。
6.2 コントロールできるデバイスの種類
デバイスコントロールで、ローカルマシンでの使用をブロック・許可できる
デバイスは 3種類あります。ストレージデバイス、ネットワークデバイス、
短距離無線通信デバイスの 3つです。
ストレージデバイス
■
リムーバブル ストレージ デバイス (USB フラッシュドライブ、PC カード
リーダ、外付けハードディスクドライブなど)
■
光学メディアドライブ (CD-ROM/DVD/Blu-ray ドライブ)
■
フロッピーディスクドライブ
■
セキュリティ搭載リムーバブル ストレージ デバイス (ハードウェア暗号化
機能搭載 USB メモリなど)
ネットワークデバイス
■
モデム
■
ワイヤレス機器 (Wi-Fi インターフェース、802.11 規格)
ローカルマシンのデータコントロール ポリシー機能で「ブリッジ接続をブ
ロックする」オプションが指定されており、コンピュータが物理的なネット
ワークに接続されている場合 (通常、イーサネットで接続)、ワイヤレスアダ
62
ヘルプ
プタやモデムは無効になります。コンピュータを物理的なネットワークから
切り離すと、シームレスにワイヤレスアダプタやモデムは再度有効になりま
す。
短距離無線通信デバイス
■
Bluetooth インターフェース
■
赤外線 (IrDA 赤外線インターフェース)
6.3 一時的にデバイスコントロールを無効にする
重要: Sophos Endpoint Security and Control が管理コンソールで管理されてい
る場合、ここで変更する設定内容は管理コンソールによって上書きされるこ
とがあります。
SophosAdministrator グループのメンバーが保守作業やトラブルシューティン
グのために、コンピュータにデバイスを接続する場合 (たとえば、CD からソ
フトウェアをインストールする場合など) は、一時的に、デバイスコントロー
ル機能を無効にすることができます。
ローカルマシンのデバイスコントロールを無効にする方法は次のとおりで
す。
1. 「環境設定」メニューの「デバイスコントロール」をクリックします。
2. 「ソフォス デバイス コントロールを有効にする」チェックボックスの選
択を外します。
6.4 デバイスコントロールのログを環境設定する
1. 「環境設定」メニューの「デバイスコントロール」をクリックします。
2. 「ログレベル」で、いずれかのオプションを選択します。
■
■
■
全くログを取らない場合は、「なし」をクリックします。
サマリー情報やエラーメッセージなどをログに記録するには、「通常」
をクリックします。
通常よりも多くの活動に関する情報を記録するには、「詳細」をクリッ
クします。この設定を適用すると、ログのサイズが急速に増えるため、
トラブルシューティングなど、詳細なログが必要な場合のみに使用し
てください。
3. 画面の指示に従い、「ログのアーカイブ」を設定します。
63
Sophos Endpoint Security and Control
6.5 デバイスコントロールのログを表示する
❖
「ホーム」ページの「デバイスコントロール」で、「デバイスコントロー
ル ログの表示」をクリックします。
「ホーム」ページの詳細は、ホームページについて (p. 5) を参照してく
ださい。
ログのページから、ログの内容をクリップボードにコピーしたり、メール送
信したり、印刷することができます。
ログファイル内の特定のテキストを検索する場合は、「検索」をクリックし
て、検索するテキストを入力します。
64
ヘルプ
7 Sophos Data Control
7.1 ローカルマシンのデータコントロールについて
Sophos Data Control は、管理対象コンピュータを監視し、事故による個人情
報の流出を防止する機能です。
ヒント: この機能はすべてのライセンスには含まれていません。利用するに
は追加購入が必要となります。
データコントロール機能は、管理コンソールで管理されていない Sophos
Endpoint Security and Control では利用できません。
データコントロール機能は、管理コンソールで発行されるポリシーで、有
効・無効に設定されます。なお、SophosAdministrator グループのメンバー
は、保守作業やトラブルシューティングのために、ローカルマシンのデータ
コントロール機能を一時的に無効にすることができます。詳細は、一時的に
データコントロールを無効にする (p. 65) を参照してください。
7.2 一時的にデータコントロールを無効にする
重要: Sophos Endpoint Security and Control が管理コンソールで管理されてい
る場合、ここで変更する設定内容は管理コンソールによって上書きされるこ
とがあります。
SophosAdministrator グループのメンバーは、保守作業やトラブルシューティ
ングのために、ローカルマシンのデータコントロール機能を一時的に無効に
することができます。
1. 「環境設定」メニューの「データコントロール」をクリックします。
2. 「ソフォス データコントロール を有効にする」チェックボックスの選択
を外します。
7.3 ファイルをストレージデバイスに追加するには?
ローカルマシンのデータコントロール機能が有効になっている場合、次の方
法で監視対象のストレージデバイスにファイルを追加しようとするとブロッ
クされることがあります。
■
アプリケーションからデータを保存する
■
DOS コマンドを使ってコピーする
■
Windows エクスプローラを使ってデバイス上に新しいファイルを作成する
65
Sophos Endpoint Security and Control
したがって、これに関するデスクトップ警告が表示された場合は、ハード
ディスクやネットワークドライブに一度ファイルを保存した後、Windows エ
クスプローラを使って、保存したファイルをストレージデバイスにコピーす
る必要があります。
7.4 データコントロールのログを環境設定する
1. 「環境設定」メニューの「データコントロール」をクリックします。
2. 「ログレベル」で、いずれかのオプションを選択します。
■
■
■
全くログを取らない場合は、「なし」をクリックします。
サマリー情報やエラーメッセージなどをログに記録するには、「通常」
をクリックします。
通常よりも多くの活動に関する情報を記録するには、「詳細」をクリッ
クします。この設定を適用すると、ログのサイズが急速に増えるため、
新しいデータコントロール ルールのテストなど、詳細なログが必要な
場合のみに使用してください。
3. 画面の指示に従い、「ログのアーカイブ」を設定します。
7.5 データコントロールのログを表示する
❖
「ホーム」ページの「データコントロール」で、「データコントロール
ログの表示」をクリックします。
「ホーム」ページの詳細は、ホームページについて (p. 5) を参照してく
ださい。
ログのページから、ログの内容をクリップボードにコピーしたり、メール送
信したり、印刷することができます。
ログファイル内の特定のテキストを検索する場合は、「検索」をクリックし
て、検索するテキストを入力します。
66
ヘルプ
8 Sophos Web Control
8.1 ローカルマシンの Web コントロールについて
Sophos Web Control は、社内ネットワーク外のコンピュータや、移動先で使
用するコンピュータに保護、制御、およびレポート機能を提供できます。
ヒント: この機能はすべてのライセンスには含まれていません。利用するに
は追加購入が必要となります。
Web コントロール機能は、管理コンソールで管理されていないSophos Endpoint
Security and Control では利用できません。
Web コントロール機能は、管理コンソールで発行されるポリシーで、有効・
無効に設定されます。なお、SophosAdministrator グループのメンバーは、
ローカルマシンの Web コントロール機能を一時的に無効にすることができ
ます。操作方法の詳細は、一時的に Web コントロールを無効にする (p. 67)
を参照してください。
8.2 一時的に Web コントロールを無効にする
重要: Sophos Endpoint Security and Control が管理コンソールで管理されてい
る場合、ここで変更する設定内容は管理コンソールによって上書きされるこ
とがあります。
SophosAdministrator グループのメンバーは、保守作業やトラブルシューティ
ングのために、Web コントロールを一時的に無効化し、有効に戻さなければ
ならないこともあります。
ローカルマシンの Web コントロールを無効にする方法は次のとおりです。
1. 「環境設定」メニューの「Web コントロール」をクリックします。
2. 「Web コントロールを有効にする」チェックボックスの選択を外します。
67
Sophos Endpoint Security and Control
9 Sophos Client Firewall
9.1 ファイアウォールの使用について
ファイアウォールを新規インストールした後は、設定が必要なことがありま
す。ファイアウォールをインストールした方法によって、インストール後の
設定が必要な場合とそうでない場合があります。インストールには次の 2種
類あります。
■
社内ネットワークに接続しているコンピュータにインストールし、管理コ
ンソールから管理する
■
社内ネットワークに常時接続しないコンピュータにインストールし、ロー
カルで管理する
管理コンソールで管理するファイアウォール
ファイアウォールを管理コンソールからインストールし、管理している場
合、ポリシーで設定されているルールに従って、アプリケーションやトラ
フィックが許可/ブロックされます。
ポリシーでファイアウォールが対話型モードに指定されていない限り、対話
型メッセージは表示されず、設定は一切必要ありません。
ローカルマシンで管理するファイアウォール
ファイアウォールをローカルマシンで管理している場合、ネットワークアク
セスを許可して、Web ブラウザやメールクライアントなど、一般的なアプリ
ケーションやサービスを許可するルールをまず作成することをお勧めしま
す。
ルールの作成に関する詳細は、ファイアウォールの環境設定について (p. 69)
を参照してください。
また、インストール直後、ファイアウォールは対話型モードになっています
(以下参照)。一定期間、ファイアウォールを対話型モードで実行すれば、使
用する他のアプリケーションやサービスを許可/ブロックするよう設定する
ことができます。
ファイアウォールの設定が終了し、よく使うアプリケーションが認識される
ようになったら、いずれかの非対話型モードに変更することをお勧めしま
す。
詳細は、非対話型モードに変更する (p. 80) を参照してください。
対話型モードとは?
68
ヘルプ
対話型モードでは、ルールが指定されていないアプリケーションやトラフィッ
クに対して、許可/ブロックするかを選択するようメッセージが表示されま
す。
ファイアウォールで表示されるメッセージの対処方法の詳細は、対話型モー
ドについて (p. 79) を参照してください。
9.2 ファイアウォールを設定する
9.2.1 ファイアウォールの環境設定について
ファイアウォールには多様な設定項目がありますが、各項目を設定してから
ファイアウォールを有効にします。なお、管理コンソールで管理されている
Sophos Endpoint Security and Control の設定をローカルで変更した場合、変更
内容がコンソールによって上書きされることがあります。
一般的な機能は次のとおりです。
■
対話型モードを有効にする (p. 79)
■
ICMP メッセージをフィルタリングする (p. 77)
■
LAN 上のトラフィックすべてを許可する (p. 72)
■
FTP ダウンロードを許可する (p. 71)
■
グローバル ルールを作成する (p. 88)
■
アプリケーションを許可する (p. 75)
■
アプリケーションが隠しプロセスを起動することを許可する (p. 94)
■
アプリケーションが RAW ソケットを使用することを許可する (p. 95)
■
チェックサムを使用してアプリケーションを認証する (p. 96)
9.2.2 ファイアウォールを一時的に無効にする
SophosAdministrator グループのメンバーは、保守作業やトラブルシューティ
ングのために、ファイアウォールを一時的に無効化し、有効に戻さなければ
ならないこともあります。
69
Sophos Endpoint Security and Control
ここで指定する Sophos Endpoint Security and Control の設定内容は、コンピュー
タを再起動した後も保持されます。ファイアウォールを無効にすると、再度
有効にするまでコンピュータは保護されません。
1. 「ホーム」ページの「ファイアウォール」で、「ファイアウォールの環境
設定」をクリックします。
「ホーム」ページの詳細は、ホームページについて (p. 5) を参照してく
ださい。
2. 「環境設定」パネルで、プライマリロケーションまたはセカンダリロケー
ションの横にある、「すべてのトラフィックを許可する」チェックボック
スを選択します。
9.2.3 メールを許可する
重要: Sophos Endpoint Security and Control が管理コンソールで管理されてい
る場合、ここで変更する設定内容は管理コンソールによって上書きされるこ
とがあります。
1. 「ホーム」ページの「ファイアウォール」で、「ファイアウォールの環境
設定」をクリックします。
「ホーム」ページの詳細は、ホームページについて (p. 5) を参照してく
ださい。
2. 「環境設定」パネルで、設定するロケーション用の「環境設定」をクリッ
クします。
3. 「アプリケーション」タブをクリックします。
4. 「追加」をクリックして、メールアプリケーションを探し、それをダブル
クリックします。
追加したメールアプリケーションは、信頼できるアプリケーションとして許
可されます。
信頼できるアプリケーションには、インターネットを含む、ネットワークへ
のフルアクセスが無条件に許可されています。より安全を期すには、ソフォ
ス提供のプリセットルールを適用してください。
1. 許可されているアプリケーションのリストで、メールアプリケーションを
クリックします。
2. 「 カスタム > プリセットからのルールの追加 > メールクライアント 」の
順にクリックします。
70
ヘルプ
9.2.4 Web ブラウザの使用を許可する
ヒント: Web ブラウザの使用を許可すると、FTP アクセスも許可することに
なります。
1. 「ホーム」ページの「ファイアウォール」で、「ファイアウォールの環境
設定」をクリックします。
「ホーム」ページの詳細は、ホームページについて (p. 5) を参照してく
ださい。
2. 「環境設定」パネルで、設定するロケーション用の「環境設定」をクリッ
クします。
3. 「アプリケーション」タブをクリックします。
4. 「追加」をクリックして、Web ブラウザを探し、それをダブルクリック
します。
追加したWeb ブラウザ アプリケーションは、信頼できるアプリケーション
として許可されます。
信頼できるアプリケーションには、インターネットを含む、ネットワークへ
のフルアクセスが無条件に許可されています。より安全を期すには、ソフォ
ス提供のプリセットルールを適用してください。
1. 許可されているアプリケーションのリストで、Web ブラウザ アプリケー
ションをクリックします。
2. 「 カスタム > プリセットルールからのルールの追加 > ブラウザ 」をク
リックします。
9.2.5 FTP ダウンロードを許可する
ヒント: FTP サーバーにアクセスできる Web ブラウザの使用を許可した場
合、FTP ダウンロードを許可する必要はありません。
1. 「ホーム」ページの「ファイアウォール」で、「ファイアウォールの環境
設定」をクリックします。
「ホーム」ページの詳細は、ホームページについて (p. 5) を参照してく
ださい。
2. 「環境設定」パネルで、設定するロケーション用の「環境設定」をクリッ
クします。
3. 「アプリケーション」タブをクリックします。
71
Sophos Endpoint Security and Control
4. 「追加」をクリックして、FTP アプリケーションを探し、それをダブルク
リックします。
追加した FTP アプリケーションは、信頼できるアプリケーションとして許可
されます。
信頼できるアプリケーションには、インターネットを含む、ネットワークへ
のフルアクセスが無条件に許可されています。より安全を期すには、ソフォ
ス提供のプリセットルールを適用してください。
1. 許可されているアプリケーションのリストで、FTP アプリケーションをク
リックします。
2. 「 カスタム > プリセットからのルールの追加 > FTP クライアント 」の順
にクリックします。
9.2.6 LAN 上のトラフィックすべてを許可する
LAN (ローカル エリア ネットワーク) 上のコンピュータ間のトラフィックす
べてを許可する方法は次のとおりです。
1. 「ホーム」ページの「ファイアウォール」で、「ファイアウォールの環境
設定」をクリックします。
「ホーム」ページの詳細は、ホームページについて (p. 5) を参照してく
ださい。
2. 「環境設定」パネルで、設定するロケーション用の「環境設定」をクリッ
クします。
3. 「LAN」タブで、次のいずれかを実行します。
■
■
「検出(」をクリックして、コンピュータが使用している LAN を検出
し、ネットワークアドレスのリストに追加します。
「追加」をクリックします。「アドレスの選択」ダイアログボックス
で、「アドレスの形式」を選択し、ドメイン名や IP アドレスを入力し、
「追加」をクリックします。
ヒント: 「ローカルネットワーク (自動検出)」を選択した場合、他に何
も入力する必要はありません。ローカルネットワーク検出に関する詳
細は、ローカルネットワークの検出について (p. 86) を参照してくださ
い。
4. 「OK」をクリックして、「アドレスの選択」ダイアログボックスを閉じ
ます。
72
ヘルプ
5. 「LAN の設定」リストで、ネットワークに対して、「信頼」チェックボッ
クスを選択します。
注
■
LAN 上のコンピュータ間のトラフィックすべてを許可すると、ファイル
とプリンタの共有も許可することになります。
9.2.7 LAN 上のすべてのファイルとプリンタの共有を許可する
ヒント: LAN (ローカルエリアネットワーク) 上の各コンピュータ間のトラ
フィックすべてを許可している場合は、ファイルとプリンタの共有をさらに
許可する必要はありません。
LAN 上のすべてのファイルとプリンタの共有を許可する方法は次のとおりで
す。
1. 「ホーム」ページの「ファイアウォール」で、「ファイアウォールの環境
設定」をクリックします。
「ホーム」ページの詳細は、ホームページについて (p. 5) を参照してく
ださい。
2. 「環境設定」パネルで、設定するロケーション用の「環境設定」をクリッ
クします。
3. 「LAN」タブで、次のいずれかを実行します。
■
■
「検出(」をクリックして、コンピュータが使用している LAN を検出
し、ネットワークアドレスのリストに追加します。
「追加」をクリックします。「アドレスの選択」ダイアログボックス
で、「アドレスの形式」を選択し、ドメイン名や IP アドレスを入力し、
「追加」をクリックします。
ヒント: 「ローカルネットワーク (自動検出)」を選択した場合、他に何
も入力する必要はありません。ローカルネットワーク検出に関する詳
細は、ローカルネットワークの検出について (p. 86) を参照してくださ
い。
4. 「OK」をクリックして、「アドレスの選択」ダイアログボックスを閉じ
ます。
5. 「LAN の設定」リストで、ファイルとプリンタの共有を許可する各 LAN
に対して、「NetBIOS」チェックボックスを選択します。
73
Sophos Endpoint Security and Control
「LAN の設定」リストに記載されていない LAN に対してファイルとプリン
タの共有を許可・ブロックする方法については、次のトピックを参照してく
ださい。
■
不要なファイルとプリンタの共有をブロックする (p. 75)
■
ファイルとプリンタの共有の許可を詳細に設定する (p. 74)
LAN 上のトラフィックすべてを許可する方法は、LAN 上のトラフィックす
べてを許可する (p. 72) を参照してください。
9.2.8 ファイルとプリンタの共有の許可を詳細に設定する
社内ネットワーク上のファイルとプリンタの共有を詳細に設定する (片方向
の NetBIOS トラフィックなど) には、次のようにします。
1. 「LAN の設定」リストに記載されていない LAN (ローカルエリアネット
ワーク) に対してファイルとプリンタの共有を許可します。これにより、
このような LAN 上の NetBIOS トラフィックがファイアウォールのルール
で処理されるようになります。
2. 適切な NetBIOS ポートやプロトコルの場合、ホストとの双方向の通信を許
可する設定で優先度の高いルールを作成します。不要なファイルとプリン
タの共有トラフィックは、デフォルトのルールで処理するのではなく、す
べて明示的にブロックすることを推奨します。
「LAN の設定」リストに記載されていない LAN (ローカルエリアネットワー
ク) LAN に対してファイルとプリンタの共有を許可する方法は次のとおりで
す。
1. 「ホーム」ページの「ファイアウォール」で、「ファイアウォールの環境
設定」をクリックします。
「ホーム」ページの詳細は、ホームページについて (p. 5) を参照してく
ださい。
2. 「環境設定」パネルで、設定するロケーション用の「環境設定」をクリッ
クします。
3. 「LAN」タブで「他のネットワークに対するファイルとプリンタの共有を
ブロックする」チェックボックスの選択を外します。
74
ヘルプ
9.2.9 不要なファイルとプリンタの共有をブロックする
「LAN の設定」リストに記載されていない LAN 上のファイルとプリンタの
共有をブロックするには、「LAN」タブで次の操作を行います。
1. 「ホーム」ページの「ファイアウォール」で、「ファイアウォールの環境
設定」をクリックします。
「ホーム」ページの詳細は、ホームページについて (p. 5) を参照してく
ださい。
2. 「環境設定」パネルで、設定するロケーション用の「環境設定」をクリッ
クします。
3. 「LAN」タブで「他のネットワークに対するファイルとプリンタの共有を
ブロックする」チェックボックスを選択します。
9.2.10 アプリケーションを許可する
1. 「ホーム」ページの「ファイアウォール」で、「ファイアウォールの環境
設定」をクリックします。
「ホーム」ページの詳細は、ホームページについて (p. 5) を参照してく
ださい。
2. 「環境設定」パネルで、設定するロケーション用の「環境設定」をクリッ
クします。
3. 「アプリケーション」タブをクリックします。
4. 「追加」をクリックして、アプリケーションを探し、それをダブルクリッ
クします。
追加したアプリケーションは、信頼できるアプリケーションとして許可され
ます。
信頼できるアプリケーションには、インターネットを含む、ネットワークへ
のフルアクセスが無条件に許可されています。より安全を期すには、アプリ
ケーションのルールを適用して (複数可)、アプリケーションの実行を許可す
る条件を指定できます。
■
アプリケーション ルールを作成する (p. 92)
■
アプリケーションにプリセットルールを適用する (p. 91)
75
Sophos Endpoint Security and Control
9.2.11 アプリケーションをブロックする
1. 「ホーム」ページの「ファイアウォール」で、「ファイアウォールの環境
設定」をクリックします。
「ホーム」ページの詳細は、ホームページについて (p. 5) を参照してく
ださい。
2. 「環境設定」パネルで、設定するロケーション用の「環境設定」をクリッ
クします。
3. 「アプリケーション」タブをクリックします。
4. アプリケーションがリストにない場合は、「追加」をクリックして、アプ
リケーションを探し、それをダブルクリックします。
5. リストに表示されるアプリケーションを選択し、「ブロック」をクリック
します。
9.2.12 変更されたプロセスのブロックを有効/無効にする
マルウェアは、ファイアウォールを迂回するため、信頼するプログラムが開
始したメモリ内のプロセスを変更し、変更したプロセスを通じてネットワー
クに接続することがあります。
メモリで変更されたプロセスを検出し、ブロックするよう、ファイアウォー
ルを設定することができます。
変更されたプロセスのブロックを有効/無効にする方法は次のとおりです。
1. 「ホーム」ページの「ファイアウォール」で、「ファイアウォールの環境
設定」をクリックします。
「ホーム」ページの詳細は、ホームページについて (p. 5) を参照してく
ださい。
2. 「環境設定」パネルで、設定するロケーション用の「環境設定」をクリッ
クします。
3. 「全般」タブの「ブロック」で、「他のアプリケーションによるメモリの
変更があった場合プロセスをブロックする」チェックボックスを選択から
外して、変更されたプロセスのブロックを無効にします。
変更されたプロセスのブロックを有効にするには、チェクボックスを選択
します。
メモリでプロセスに変更が加えられたことをファイアウォールが検出した場
合、変更されたプロセスがネットワークにアクセスしないよう、ルールが追
加されます。
76
ヘルプ
注
■
変更されたプロセスのブロックは、常時無効に設定しておかないことをお
勧めします。必要な場合のみ無効にするようにしてください。
■
変更されたプロセスのブロックは、64ビット版の Windows には対応して
いません。
■
変更されたプロセスのみがブロックされます。変更されたプログラムの
ネットワークアクセスはブロックされません。
9.2.13 ICMP メッセージをフィルタリングする
ICMP (Internet Control Message Protocol) を使用して、ネットワーク上のコン
ピュータ間で、互いのエラーやステータス情報を共有することができます。
送信または受信する ICMP メッセージを種類ごとに許可/ブロックすることが
できます。
ICMP メッセージのフィルタリングは、ネットワークプロトコルに関する知
識がある場合のみ行ってください。ICMP メッセージの種類に関する詳細は、
ICMP メッセージの種類の説明 (p. 77) を参照してください。
ICMP メッセージをフィルタリングする方法は次のとおりです。
1. 「ホーム」ページの「ファイアウォール」で、「ファイアウォールの環境
設定」をクリックします。
「ホーム」ページの詳細は、ホームページについて (p. 5) を参照してく
ださい。
2. 「環境設定」パネルで、設定するロケーション用の「環境設定」をクリッ
クします。
3. 「ICMP」タブで、特定のタイプの受信メッセージや送信メッセージを認
証するには、それぞれ、「In」または「Out」チェックボックスを選択し
ます。
9.2.14 ICMP メッセージの種類の説明
エコー要求、エコー応 相手の応答や状態を確認するメッセージ。ホスト
答
は「エコー要求」を送信して、相手先からの「エ
コー応答」を待機します。通常 ping コマンドで実
行することができます。
宛先に到達不能、エ
コー応答
IP データグラムを配信できない場合、ルーターか
ら送信されるメッセージ。データグラムは、TCP/IP
77
Sophos Endpoint Security and Control
ネットワークで配信されるデータやパケットの単
位です。
発信元の抑制
処理不能なスピードでデータを受信したときにホ
ストまたはルーターから送信されるメッセージ。
データグラムの転送スピードを遅くするよう送信
元に要求するメッセージです。
リダイレクト
別のルーターに送信されるべきデータグラムを受
信したときにルーターから送信されるメッセージ。
メッセージには、データグラムを以後送信する際
に使用すべき正しい送信先アドレスが含まれます。
ネットワークトラフィックの転送を最適化するた
めに使用されます。
ルーター通知、ルー
ター選択
ホストにルーターの存在を通知するメッセージ。
ルーターは、「ルーター通知」メッセージを定期
的に送信して自身のアドレスをブロードキャスト
します。ホストが「ルーター選択」メッセージを
送信してルーターのアドレスを要求する場合もあ
り、その場合、ルーターは、「ルーター通知」メッ
セージで応答します。
データグラムに割り当 データグラムがルーター通過用に設定されている
てられた時間の超過
時間を超えたときにルーターから送信されるメッ
セージ。
データグラムにおける データグラムの送信中に問題が発生し、処理を終
パラメータの問題
了できない場合にルーターから送信されるメッセー
ジ。この問題の原因として、無効なデータグラム
のヘッダなどがあります。
タイムスタンプ要求、 ホスト間の時刻同期を行い、転送時間を予測する
タイムスタンプ応答
ために使用するメッセージ。
情報要求、情報応答
現在使用されていません。ホストのネットワーク
アドレスを検出するために使用されていましたが、
現在では、古い機能とみなされているので使用し
ないでください。
アドレスマスク要求、 サブネットのマスク (どのアドレスビットがネット
アドレスマスク応答
ワークアドレスを定義するのか) を検索するために
使用するメッセージ。ホストマシンは、ルーター
78
ヘルプ
に「アドレスマスク要求」を送信し、「アドレス
マスク応答」を受信します。
9.2.15 ファイアウォールの設定をデフォルトに戻す
1. 「ホーム」ページの「ファイアウォール」で、「ファイアウォールの環境
設定」をクリックします。
「ホーム」ページの詳細は、ホームページについて (p. 5) を参照してく
ださい。
2. 「環境設定の管理」パネルで、「デフォルトに戻す」をクリックします。
9.3 対話型モードで操作する
9.3.1 対話型モードについて
対話型モードにあるファイアウォールは、登録されていないアプリケーショ
ンやサービスがネットワークアクセスを要求するたびに、対話型ダイアログ
を表示します。対話型ダイアログは、トラフィックを 1回のみ許可する、1回
のみブロックする、あるいは、当該の種類のトラフィックに対してルールを
作成するか選択するようメッセージを表示します。
対話型モードにて表示される対話型ダイアログの種類は次のとおりです。
■
隠しプロセス - 対話型ダイアログ (p. 80)
■
プロトコル - 対話型ダイアログ (p. 81)
■
アプリケーション - 対話型ダイアログ (p. 81)
■
RAW ソケット - 対話型ダイアログ (p. 81)
■
チェックサム - 対話型ダイアログ (p. 82)
9.3.2 対話型モードを有効にする
1. 「ホーム」ページの「ファイアウォール」で、「ファイアウォールの環境
設定」をクリックします。
「ホーム」ページの詳細は、ホームページについて (p. 5) を参照してく
ださい。
2. 「環境設定」パネルで、設定するロケーション用の「環境設定」をクリッ
クします。
79
Sophos Endpoint Security and Control
3. 「全般」タブの「動作モード」パネルで、「対話型」をクリックします。
9.3.3 非対話型モードに変更する
非対話型モードには次の 2とおりがあります。
■
規定で許可
■
規定でブロック
ファイアウォールの非対話型モードでは、指定されているルールでネット
ワークトラフィックが自動的に処理されます。ルールと一致しないネット
ワークトラフィックは、すべて許可 (送信方向の場合)、またはすべてブロッ
クされます。
非対話型モードに変更する方法は次のとおりです。
1. 「ホーム」ページの「ファイアウォール」で、「ファイアウォールの環境
設定」をクリックします。
「ホーム」ページの詳細は、ホームページについて (p. 5) を参照してく
ださい。
2. 「環境設定」パネルで、設定するロケーション用の「環境設定」をクリッ
クします。
3. 「全般」タブの「動作モード」パネルで、「規定で許可」または「規定で
ブロック」をクリックします。
9.3.4 隠しプロセス - 対話型ダイアログ
隠しプロセスは、1つのアプリケーションがネットワークアクセスなどのた
めに、別のアプリケーションを起動するプロセスを指します。悪意のあるア
プリケーションは、この手法を利用してファイアウォールを迂回することが
あります。つまり、自身ではなく信頼できるアプリケーションを起動して
ネットワークに接続します。
隠しプロセス用の対話型ダイアログは、隠しプロセス、およびそれを起動し
たアプリケーションに関する情報を表示します。
■
隠しプロセス用の対話型ダイアログを有効にする (p. 80)
9.3.5 隠しプロセス用の対話型ダイアログを有効にする
対話型モードでファイアウォールを使用している場合、新規ランチャが検出
された際に、対話型ダイアログを表示することができます。
80
ヘルプ
このオプションを選択せずに対話型モードを使用している場合は、新規ラン
チャによる隠しプロセスの起動はブロックされます。
隠しプロセス用の対話型ダイアログを有効にする方法は次のとおりです。
1. 「ホーム」ページの「ファイアウォール」で、「ファイアウォールの環境
設定」をクリックします。
「ホーム」ページの詳細は、ホームページについて (p. 5) を参照してく
ださい。
2. 「環境設定」パネルで、設定するロケーション用の「環境設定」をクリッ
クします。
3. 「プロセス」タブをクリックします。
4. 「新規ランチャについて警告する」チェックボックスを選択します。
9.3.6 プロトコル - 対話型ダイアログ
特定のアプリケーションと関連付けすることができないシステムのネット
ワーク活動を検出した場合、ファイアウォールは、プロトコルルール作成の
メッセージを表示します。
プロトコル用の対話型ダイアログは、認識できないネットワーク活動のプロ
トコルおよびリモートアドレスを表示します。
9.3.7 アプリケーション - 対話型ダイアログ
既存のルールで定義されていない方法でネットワークにアクセスしようとし
ているアプリケーションを検出すると、ファイアウォールは、アプリケー
ション ルール作成のメッセージを表示します。
アプリケーション用の対話型ダイアログは、認識できないネットワーク活動
のリモートサービスおよびリモートアドレスを表示します。
9.3.8 RAW ソケット - 対話型ダイアログ
RAW ソケットは、ネットワーク送信するデータの全面的コントロールをプ
ロセスに許可するので、悪用される恐れがあります。
既存のルールで定義されていない方法でネットワークにアクセスしようとし
ている RAW ソケットを検出すると、ファイアウォールは、RAW ソケット
ルール作成のメッセージを表示します。
81
Sophos Endpoint Security and Control
RAW ソケット用の対話型ダイアログは、RAW ソケットに関する情報を表示
します。
■
RAW ソケット用の対話型ダイアログを有効にする (p. 82)
9.3.9 RAW ソケット用の対話型ダイアログを有効にする
対話型モードでファイアウォールを使用している場合、既存のルールで定義
されていない方法による RAW ソケットのネットワークアクセスが検出され
た際に、対話型ダイアログを表示することができます。
このオプションを選択せずに対話型モードを使用している場合は、RAW ソ
ケットのネットワークアクセスはブロックされます。
RAW ソケット用の対話型ダイアログを有効にする方法は次のとおりです。
1. 「ホーム」ページの「ファイアウォール」で、「ファイアウォールの環境
設定」をクリックします。
「ホーム」ページの詳細は、ホームページについて (p. 5) を参照してく
ださい。
2. 「環境設定」パネルで、設定するロケーション用の「環境設定」をクリッ
クします。
3. 「プロセス」タブをクリックします。
4. 「RAW ソケットの使用に対して警告する」チェックボックスを選択しま
す。
9.3.10 チェックサム - 対話型ダイアログ
ファイアウォールは、新規または変更されたアプリケーションを検出する
と、チェックサム用の対話型ダイアログを表示します。
検出されたアプリケーションによるネットワークアクセスを許可する場合
は、認識されているチェックサム (固有の識別子) のリストに当該アプリケー
ションのチェックサムを追加する必要があります。
次のいずれかのオプションを選択してください。
82
■
「このアプリケーション用の既存のチェックサムにチェックサムを追加す
る」は、複数のバージョンのアプリケーションを許可します。
■
「このアプリケーション用の既存のチェックサムを置き換える」は、既存
のチェックサムすべてを、検出されたアプリケーションのチェックサムで
上書きします。したがって、現在使用しているバージョンのアプリケー
ションのみが許可されるようになります。
ヘルプ
■
「再起動されるまでこのアプリケーションをブロックする」は、今回のシ
ステム起動中はアプリケーションをブロックします。
9.3.11 チェックサム用の対話型ダイアログを有効にする
対話型モードでファイアウォールを使用している場合、新規または変更され
たアプリケーションが検出された際に、対話型ダイアログを表示することが
できます。
このオプションを選択せずに対話型モードを使用している場合は、アプリ
ケーションのネットワークアクセスはブロックされます。
チェックサム用の対話型ダイアログを有効にする方法は次のとおりです。
1. 「ホーム」ページの「ファイアウォール」で、「ファイアウォールの環境
設定」をクリックします。
「ホーム」ページの詳細は、ホームページについて (p. 5) を参照してく
ださい。
2. 「環境設定」パネルで、設定するロケーション用の「環境設定」をクリッ
クします。
3. 「ブロック」パネルで、「チェックサムを使用してアプリケーションを認
証する」チェックボックスを選択します。
9.4 ファイアウォールの環境設定ファイル
9.4.1 ファイアウォールの環境設定ファイルについて
Sophos Client Firewall では、ファイアウォールの全般的な設定やルールを、環
境設定ファイルとしてエクスポートすることができます。この機能を使って
実行できる操作は次のとおりです。
■
ファイアウォールの環境設定全体のバックアップを作成し、復旧できるよ
うにする。
■
全般的な設定内容を保存し、複数のコンピュータにインストールする。
■
1台のコンピュータにあるアプリケーション用のルールを作成し、同じア
プリケーションを実行している他のコンピュータで使用できるようエクス
ポートする。
■
複数のコンピュータで作成された環境設定ファイルを、管理コンソールを
使用して結合し、ネットワーク上のすべてのコンピュータで有効なポリ
シーを作成する。
83
Sophos Endpoint Security and Control
9.4.2 ファイアウォールの環境設定ファイルをエクスポートする
1. 「ホーム」ページの「ファイアウォール」で、「ファイアウォールの環境
設定」をクリックします。
「ホーム」ページの詳細は、ホームページについて (p. 5) を参照してく
ださい。
2. 「エクスポート」をクリックします。
3. 環境設定のファイル名と場所を指定し、「保存」をクリックします。
9.4.3 ファイアウォールの環境設定ファイルをインポートする
1. 「ホーム」ページの「ファイアウォール」で、「ファイアウォールの環境
設定」をクリックします。
「ホーム」ページの詳細は、ホームページについて (p. 5) を参照してく
ださい。
2. 「インポートをクリックします。
3. 環境設定ファイルを選択し、「開く」をクリックします。
4. 画面の指示に従います。
9.5 ファイアウォールのルール
9.5.1 ファイアウォールのルールについて
グローバル ルール
グローバルルールは、既にアプリケーションルールが指定されている場合も
含め、すべてのネットワーク接続およびアプリケーションに適用できます。
アプリケーション ルール
各アプリケーションに対して、1つまたは複数のルールを指定することがで
きます。ソフォス作成のプリセットルールを使用するか、カスタムルールを
作成して、各アプリケーションに対して許可するアクセスを詳細に設定する
ことができます。
9.5.2 ルールの適用順序について
RAW ソケットを使用する接続の場合、グローバル ルールのみがチェックさ
れます。
84
ヘルプ
RAW ソケットを使用しない接続では、「LAN」タブで指定したネットワー
クアドレスへの接続がどうかによってチェックされるルールが異なります。
ネットワークアドレスが「LAN」タブに表示されている場合、次のルールが
チェックされます。
■
アドレスが「信頼」と指定されている場合、これ以外のチェックなしで接
続が許可されます。
■
アドレスが NetBIOS と指定されている場合、次の条件を満たす接続すべ
てにおいて、ファイルとプリンタの共有が許可されます。
接続
ポート
範囲
TCP
リモート
137~139 または 445
TCP
ローカル
137~139 または 445
UDP
リモート
137 または 138
UDP
ローカル
137 または 138
ネットワークアドレスが「LAN」タブに表示されていない場合は、他のファ
イウォールのルールが次の順にチェックされます。
1. 「LAN」タブのチェックで接続が許可されなかった NetBIOS トラフィッ
クは、「他のネットワークに対するファイルとプリンタの共有をブロック
する」チェックボックスが選択されている/いないかによって、次のよう
に処理されます。
■
チェックボックスが選択されている場合、トラフィックはブロックさ
れます。
■
チェックボックスが選択されていない場合、トラフィックは残りのルー
ルに従ってブロックされます。
2. 最優先のグローバル ルールは、リストに表示されている順にチェックさ
れます。
3. 接続にまだルールが適用されていない場合、アプリケーション ルールが
チェックされます。
4. それでもなお接続が処理されていない場合、通常のグローバル ルールが
表示されている順にチェックされます。
5. 接続を処理できるルールが存在しない場合、処理方法は次のとおりです。
■
「規定で許可」モードの場合: 送信方向のトラフィックを許可。
85
Sophos Endpoint Security and Control
■
「規定でブロック」モードの場合: トラフィックをブロック。
■
「対話型」モードの場合: ユーザーに処理方法を確認。
ヒント: ファイアウォールの動作モードは、デフォルトで「規定でブロッ
ク」です。
9.5.3 ローカルネットワークの検出について
このコンピュータのローカルネットワークは、ファイアウォールのルールで
指定できます。
ファイアウォールは起動時に、このコンピュータのローカルネットワークを
判断し、実行中、変更がないか監視します。変更を検出すると、ファイア
ウォールはローカルネットワークのルールを更新して、新しいローカルネッ
トワーク アドレスの範囲を指定します。
警告: 外出先での接続先の設定にローカル ネットワーク ルールを使用する場
合は、十分注意が必要です。詳細は、セカンダリロケーション用の設定を作
成する (p. 99) を参照してください。
9.5.4 グローバル ルール
9.5.4.1 デフォルトのグローバル ルールの設定
このトピックでは、デフォルトのグローバルルールの適用イベントや実行す
るアクションについて説明します。デフォルトのグローバルルールを新規作
成する際は、ここでの設定を使用してください。
DNS 解決を許可する (TCP)
■
プロトコル: TCP
■
方向: 送信
■
リモートポート: DOMAIN
■
アクション: 許可する
DNS 解決を許可する (UDP)
86
■
プロトコル: UDP
■
方向: 送信
■
リモートポート: DNS
■
アクション: ステートフル インスペクション
ヘルプ
DHCP (送信) を許可する
■
プロトコル: UDP
■
ローカルポート: BOOTPS,BOOTPC,546,547
■
アクション: 許可する
外部からの識別プロトコルを許可する
■
プロトコル: TCP
■
方向: 受信
■
ローカルポート: AUTH
■
アクション: 許可する
ループバックを許可する
■
プロトコル: TCP
■
方向: 受信
■
ローカルポート: 127.0.0.0 (255.255.255.0)
■
アクション: 許可する
GRE プロトコルを許可する
■
プロトコル: TCP
■
プロトコルの種類: 送信
■
アクション: 許可する
PPTP コントロール接続を許可する
■
プロトコル: TCP
■
方向: 送信
■
リモートポート: PPTP
■
ローカルポート: 1024-65535
■
アクション: 許可する
RPC 呼び出し (TCP) をブロックする
■
プロトコル: TCP
■
方向: 受信
■
ローカルポート: DCOM
87
Sophos Endpoint Security and Control
■
アクション: ブロックする
RPC 呼び出し (UDP) をブロックする
■
プロトコル: UDP
■
ローカルポート: 135
■
アクション: ブロックする
SMB プロトコル (TCP) をブロックする
■
プロトコル: TCP
■
方向: 受信
■
ローカルポート: MICROSOFT_DS
■
アクション: ブロックする
SMB プロトコル (UDP) をブロックする
■
プロトコル: TCP
■
ローカルポート: 445
■
アクション: ブロックする
ローカルホスト接続 (UDP) を許可する
■
プロトコル: UDP
■
リモートホスト: 255.255.255.255 (0.0.0.0)
■
ローカルホスト: 255.255.255.255 (0.0.0.0)
■
ローカルポートがリモートポートと同じ場合: True
■
アクション: 許可する
9.5.4.2 グローバル ルールを作成する
重要: グローバル ルールの作成は、ネットワークプロトコルに関する知識が
ある場合のみ行うことをお勧めします。
グローバルルールは、既にルールが指定されていないすべてのネットワーク
接続およびアプリケーションに適用できます。
88
ヘルプ
グローバル ルールを作成する方法は次のとおりです。
1. 「ホーム」ページの「ファイアウォール」で、「ファイアウォールの環境
設定」をクリックします。
「ホーム」ページの詳細は、ホームページについて (p. 5) を参照してく
ださい。
2. 「環境設定」パネルで、設定するロケーション用の「環境設定」をクリッ
クします。
3. 「グローバル ルール」タブをクリックします。
4. 「追加」をクリックします。
5. 「ルール名」にルールの名前を入力します。
リスト内のルール名は一意でなければなりません。つまり、同じ名前のグ
ローバル ルールを 2つ作成することはできません。
6. 他のアプリケーション ルールや普通の優先順位のグローバル ルールより
優先して適用するには、「最優先ルール」チェックボックスをクリックし
ます。
ルールの適用順序の詳細は、ルールの適用順序について (p. 84) を参照し
てください。
7. 「ルールを適用するイベントを選択します」で、発生時にルールを適用す
るイベントを選択します。
8. 「ルールが実行するアクションを選択します」ボックスで、「許可する」
または「ブロックする」を選択します。
9. 次のいずれかの手順を実行してください。
■
接続の確立中に、同じリモートアドレスから、または同じリモートア
ドレスへの接続を許可するには、「コンカレント接続」を選択します。
ヒント: このオプションは、 TCP のルールに対してのみ利用できます。
同ルールは、デフォルトでステートフルインスペクションが有効になっ
ています。
■
初回の接続に基づいた判断により、リモートコンピュータからの応答
を許可するには、「ステートフル・インスペクション」を選択します。
10. 「ルールの説明」で、下線の付いた文字列をクリックします。たとえば、
「TCP」リンクをクリックすると、「プロトコルの選択」ダイアログボッ
クスが開きます。
89
Sophos Endpoint Security and Control
9.5.4.3 グローバル ルールを編集する
重要: グローバル ルールの変更は、ネットワークプロトコルに関する知識が
ある場合のみ行うことをお勧めします。
グローバル ルールを編集する方法は次のとおりです。
1. 「ホーム」ページの「ファイアウォール」で、「ファイアウォールの環境
設定」をクリックします。
「ホーム」ページの詳細は、ホームページについて (p. 5) を参照してく
ださい。
2. 「環境設定」パネルで、設定するロケーション用の「環境設定」をクリッ
クします。
3. 「グローバル ルール」タブをクリックします。
4. 「ルール」リストで、編集するルールをクリックします。
5. 「編集」をクリックします。
グローバル ルールの設定に関する詳細は、グローバル ルールを作成する
(p. 88) を参照してください。
9.5.4.4 グローバル ルールをコピーする
グローバルルールをコピーして、ルールのリストに追加する方法は次のとお
りです。
1. 「ホーム」ページの「ファイアウォール」で、「ファイアウォールの環境
設定」をクリックします。
「ホーム」ページの詳細は、ホームページについて (p. 5) を参照してく
ださい。
2. 「環境設定」パネルで、設定するロケーション用の「環境設定」をクリッ
クします。
3. 「グローバル ルール」タブをクリックします。
4. 「ルール」リストで、コピーするルールをクリックします。
5. 「コピー」をクリックします。
9.5.4.5 グローバル ルールを削除する
1. 「ホーム」ページの「ファイアウォール」で、「ファイアウォールの環境
設定」をクリックします。
「ホーム」ページの詳細は、ホームページについて (p. 5) を参照してく
ださい。
90
ヘルプ
2. 「環境設定」パネルで、設定するロケーション用の「環境設定」をクリッ
クします。
3. 「グローバル ルール」タブをクリックします。
4. 「ルール」リストで、削除するルールをクリックします。
5. 「削除」をクリックします。
9.5.4.6 グローバル ルールを適用する順序を変更する
グローバルルールは、ルールのリストでの表示に従って、上から順番に適用
されます。
グローバル ルールを適用する順序を変更する方法は次のとおりです。
1. 「ホーム」ページの「ファイアウォール」で、「ファイアウォールの環境
設定」をクリックします。
「ホーム」ページの詳細は、ホームページについて (p. 5) を参照してく
ださい。
2. 「環境設定」パネルで、設定するロケーション用の「環境設定」をクリッ
クします。
3. 「グローバル ルール」タブをクリックします。
4. 「ルール」リストで、リスト内で上へ移動、または下へ移動するルールを
クリックします。
5. 「上へ移動」または「下へ移動」をクリックします。
9.5.5 アプリケーション ルール
9.5.5.1 アプリケーションにプリセットルールを適用する
プリセットはあらかじめ設定されているアプリケーションルールの集まりで
す。各アプリケーション用ルールのリストにプリセットルールを追加する方
法は次のとおりです。
1. 「ホーム」ページの「ファイアウォール」で、「ファイアウォールの環境
設定」をクリックします。
「ホーム」ページの詳細は、ホームページについて (p. 5) を参照してく
ださい。
2. 「環境設定」パネルで、設定するロケーション用の「環境設定」をクリッ
クします。
3. 「アプリケーション」タブをクリックします。
4. リストに表示されるアプリケーションを選択し、「 カスタム 」の横にあ
る矢印をクリックします。
91
Sophos Endpoint Security and Control
5. 「プリセットからのルールの追加」にカーソルを合わせて、いずれかのプ
リセットルールをクリックします。
9.5.5.2 アプリケーション ルールを作成する
カスタムルールを作成して、各アプリケーションに対して許可するアクセス
を詳細に設定する方法は次のとおりです。
1. 「ホーム」ページの「ファイアウォール」で、「ファイアウォールの環境
設定」をクリックします。
「ホーム」ページの詳細は、ホームページについて (p. 5) を参照してく
ださい。
2. 「環境設定」パネルで、設定するロケーション用の「環境設定」をクリッ
クします。
3. 「アプリケーション」タブをクリックします。
4. リストに表示されるアプリケーションを選択し、「カスタム」をクリック
します。
リスト内のアプリケーションをダブルクリックすることもできます。
5. 「アプリケーションのルール」ダイアログボックスで、「追加」をクリッ
クします。
6. 「ルール名」にルールの名前を入力します。
リスト内のルール名は一意でなければなりません。同じ名前のアプリケー
ション ルールを 2つ作成することはできませんが、同じ名前のルールを 2
つの異なるアプリケーションに指定することはできます。
7. 「ルールを適用するイベントを選択します」で、発生時にルールを適用す
るイベントを選択します。
8. 「ルールが実行するアクションを選択します」ボックスで、「許可する」
または「ブロックする」を選択します。
9. 初回の接続に基づいた判断により、リモートコンピュータからの応答を許
可するには、「ステートフル・インスペクション」を選択します。
10. 「ルールの説明」で、下線の付いた文字列をクリックします。たとえば、
「TCP」リンクをクリックすると、「プロトコルの選択」ダイアログボッ
クスが開きます。
9.5.5.3 アプリケーション ルールを編集する
1. 「ホーム」ページの「ファイアウォール」で、「ファイアウォールの環境
設定」をクリックします。
「ホーム」ページの詳細は、ホームページについて (p. 5) を参照してく
ださい。
92
ヘルプ
2. 「環境設定」パネルで、設定するロケーション用の「環境設定」をクリッ
クします。
3. 「アプリケーション」タブをクリックします。
4. リストに表示されるアプリケーションを選択し、「カスタム」をクリック
します。
リスト内のアプリケーションをダブルクリックすることもできます。
5. 「アプリケーションのルール」ダイアログボックスで、「編集」をクリッ
クします。
6. 「ルール名」にルールの名前を入力します。
リスト内のルール名は一意でなければなりません。同じ名前のアプリケー
ション ルールを 2つ作成することはできませんが、同じ名前のルールを 2
つの異なるアプリケーションに指定することはできます。
7. 「ルールを適用するイベントを選択します」で、発生時にルールを適用す
るイベントを選択します。
8. 「ルールが実行するアクションを選択します」ボックスで、「許可する」
または「ブロックする」を選択します。
9. 初回の接続に基づいた判断により、リモートコンピュータからの応答を許
可するには、「ステートフル・インスペクション」を選択します。
10. 「ルールの説明」で、下線の付いた文字列をクリックします。たとえば、
「TCP」リンクをクリックすると、「プロトコルの選択」ダイアログボッ
クスが開きます。
9.5.5.4 アプリケーション ルールをコピーする
アプリケーションルールをコピーして、ルールのリストに追加する方法は次
のとおりです。
1. 「ホーム」ページの「ファイアウォール」で、「ファイアウォールの環境
設定」をクリックします。
「ホーム」ページの詳細は、ホームページについて (p. 5) を参照してく
ださい。
2. 「環境設定」パネルで、設定するロケーション用の「環境設定」をクリッ
クします。
3. 「アプリケーション」タブをクリックします。
4. リストに表示されるアプリケーションを選択し、「カスタム」をクリック
します。
リスト内のアプリケーションをダブルクリックすることもできます。
93
Sophos Endpoint Security and Control
5. 「アプリケーションのルール」ダイアログボックスで、「コピー」をク
リックします。
9.5.5.5 アプリケーション ルールを削除する
1. 「ホーム」ページの「ファイアウォール」で、「ファイアウォールの環境
設定」をクリックします。
「ホーム」ページの詳細は、ホームページについて (p. 5) を参照してく
ださい。
2. 「環境設定」パネルで、設定するロケーション用の「環境設定」をクリッ
クします。
3. 「アプリケーション」タブをクリックします。
4. リストに表示されるアプリケーションを選択し、「 カスタム 」をクリッ
クします。
5. 「アプリケーションのルール」ダイアログボックスで、「削除」をクリッ
クします。
9.5.5.6 アプリケーション ルールを適用する順序を変更する
アプリケーションルールは、ルールのリストでの表示に従って、上から順番
に適用されます。
アプリケーションルールを適用する順序を変更する方法は次のとおりです。
1. 「ホーム」ページの「ファイアウォール」で、「ファイアウォールの環境
設定」をクリックします。
「ホーム」ページの詳細は、ホームページについて (p. 5) を参照してく
ださい。
2. 「環境設定」パネルで、設定するロケーション用の「環境設定」をクリッ
クします。
3. 「アプリケーション」タブをクリックします。
4. リストに表示されるアプリケーションを選択し、「カスタム」をクリック
します。
リスト内のアプリケーションをダブルクリックすることもできます。
5. 「ルール」リストで、リスト内で上へ移動、または下へ移動するルールを
クリックします。
6. 「上へ移動」または「下へ移動」をクリックします。
9.5.5.7 アプリケーションが隠しプロセスを起動することを許可する
アプリケーションは、ネットワークにアクセスするため、別の隠しプロセス
を起動することがあります。
94
ヘルプ
悪意のあるアプリケーションは、この手法を利用して、ファイアウォールを
迂回することができます。つまり、自身ではなく、信頼できるアプリケー
ションを起動してネットワークアクセスを実行します。
ファイアウォールは、隠しプロセスを新規検出すると、管理コンソールに警
告を送信します (使用している場合)。
アプリケーションが隠しプロセスを起動することを許可する方法は次のとお
りです。
1. 「ホーム」ページの「ファイアウォール」で、「ファイアウォールの環境
設定」をクリックします。
「ホーム」ページの詳細は、ホームページについて (p. 5) を参照してく
ださい。
2. 「環境設定」パネルで、設定するロケーション用の「環境設定」をクリッ
クします。
3. 「プロセス」タブをクリックします。
4. ダイアログボックスの上部で、「追加」ボタンをクリックします。
5. アプリケーションを探し、それをダブルクリックします。
対話型モードでファイアウォールを使用している場合、新規ランチャが検出
された際に、対話型ダイアログを表示することができます。
■
対話型モードを有効にする (p. 79)
■
隠しプロセス用の対話型ダイアログを有効にする (p. 80)
9.5.5.8 アプリケーションが RAW ソケットを使用することを許可する
アプリケーションのなかには、RAW ソケットを使用してネットワークにア
クセスできるものもあります。RAW ソケットを使用すると、ネットワーク
を介して送信するデータのあらゆる点を制御することができます。
悪意のあるアプリケーションは、IP アドレスを偽ったり、破損したメッセー
ジを故意に送信するなど、RAW ソケットを悪用することができます。
ファイアウォールは、RAW ソケットを新規検出すると、管理コンソールに
警告を送信します (使用している場合)。
95
Sophos Endpoint Security and Control
アプリケーションが RAW ソケットを使用してネットワークにアクセスする
ことを許可する方法は次のとおりです。
1. 「ホーム」ページの「ファイアウォール」で、「ファイアウォールの環境
設定」をクリックします。
「ホーム」ページの詳細は、ホームページについて (p. 5) を参照してく
ださい。
2. 「環境設定」パネルで、設定するロケーション用の「環境設定」をクリッ
クします。
3. 「プロセス」タブをクリックします。
4. ダイアログボックスの下部で、「追加」ボタンをクリックします。
5. アプリケーションを探し、それをダブルクリックします。
対話型モードを使用している場合、ファイアウォールは、RAW ソケットを
検出した際、対話型ダイアログを表示することができます。
■
対話型モードを有効にする (p. 79)
■
RAW ソケット用の対話型ダイアログを有効にする (p. 82)
9.5.5.9 チェックサムを使用してアプリケーションを認証する
アプリケーションには各バージョンごとに、固有のチェックサムがありま
す。ファイアウォールはこのチェックサムを使用して、アプリケーションが
許可されているかどうかを判断できます。
デフォルトでファイアウォールは、実行される各アプリケーションのチェッ
クサムを確認します。チェックサムが不明、または変更された場合、ファイ
アウォールは当該アプリケーションをブロックする、または (対話型モード
では) ユーザーに対処方法を確認します。
また、ファイアウォールは、新規または変更されたアプリケーションを新規
検出すると、管理コンソールに警告を送信します (使用している場合)。
許可されているアプリケーションのチェックサムのリストにチェックサムを
追加する方法は次のとおりです。
1. 「ホーム」ページの「ファイアウォール」で、「ファイアウォールの環境
設定」をクリックします。
「ホーム」ページの詳細は、ホームページについて (p. 5) を参照してく
ださい。
2. 「環境設定」パネルで、設定するロケーション用の「環境設定」をクリッ
クします。
3. 「チェックサム」タブをクリックします。
96
ヘルプ
4. 「追加」をクリックします。
5. アプリケーションを探し、それをダブルクリックします。
対話型モードでファイアウォールを使用している場合、新規または変更され
たアプリケーションが検出された際に、対話型ダイアログを表示することが
できます。
■
対話型モードを有効にする (p. 79)
■
隠しプロセス用の対話型ダイアログを有効にする (p. 80)
9.6 接続先の検出機能
9.6.1 接続先の検出機能について
接続先の検出機能は、接続先に応じてコンピュータの各ネットワークアダプ
タに異なるファイアウォールの設定を適用する Sophos Client Firewall の機能
です。
この機能は主に自宅勤務で使用する会社支給のモバイル PC に対して使いま
す。以下のような 2種類のネットワーク接続を同時利用します。
■
業務利用: VPN クライアントおよび仮想ネットワークアダプタを通じて社
内ネットワークに接続します。
■
業務外の利用: ネットワークケーブルおよび物理ネットワークアダプタを
通じてご使用の ISP に接続します。
このような場合、仮想オフィスの接続には業務用の設定を適用し、業務外の
ISP 接続には業務外用の設定 (通常、厳しい制限をかけます) を適用する必要
があります。
ヒント: 業務外用の設定には、「仮想オフィス」の接続を許可するための詳
細なルールが必要です。
9.6.2 接続先の検出機能を設定する
1. プライマリロケーションのゲートウェイ MAC アドレスまたはドメイン名
のリストを作成します。通常、どちらも社内ネットワークのものです。
2. プライマリロケーションで使用するファイアウォールの設定を作成しま
す。通常、セカンダリロケーションに比べ少ない制限を設定します。
3. セカンダリロケーション用のファイアウォールの設定を作成します。通
常、プライマリロケーションに比べ厳しい制限を設定します。
4. 適用する設定を選択します。
97
Sophos Endpoint Security and Control
お使いの検出方法に応じて、コンピュータのネットワークアダプタの DNS
アドレスまたはゲートウェイアドレスをファイアウォールが取得し、作成し
たアドレスのリストと照合します。
■
ネットワークアダプタと一致するアドレスがリストにある場合、そのアダ
プタにはプライマリロケーション用の設定が適用されます。
■
ネットワークアダプタと一致するアドレスがリストにない場合は、そのア
ダプタにはセカンダリロケーション用のポリシーが適用されます。
接続先は、「Sophos Endpoint Security and Control」ウィンドウの「ステータ
ス」パネルに表示されます。両方の設定が適用された場合、「接続先」 =
「両方」となります。
重要: セカンダリロケーション用の設定では、次のいずれの条件にも該当す
る場合、「対話型」モードから「規定でブロック」モードに切り替えられま
す。
■
両方の接続先がアクティブな状態である。
■
プライマリロケーション用の設定が対話型モードになっていない。
9.6.3 プライマリロケーションを定義する
1. 「ホーム」ページの「ファイアウォール」で、「ファイアウォールの環境
設定」をクリックします。
「ホーム」ページの詳細は、ホームページについて (p. 5) を参照してく
ださい。
2. 「接続先の検出」タブをクリックします。
3. 「検出方法」パネルで、プライマリロケーションを定義する方法の横にあ
る「環境設定」をクリックします。
オプション
説明
DNS 参照を使用する
各プライマリロケーションのドメイン名と、対応
する IP アドレスをリストに追加します。
ゲートウェイの MAC アドレスを使
用する
各プライマリロケーションのゲートウェイの MAC
アドレスをリストに追加します。
4. 画面の指示に従います。
98
ヘルプ
9.6.4 セカンダリロケーション用の設定を作成する
ファイアウォールは、接続先がプライマリロケーションでないことを検出す
ると、セカンダリロケーション用の設定内容を使用します。
1. 「ホーム」ページの「ファイアウォール」で、「ファイアウォールの環境
設定」をクリックします。
「ホーム」ページの詳細は、ホームページについて (p. 5) を参照してく
ださい。
2. 「セカンダリロケーションを設定する」チェックボックスを選択します。
次に、セカンダリロケーション用の設定を行ってください。操作方法は、
「ファイアウォールを設定する」のセクションのファイアウォールの環境設
定について (p. 69) 、および他のトピックを参照してください。
警告: 社外で使用するモバイル PC の場合、不明なローカルネットワークに
接続することがあります。この場合、セカンダリロケーションに対するファ
イアウォールルールで、アドレスとしてローカルネットワークを使用するも
のがあると、不明なトラフィックが許可されてしまう恐れがあります。この
ため、セカンダリロケーションの設定でローカル ネットワーク ルールを使
用する場合は、十分な注意が必要です。
9.6.5 適用する設定を選択する
1. 「ホーム」ページの「ファイアウォール」で、「ファイアウォールの環境
設定」をクリックします。
「ホーム」ページの詳細は、ホームページについて (p. 5) を参照してく
ださい。
99
Sophos Endpoint Security and Control
2. 「全般」タブの「コンピュータの接続先と設定内容」セクションで次のい
ずれかのオプションをクリックします。
オプション
説明
検出された接続場所に応じた設
定内容
ファイアウォールは、接続先の検出機能の設定内容
に応じて、各ネットワーク接続に対してプライマリ
ロケーションまたはセカンダリロケーション用の設
定を適用します (接続先の検出機能を設定する (p.97)
を参照)。
プライマリロケーション用の設
定内容
ファイアウォールは、すべてのネットワーク接続に
対してプライマリロケーション用の設定を適用しま
す。
セカンダリロケーション用の設
定内容
ファイアウォールは、すべてのネットワーク接続に
対してセカンダリロケーション用の設定を適用しま
す。
9.7 ファイアウォールのレポート機能
9.7.1 ファイアウォールのレポートについて
デフォルトでファイアウォールは、管理コンソールに、ステータスの変化、
イベント、およびエラーをレポートします。
ファイアウォールのステータスの変更
ファイアウォールのステータスの変更の種類は次のとおりです。
■
動作モードの変更
■
ソフトウェアバージョンの変更
■
すべてのトラフィックを許可する設定の変更
■
ファイアウォールのポリシーコンプライアンスの変更
対話型モードでファイアウォールを使用している場合、管理コンソールから
適用されるポリシーと異なった設定内容がローカルマシンに適用されること
があります。この場合、特定のファイアウォール設定に変更を加えた際、管
理コンソールに「ポリシーと異なる」という警告が送信されないように設定
することができます。
詳細は、ローカルマシンで行った変更のレポートを有効/無効にする (p. 101)
を参照してください。
100
ヘルプ
ファイアウォールのイベント
コンピュータ上の不明なアプリケーションやコンピュータの OS が、ネット
ワークを介して他のコンピュータと通信しようとすることをイベントと言い
ます。
イベントはファイアウォールから管理コンソールにレポートされないように
設定できます。
詳細は、不明なネットワークのレポートを無効にする (p. 102) を参照してく
ださい。
9.7.2 ローカルマシンで行った変更のレポートを有効/無効にする
ファイアウォールの環境設定がポリシーと異なる場合は、ローカルマシンで
行った変更のレポートを無効にすることができます。
ローカルマシンで行った変更のレポートを無効にすると、グローバル ルー
ル、アプリケーション、プロセス、またはチェックサムがローカルマシンで
変更された際、管理コンソールに「ポリシーと異なる」という警告が送信さ
れなくなります。ここで設定される内容は、対話型ダイアログボックスを
使って変更可能なので、対話型モードで操作を行う場合など、この設定を行
うと便利です。
設定中のコンピュータで、ファイアウォールの環境設定をポリシーに準拠さ
せる必要がある場合は、ローカルマシンで行った変更のレポートを有効にし
てください。
ローカルマシンで行った変更のレポートを無効にする方法は次のとおりで
す。
1. 「ホーム」ページの「ファイアウォール」で、「ファイアウォールの環境
設定」をクリックします。
「ホーム」ページの詳細は、ホームページについて (p. 5) を参照してく
ださい。
2. 「環境設定」パネルで、設定するロケーション用の「環境設定」をクリッ
クします。
3. 「全般」タブの「レポート」パネルで、「グローバルルール、アプリケー
ション、プロセス、またはチェックサムがローカルマシンで変更された場
合、管理コンソールに警告を表示する」チェックボックスを選択から外し
て、ローカルマシンで行った変更のレポートを無効にします。
ローカルマシンで行った変更のレポートを有効にするには、チェクボック
スを選択します。
101
Sophos Endpoint Security and Control
9.7.3 不明なネットワークのレポートを無効にする
ファイアウォールが、不明なネットワークを管理コンソールにレポートしな
いよう設定できます。ファイアウォールは、該当するルールのないトラフィッ
クを不明と見なします。
ファイアウォールが、不明なネットワークを管理コンソールにレポートしな
いようにする方法は次のとおりです。
1. 「ホーム」ページの「ファイアウォール」で、「ファイアウォールの環境
設定」をクリックします。
「ホーム」ページの詳細は、ホームページについて (p. 5) を参照してく
ださい。
2. 「環境設定」パネルで、設定するロケーション用の「環境設定」をクリッ
クします。
3. 「全般」タブの「ブロック」パネルで、「チェックサムを使用してアプリ
ケーションを認証する」チェックボックスを選択します。
4. 「レポート」パネルで、「管理コンソールに不明なアプリケーションとト
ラフィックをレポートする」チェックボックスを選択から外します。
9.7.4 ファイアウォールエラーのレポートを無効にする
重要: ファイアウォールエラーのレポートは、常時無効に設定しておかない
ことをお勧めします。レポートは、必要な場合のみ無効にするようにしてく
ださい。
ファイアウォールが、エラーを管理コンソールにレポートしないようにする
方法は次のとおりです。
1. 「ホーム」ページの「ファイアウォール」で、「ファイアウォールの環境
設定」をクリックします。
「ホーム」ページの詳細は、ホームページについて (p. 5) を参照してく
ださい。
2. 「環境設定」パネルで、設定するロケーション用の「環境設定」をクリッ
クします。
3. 「全般」タブの「レポート」パネルで、「管理コンソールにエラーをレ
ポートする」チェックボックスを選択から外します。
102
ヘルプ
9.7.5 デスクトップメッセージを環境設定する
バルーンチップを使用して、ファイアウォールがデスクトップに表示する
メッセージをコントロールできます。
同じ情報が対話型ダイアログボックスに表示されるので、不明なアプリケー
ションやトラフィックのバルーンティップは対話型モードで表示されませ
ん。
1. 「ホーム」ページの「ファイアウォール」で、「ファイアウォールの環境
設定」をクリックします。
「ホーム」ページの詳細は、ホームページについて (p. 5) を参照してく
ださい。
2. 「環境設定」パネルで、設定するロケーション用の「環境設定」をクリッ
クします。
3. 「全般」タブの「デスクトップメッセージ」タブで、次のいずれかを実行
します。
■
■
ファイアウォールの警告とエラーに関するバールンチップを表示する
には、「警告とエラーを表示する」チェックボックスを選択します。
不明なアプリケーションとトラフィックに関するバールンチップを表
示するには、「不明なアプリケーションとトラフィックを表示する」
チェックボックスを選択します。
9.8 ファイアウォールのログ出力
9.8.1 ファイアウォールのログビューアについて
Sophos Client Firewall ログビューアでは次の内容を表示・フィルタリング・保
存できます。
■
すべての接続
■
許可/ブロックされた接続
■
ファイアウォールのイベント
■
システムログ
103
Sophos Endpoint Security and Control
9.8.2 ファイアウォールのログビューアを開く
❖
「ホーム」ページの「ファイアウォール」で、「ファイアウォールログの
表示」をクリックします。
「ホーム」ページの詳細は、ホームページについて (p. 5) を参照してく
ださい。
9.8.3 ファイアウォールのログを環境設定する
ファイアウォールのイベントログデータベースのサイズとコンテンツを管理
する方法は次のとおりです。
1. 「ホーム」ページの「ファイアウォール」で、「ファイアウォールの環境
設定」をクリックします。
「ホーム」ページの詳細は、ホームページについて (p. 5) を参照してく
ださい。
2. 「ログ」タブをクリックします。
3. ファイアウォールのイベントログ データベースのサイズとコンテンツを
管理するには、次のいずれかのオプションを選択してください。
■
■
データベースのサイズを制限しない場合は、「すべてのレコードを保
存する」をクリックします。
古いレコードを削除するには、「古いレコードを削除する」をクリッ
クし、「ログのクリーンアップの設定」を設定します。
4. 「ログのクリーンアップの設定」パネルで、次のオプションを 1つまたは
複数選択してください。
■
■
■
104
「これより古いレコードを削除する」チェックボックスをクリックし、
「日」ボックスに数値を入力/選択します。
「最大保存件数」チェックボックスをクリックし、「件」ボックスに
数値を入力/選択します。
「最大サイズ」チェックボックスをクリックし、「MB」ボックスに数
値を入力/選択します。
ヘルプ
9.8.4 ファイアウォールのログビューアのレイアウトをカスタマイズする
1. 「ホーム」ページの「ファイアウォール」で、「ファイアウォールログの
表示」をクリックします。
「ホーム」ページの詳細は、ホームページについて (p. 5) を参照してく
ださい。
2. 「表示」メニューの「レイアウト」をクリックします。
3. 「ビューのカスタマイズ」ダイアログボックスで、表示/非表示するアイ
テムを選択します。
■
■
■
■
コンソールツリー: 左ペインです。
ツールバー: ファイアウォールのログビューアの上部に表示されます。
説明バーは、右ペインのデータの上部に表示されます。
ステータスバー: ファイアウォールのログビューアの下部に表示されま
す。
9.8.5 データ形式をカスタマイズする
ファイアウォールのログで表示される次のデータのデータ形式を変更するこ
とができます。
■
ポートを番号、または名前として表示する。例: 80、HTTP。
■
アプリケーションをアイコン、ファイルパス、またはその両方で表示す
る。
■
データ転送速度の単位を指定する。例: KB、MB。
■
罫線を表示/非表示する。
データ形式をカスタマイズする方法は次のとおりです。
1. 「ホーム」ページの「ファイアウォール」で、「ファイアウォールログの
表示」をクリックします。
「ホーム」ページの詳細は、ホームページについて (p. 5) を参照してく
ださい。
2. 「表示」メニューの「カスタマイズ」をクリックします。
3. 随時オプションを選択します。
105
Sophos Endpoint Security and Control
9.8.6 ファイアウォールのログビューアで項目を表示/非表示する
1. 「ホーム」ページの「ファイアウォール」で、「ファイアウォールログの
表示」をクリックします。
「ホーム」ページの詳細は、ホームページについて (p. 5) を参照してく
ださい。
2. 詳細ペインに項目名を表示することのできるアイテムをコンソールツリー
でクリックします。
3. 「表示」メニューで、「項目の追加/削除」を選択します。
項目名を右クリックすることもできます。
4. 「項目」ダイアログボックスで次のいずれかの手順を実行してください。
■
■
項目を非表示にするには、チェックボックスを選択から外します。
項目を表示するには、チェックボックスを選択します。
9.8.7 ファイアウォールのログビューアで項目を並び替える
1. 「ホーム」ページの「ファイアウォール」で、「ファイアウォールログの
表示」をクリックします。
「ホーム」ページの詳細は、ホームページについて (p. 5) を参照してく
ださい。
2. 詳細ペインに項目名を表示することのできるアイテムをコンソールツリー
でクリックします。
3. 「表示」メニューで、「項目の追加/削除」を選択します。
項目名を右クリックすることもできます。
4. 「項目」ダイアログボックスで、項目名をクリックした後、「上へ移動」
や「下へ移動」をクリックし、項目の表示順序を変更します。
注
106
■
詳細ペインに表示される項目は、マウスを使用して、項目名を元の位置よ
り左右にドラッグして並び替えることもできます。項目名をドラッグする
際、項目名の間に表示される縦線が移動後の位置を示します。
■
項目名の端をドラッグして、サイズを変更することができます。
ヘルプ
9.8.8 ファイアウォールのログをフィルタリングする
フィルタを作成して、ファイアウォールのログレコードをフィルタリングす
ることができます。
ファイアウォールのログレコードをフィルタリングする方法は次のとおりで
す。
1. 「ホーム」ページの「ファイアウォール」で、「ファイアウォールログの
表示」をクリックします。
「ホーム」ページの詳細は、ホームページについて (p. 5) を参照してく
ださい。
2. コンソールツリーで、ログを選択します。
3. 「アクション」メニューの「フィルタの追加」をクリックします。
4. 「フィルタ」ウィザードの指示に従ってください。
コンソールツリーで、フィルタリングするログのノードの直下に、作成した
フィルタが表示されます。
9.8.9 ファイアウォールのログからすべてのレコードをエクスポートする
ファイアウォールのログから、すべてのレコードをテキストファイルやカン
マ区切りしたファイルにエクスポートする方法は次のとおりです。
1. 「ホーム」ページの「ファイアウォール」で、「ファイアウォールログの
表示」をクリックします。
「ホーム」ページの詳細は、ホームページについて (p. 5) を参照してく
ださい。
2. コンソールツリーで、ログを選択します。
3. レコードリストを右クリックし、「すべてのレコードのエクスポート」を
クリックします。
4. 「ファイル名」ボックスに、ファイル名を入力します。
5. 「ファイルの種類」リストで、指定するファイルの種類をクリックしま
す。
107
Sophos Endpoint Security and Control
9.8.10 ファイアウォールのログから選択したレコードをエクスポートする
ファイアウォールのログから、選択したレコードをテキストファイルやカン
マ区切りしたファイルにエクスポートする方法は次のとおりです。
1. 「ホーム」ページの「ファイアウォール」で、「ファイアウォールログの
表示」をクリックします。
「ホーム」ページの詳細は、ホームページについて (p. 5) を参照してく
ださい。
2. コンソールツリーで、ログを選択します。
3. エクスポートするレコードを選択します。
レコードが頻繁に更新される場合は、「表示」メニューで、「自動更新」
を選択から外します。
4. 「アクション」メニューの「選択したレコードのエクスポート」をクリッ
クします。
5. 「ファイル名」ボックスに、ファイル名を入力します。
6. 「ファイルの種類」リストで、指定するファイルの種類をクリックしま
す。
108
ヘルプ
10 Sophos AutoUpdate
10.1 今すぐアップデートする
社内ネットワークに常時接続している場合は、デフォルトのスケジュール設
定で、10分ごとに Sophos AutoUpdate のアップデートが実行され、インター
ネットに常時接続している場合は、1時間ごとにアップデートが実行されま
す。
ダイヤルアップ接続の場合は、ダイヤルアップでインターネットに接続した
とき、および接続後は 1時間ごとに Sophos AutoUpdate のアップデートが実
行されます。
直ちにアップデートする方法は次のとおりです。
❖
Sophos Endpoint Security and Control のシステムトレイ アイコンを右クリッ
クし、「今すぐアップデート」をクリックします。
10.2 アップデートをスケジュール設定する
重要: Sophos Endpoint Security and Control が管理コンソールで管理されてい
る場合、ここで変更する設定内容は管理コンソールによって上書きされるこ
とがあります。
Sophos AutoUpdate では、アップデートを実行するタイミングや頻度を設定
できます。
1. 「環境設定」メニューで、「アップデート」をクリックします。
2. 「スケジュール」タブをクリックします。
3. 「自動アップデートを有効にする」を選択し、Sophos AutoUpdate でアッ
プデートを実行する間隔 (分単位) を入力します。
更新ファイルを社内ネットワークからダウンロードする場合、デフォルト
のアップデートの間隔は 10分です。
インターネット経由で直接ソフォスのサーバーから、Sophos AutoUpdate
の更新ファイルをダウンロードする場合、1時間より短い間隔でアップデー
トすることはできません。
10.3 アップデート元を設定する
109
Sophos Endpoint Security and Control
Sophos AutoUpdate を自動的にアップデートするには、アップデート版のダ
ウンロード元を指定する必要があります。
1. 「環境設定」メニューで、「アップデート」をクリックします。
2. 「プライマリロケーション」タブをクリックします。
3. 「アドレス」リストに、アップデートサーバーの UNC パス、または Web
アドレスを入力します。
インターネット経由でソフォスから直接アップデート版をダウンロードす
るには、「アドレス」リストから「Sophos」を選択します。
4. 「ユーザー名」ボックスに、アップデートサーバーへの接続に使用するア
カウントのユーザー名を入力します。
「ユーザー名」とドメイン名をあわせて指定する必要がある場合は、ドメ
イン名\ユーザー名 という形式で入力してください。
5. 「パスワード」ボックスに、アップデートサーバーへの接続に使用するア
カウントのパスワードを入力します。
10.4 別のアップデート元を設定する
別のアップデート元を指定すると、通常のアップデート元から Sophos
AutoUpdate をアップデートできない場合、別のアップデート元からアップ
デートが実行されます。
1. 「環境設定」メニューで、「アップデート」をクリックします。
2. 「セカンダリロケーション」タブをクリックします。
3. 「アドレス」リストに、アップデートサーバーの UNC パス、または Web
アドレスを入力します。
インターネット経由でソフォスから直接アップデート版をダウンロードす
るには、「アドレス」リストから「Sophos」を選択します。
4. 「ユーザー名」ボックスに、アップデートサーバーへの接続に使用するア
カウントのユーザー名を入力します。
「ユーザー名」とドメイン名をあわせて指定する必要がある場合は、ドメ
イン名\ユーザー名 という形式で入力してください。
5. 「パスワード」ボックスに、アップデートサーバーへの接続に使用するア
カウントのパスワードを入力します。
10.5 プロキシサーバー経由でアップデートする
110
ヘルプ
プロキシ経由のインターネット接続で Sophos AutoUpdate のアップデート版
を取得する場合は、使用するプロキシサーバーの詳細を必ず入力してくださ
い。
1. 「環境設定」メニューで、「アップデート」をクリックします。
2. 「プライマリロケーション」または「セカンダリロケーション」タブをク
リックします。
3. 「プロキシの詳細」をクリックします。
4. 「プロキシ経由でロケーションにアクセスする」チェックボックスを選択
します。
5. プロキシサーバーの「アドレス」と「ポート」番号を入力します。
6. プロキシサーバーに接続する権限を持つ「ユーザー名」と「パスワード」
を入力します。
「ユーザー名」とドメイン名をあわせて指定する必要がある場合は、ドメ
イン名\ユーザー名 という形式で入力してください。
10.6 ダイヤルアップ接続でアップデートする
ダイヤルアップ接続でアップデートを実行する方法は次のとおりです。
1. 「環境設定」メニューで、「アップデート」をクリックします。
2. 「スケジュール」タブをクリックします。
3. 「ダイヤルアップ時にアップデート版をチェックする」を選択します。
インターネットに接続すると、自動的に Sophos AutoUpdate がアップデート
されます。
10.7 アップデートに使用するバンド幅を制限する
Sophos AutoUpdate で使われるネットワークのバンド幅を抑制することで、
メールのダウンロードなど、バンド幅を必要とする他のサービスも並行して
利用できます。
1. 「環境設定」メニューで、「アップデート」をクリックします。
2. 「プライマリロケーション」または「セカンダリロケーション」タブをク
リックします。
3. 「詳細設定」をクリックします。
111
Sophos Endpoint Security and Control
4. 「使用するバンド幅を制限する」チェックボックスを選択し、スライダを
左右に動かして Sophos AutoUpdate で使用できるバンド幅を調整します。
ヒント: 利用可能なバンド幅を超える値を指定した場合、Sophos AutoUpdate
はすべてのバンド幅を使い切ります。
10.8 アップデートのログを出力する
Sophos AutoUpdate では、アップデートのログをファイルに出力できます。
1. 「環境設定」メニューで、「アップデート」をクリックします。
2. 「ログ」タブをクリックします。
3. 「Sophos AutoUpdate のアクティビティをログに出力する」チェックボッ
クスを選択します。
4. 「ログの最大サイズ」ボックスで、ログの最大容量を MB単位で指定しま
す。
5. 「ログレベル」リストで、「通常」または「詳細」を選択します。
詳細ログレベルを指定すると、通常レベルと比較してより多くの活動に関
する情報が記録されるので、ログのサイズは急速に大きくなります。した
がって、このオプションは、トラブルシューティングなど、詳細なログが
必要な場合のみに使用してください。
10.9 アップデートのログを表示する
1. 「環境設定」メニューで、「アップデート」をクリックします。
2. 「ログ」タブをクリックします。
3. 「ログファイルの表示」をクリックします。
112
ヘルプ
11 Sophos Tamper Protection
11.1 ローカルマシンのタンパー プロテクションについて
タンパー プロテクションは、未認証のユーザー (ローカルアドミニストレー
タや専門知識のないユーザーなど) や既知のマルウェアが、ソフォスのセキュ
リティソフトをアンインストールしたり、Sophos Endpoint Security and Control
の GUI を通じて無効に設定することを防止する機能です。
ヒント: この機能は詳しい専門知識を持つユーザーから製品を保護するもの
ではありません。また、検出を避けるためにオペレーティングシステムの動
作を妨害するマルウェアから製品を保護するものでもありません。このタイ
プのマルウェアは、脅威検索や疑わしい動作検索のみで検出されます。(詳
細は「Sophos Anti-Virus の使用方法」のセクションを参照してください。)
タンパー プロテクション機能に影響されるユーザーの権限
SophosUser および SophosPowerUser
SophosUser および SophosPowerUser グループのメンバーは、タンパー プロテ
クション機能による影響を受けません。タンパープロテクションを有効にし
た場合、これらのユーザーは、タンパープロテクションのパスワードを入力
せずに、通常、実行を許可されているタスクすべてを実行できます。
SophosUser または SophosPowerUser が、タンパー プロテクションを有効/無
効に切り替えることはできません。
各ソフォスのユーザーグループが実行を許可されているタスクについて、さ
らに詳しくは、ソフォスのユーザーグループについて (p. 6) を参照してく
ださい。
SophosAdministrator
SophosAdministrator グループのメンバーは、タンパー プロテクションを有
効/無効に切り替えることができます。
Sophos Endpoint Security and Control が管理コンソールで管理されている場合
は、管理コンソールのタンパー プロテクション ポリシーの設定内容とパス
ワードが適用されます。コンソールでタンパープロテクションが有効になっ
ている場合、下記のタスクを実行するにはコンソールの管理者よりパスワー
ドを入手してください。
113
Sophos Endpoint Security and Control
SophosAdministrator グループのメンバーの場合、タンパー プロテクションが
有効になっているときに、次のタスクを実行するには、タンパー プロテク
ションのパスワードが必要です。
■
オンアクセス検索や疑わしい動作検出を再設定する。詳細は、ソフトウェ
アを環境設定するためにタンパー プロテクションのパスワードを入力す
る (p. 117) を参照してください。
■
タンパー プロテクションを無効にする。詳細は、タンパー プロテクショ
ンを無効にする (p. 115) を参照してください。
■
コントロールパネルで、Sophos Endpoint Security and Control のコンポーネ
ント (Sophos Anti-Virus、Sophos Client Firewall、Sophos AutoUpdate、Sophos
Remote Management System) をアンインストールする。
■
コントロールパネルから Sophos SafeGuard Disk Encryption をアンインス
トールする。
パスワードを与えられていない SophosAdministrator のメンバーは、上記以外
のタスクすべてを実行できます。
一度パスワードを設定した後、無効に設定したタンパープロテクション機能
を、もう一度有効に設定するには、「ユーザーの認証」オプションを使用し
てユーザー認証を行う必要があります。タンパー プロテクションが無効に
なっている場合、SophosAdministrator グループが設定できる他のすべての環
境設定オプションは有効になっています。タンパープロテクションを再度有
効にする方法について詳細は、タンパー プロテクションを再有効化する (p.
115) を参照してください。
11.2 タンパー プロテクションを有効にする
重要: 管理コンソールで管理されている Sophos Endpoint Security and Control
の場合、ここで変更する設定内容は管理コンソールによって上書きされるこ
とがあります。
Sophos Endpoint Security and Control を新規インストールすると、タンパー プ
ロテクションはデフォルトで無効になっています。SophosAdministrator グ
ループのメンバーは、タンパー プロテクションを有効に設定できます。
タンパー プロテクションを有効にする方法は次のとおりです。
1. 「ホーム」ページの「タンパー プロテクション」で、「タンパー プロテ
クションの環境設定」をクリックします。
「ホーム」ページの詳細は、ホームページについて (p. 5) を参照してく
ださい。
114
ヘルプ
2. 「タンパー プロテクションの環境設定」ダイアログボックスで、「タン
パー プロテクションを有効にする」チェックボックスを選択します。
3. 「パスワード」ボックスの下の「設定」をクリックします。「タンパー
プロテクションのパスワード」ダイアログボックスに、パスワードを入力
し、確認入力します。
チップ: パスワードは、数字、大文字、小文字を組み合わせ、8文字以上
指定する必要があります。
11.3 タンパー プロテクションを無効にする
重要: 管理コンソールで管理されている Sophos Endpoint Security and Control
の場合、ここで変更する設定内容は管理コンソールによって上書きされるこ
とがあります。
SophosAdministrator グループのメンバーは、タンパー プロテクションを無効
に設定できます。
タンパー プロテクションを無効にする方法は次のとおりです。
1. ユーザー認証が済んでおらず、「ホーム」ページで「タンパー プロテク
ションの環境設定」オプションが表示されていない場合は、ステップ 2 の
操作を行う前に、ソフトウェアを環境設定するためにタンパー プロテク
ションのパスワードを入力する (p. 117) の指示に従ってください。
2. 「ホーム」ページの「タンパー プロテクション」で、「タンパー プロテ
クションの環境設定」をクリックします。
「ホーム」ページの詳細は、ホームページについて (p. 5) を参照してく
ださい。
3. 「タンパー プロテクションの環境設定」ダイアログボックスで、「タン
パー プロテクションを有効にする」チェックボックスを選択から外しま
す。そして、「OK」をクリックします。
11.4 タンパー プロテクションを再有効化する
重要: 管理コンソールで管理されている Sophos Endpoint Security and Control
の場合、ここで変更する設定内容は管理コンソールによって上書きされるこ
とがあります。
SophosAdministrator グループのメンバーは、タンパー プロテクションを再有
効化できます。
115
Sophos Endpoint Security and Control
タンパー プロテクションを再有効化する方法は次のとおりです。
1. 「ホーム」ページの「タンパープロテクション」で、「ユーザーの認証」
をクリックします。
「ホーム」ページの詳細は、ホームページについて (p. 5) を参照してく
ださい。
2. 「タンパー プロテクションの認証」ダイアログボックスに、タンパー プ
ロテクションのパスワードを入力し、「OK」をクリックします。
3. 「ホーム」ページの「タンパー プロテクション」で、「タンパー プロテ
クションの環境設定」をクリックします。
4. 「タンパー プロテクションの環境設定」ダイアログボックスで、「タン
パー プロテクションを有効にする」チェックボックスを選択します。
11.5 タンパー プロテクションのパスワードについて
タンパープロテクションが有効になっているときに、オンアクセス検索や疑
わしい動作検知の設定を変更したり、タンパープロテクションを無効にする
には、タンパープロテクションのパスワードを入力する必要があります。こ
こでの設定を行うには、SophosAdministrator グループのメンバーである必要
があります。
タンパー プロテクションのパスワードの入力が必要となるのは、Sophos
Endpoint Security and Control を開いている間につき一度だけです。一旦、
Sophos Endpoint Security and Control を閉じると、開いたときに改めてタン
パー プロテクションのパスワードを入力する必要があります。
Sophos Endpoint Security and Control のどのコンポーネントをアンインストー
ルする場合でも、アンインストールを開始する前に、パスワードを入力して
タンパー プロテクションを解除する必要があります。
一度パスワードを設定した後、無効に設定したタンパープロテクション機能
を、もう一度有効に設定するには、設定したパスワードを入力する必要があ
ります。
次の場合、タンパー プロテクションのパスワードを入力する必要がありま
す。
116
■
タンパープロテクション機能を一度有効にし、パスワードを設定した後、
タンパー プロテクションを無効にしている場合。
■
管理コンソールでタンパー プロテクションのパスワードが設定されてい
るものの、タンパー プロテクションを有効にしていない場合。
ヘルプ
11.6 ソフトウェアを環境設定するためにタンパー プロテクショ
ンのパスワードを入力する
SophosAdministrator グループのメンバーは、タンパー プロテクション用パス
ワードを入力して認証することができます。
認証の方法は次のとおりです。
1. 「ホーム」ページの「タンパープロテクション」で、「ユーザーの認証」
をクリックします。
「ホーム」ページの詳細は、ホームページについて (p. 5) を参照してく
ださい。
2. 「タンパー プロテクションの認証」ダイアログボックスに、タンパー プ
ロテクションのパスワードを入力し、「OK」をクリックします。
11.7 タンパー プロテクションのパスワードを変更する
重要: 管理コンソールで管理されている Sophos Endpoint Security and Control
の場合、ここで変更する設定内容は管理コンソールによって上書きされるこ
とがあります。
タンパー プロテクションのパスワードを変更するには、SophosAdministrator
グループのメンバーである必要があります。
タンパー プロテクションのパスワードを変更する方法は次のとおりです。
1. ユーザー認証が済んでおらず、「ホーム」ページで「タンパー プロテク
ションの環境設定」オプションが表示されていない場合は、ステップ 2 の
操作を行う前に、ソフトウェアを環境設定するためにタンパー プロテク
ションのパスワードを入力する (p. 117) の指示に従ってください。
2. 「ホーム」ページの「タンパー プロテクション」で、「タンパー プロテ
クションの環境設定」をクリックします。
「ホーム」ページの詳細は、ホームページについて (p. 5) を参照してく
ださい。
3. 「タンパー プロテクションの環境設定」ダイアログボックスで、「パス
ワード」ボックスの「変更」をクリックします。
4. 「タンパー プロテクションのパスワード」ダイアログボックスに、パス
ワードを入力し、確認入力します。
チップ: パスワードは、数字、大文字、小文字を組み合わせ、8文字以上
指定する必要があります。
117
Sophos Endpoint Security and Control
11.8 ソフォスのセキュリティソフトをアンインストールする
SophosAdministrator グループのメンバーは、コントロールパネルから次のソ
フォスのセキュリティソフトをアンインストールできます。
■
Sophos Endpoint Security and Control components (Sophos Anti-Virus、Sophos
Client Firewall、Sophos AutoUpdate、Sophos Remote Management System)
■
Sophos SafeGuard Disk Encryption
タンパープロテクションが有効になっている状態でソフォスのセキュリティ
ソフトをアンインストールする方法は次のとおりです。
1. 「ホーム」ページの「タンパープロテクション」で、「ユーザーの認証」
をクリックします。
「ホーム」ページの詳細は、ホームページについて (p. 5) を参照してく
ださい。
2. 「タンパー プロテクションの認証」ダイアログボックスに、タンパー プ
ロテクションのパスワードを入力し、「OK」をクリックします。
3. 「ホーム」ページの「タンパー プロテクション」で、「タンパー プロテ
クションの環境設定」をクリックします。
4. 「タンパー プロテクションの環境設定」ダイアログボックスで、「タン
パー プロテクションを有効にする」チェックボックスを選択から外しま
す。そして、「OK」をクリックします。
タンパー プロテクションが無効になります。
5. 「コントロール パネル」で、「プログラムの追加と削除」を開き、一覧
から削除するソフトウェアを選択し、「変更と削除」または「削除」をク
リックします。画面に表示される指示に従ってソフトウェアをアンインス
トールします。
11.9 タンパー プロテクションのログを表示する
タンパー プロテクションのログには、次の 2種類のイベントが表示されま
す。
118
■
タンパー プロテクションの認証に成功したときに記録されるイベント。
認証済みのユーザーの名前と認証した日時が表示されます。
■
ソフォス製品を改変しようとする操作が失敗したときに記録されるイベン
ト。当該のソフォス製品またはコンポーネントの名前、発生日時、操作を
行ったユーザーの名前が表示されます。
ヘルプ
タンパー プロテクションのログを表示するには、SophosAdministrator グルー
プのメンバーである必要があります。
タンパー プロテクションのログを表示する方法は次のとおりです。
❖
「ホーム」ページの「タンパー プロテクション」で、「タンパー プロテ
クション ログの表示」をクリックします。
「ホーム」ページの詳細は、ホームページについて (p. 5) を参照してく
ださい。
ログのページから、ログの内容をクリップボードにコピーしたり、メール送
信したり、印刷することができます。
ログファイル内の特定のテキストを検索する場合は、「検索」をクリックし
て、検索するテキストを入力します。
119
Sophos Endpoint Security and Control
12 トラブルシューティング
12.1 アップデートに失敗する
12.1.1 アップデートエラーについて
アップデートエラーの詳細を調べるには、アップデートのログを確認しま
す。この方法について詳細はアップデートのログを表示する (p. 112) を参照
してください。
アップデートに失敗する原因や、設定内容を変更して問題を解決する方法は
次のとおりです。
■
Sophos Endpoint Security and Control が誤ったアップデート元に接続する (p.
120)
■
Sophos Endpoint Security and Control がプロキシサーバーに接続できない (p.
120)
■
自動アップデートが正しくスケジュール設定されていない (p. 121)
■
アップデート元が管理されていない (p. 121)
12.1.2 Sophos Endpoint Security and Control が誤ったアップデート元に接
続する
1. 「環境設定」メニューで、「アップデート」をクリックします。
2. 「プライマリロケーション」タブのアドレスとアカウントの詳細が、シス
テム管理者から入手したものと同じであることを確認してください。
「プライマリロケーション」タブの設定について、詳細はアップデート元
を設定する (p. 109) を参照してください。
12.1.3 Sophos Endpoint Security and Control がプロキシサーバーに接続で
きない
インターネット経由で自動的に Sophos Endpoint Security and Control をアップ
デートする場合、プロキシサーバーを設置している環境では、Sophos
Anti-Virus がプロキシサーバーに接続できることを確認してください。
1. 「環境設定」メニューで、「アップデート」をクリックします。
2. 「プライマリロケーション」タブで、「プロキシの詳細」をクリックしま
す。
120
ヘルプ
3. プロキシサーバーのアドレス、ポート番号、およびアカウント情報が正し
いことを確認してください。
プロキシの詳細の入力について、詳細はプロキシサーバー経由でアップ
デートする (p. 110) を参照してください。
12.1.4 自動アップデートが正しくスケジュール設定されていない
1. 「環境設定」メニューで、「アップデート」をクリックします。
2. 「スケジュール」タブをクリックします。(「スケジュール」タブに関す
る詳細は、アップデートをスケジュール設定する (p. 109) を参照してくだ
さい。)
3. コンピュータが社内ネットワークに接続されている場合、またはブロード
バンドインターネット接続でアップデートを行う場合は、「自動アップ
デートを有効にする」を選択し、アップデートの頻度を入力します。ダイ
ヤルアップ接続でインターネットに接続する場合は、「ダイヤルアップ時
にアップデート版をチェックする」を選択します。
12.1.5 アップデート元が管理されていない
アップデート元として使用している、社内ネットワーク上または社内のWeb
サーバー上のディレクトリが移動された可能性があります。または、その
ディレクトリが管理されていないことも考えられます。
この場合は、社内のシステム管理者にお問い合わせください。
12.2 脅威がクリーンアップされない
Sophos Anti-Virus で、コンピュータ上の脅威をクリーンアップできない場合、
次の原因が考えられます。
自動クリーンアップが無効になっている
Sophos Anti-Virus でクリーンアップが実行されない場合、自動クリーンアッ
プが有効になっているかどうかを確認してください。自動クリーンアップの
有効化について、詳細は次のトピックを参照してください。
■
オンアクセスのクリーンアップを環境設定する (p. 13)
■
右クリック クリーンアップを環境設定する (p. 25)
■
カスタム検索のクリーンアップを環境設定する (p. 30)
アドウェアや不要と思われるアプリケーションの自動クリーンアップは、オ
ンアクセス検索で行うことはできません。
121
Sophos Endpoint Security and Control
クリーンアップに失敗した
Sophos Anti-Virus で脅威をクリーンアップできない場合 (「クリーンアップ
に失敗しました」)、クリーンアップできない種類の脅威である可能性や、
ユーザーが十分なアクセス権を持っていない可能性があります。
コンピュータのフル検索が必要である
Sophos Anti-Virus でクリーンアップを実行する前に、コンピュータをフル検
索し、複合脅威のコンポーネントを検出したり、隠されているファイル内の
脅威を検出したりしなければならないことがあります。
1. コンピュータ上のブートセクタを含むすべてのディスクドライブを検索す
るには、ローカルディスクの検索を実行してください。詳細は、コンピュー
タのフル検索を実行する (p. 34) を参照してください。
2. それでもすべての脅威が検出されない場合、使用者が十分なアクセス権を
持たない、あるいは脅威のコンポーネントを含むコンピュータ上のディス
クドライブまたはフォルダが検索から除外されていることが原因と考えら
れます。詳細は、オンアクセス検索の対象から除外するアイテムを追加、
編集、削除する (p. 16) を参照してください。検索から除外するアイテム
のリストを確認してください。リストにアイテムがある場合はリストから
削除し、再度コンピュータの検索を実行してください。
リムーバブルメディアが書込み禁止に設定されている
フロッピーディスクや CD などのリムーバブルメディアを扱っている場合、
書き込み禁止設定を解除してください。
NTFS ボリュームが書込み禁止に設定されている
NTFS ボリューム (Windows 2000 以降) 上のファイルを扱っている場合、書き
込み禁止設定を解除してください。
ウイルス/スパイウェアのフラグメントが報告される
Sophos Anti-Virus は、完全に一致するウイルス/スパイウェアのみクリーンアッ
プするので、ウイルス/スパイウェア フラグメントのクリーンアップは実行
しません。詳細はウイルス/スパイウェアのフラグメントが報告される (p.122)
を参照してください。
12.3 ウイルス/スパイウェアのフラグメントが報告される
ウイルス/スパイウェアのフラグメントがレポートされる場合は、次の手順
を実行してください。
122
ヘルプ
1. 直ちに保護機能のアップデートを実行し、最新のウイルス定義ファイルを
Sophos Anti-Virus に適用します。
2. コンピュータのフル検索を実行します。
■
今すぐアップデートする (p. 109)
■
コンピュータのフル検索を実行する (p. 34)
依然としてウイルス/スパイウェアのフラグメントが報告される場合は、ソ
フォス テクニカルサポートに対処方法について問い合わせてください。
■
テクニカルサポート (p. 138)
ウイルス/スパイウェアのフラグメントの報告は、ファイルにウイルスコー
ドの一部やスパイウェアと一致する部分があることを指します。これには次
の 3とおりの原因が考えられます。
既知ウイルスやスパイウェアの亜種である
新種のウイルス/スパイウェアの多くは、既知のウイルス/スパイウェアを基
にしています。そのため、既知のウイルス/スパイウェアの典型的なコード
の一部が、新種のウイルス/スパイウェアに感染したファイルで検出される
ことがあります。ウイルス/スパイウェア フラグメントが報告された場合、
アクティブになる可能性のある新種ウイルス/スパイウェアをSophos Anti-Virus
が検出したことも考えられます。
ウイルスが破損している
複製ルーチンにバグのあるウイルスが多いため、目的のファイルに正常に感
染できない場合があります。このような場合、ウイルスの非アクティブな部
分 (ウイルスの大部分の可能性あり) だけがホストファイルの中に現れること
があり、Sophos Anti-Virus はそれを検出します。破損しているウイルスは蔓
延しません。
データベースにウイルス/スパイウェアが含まれている
コンピュータのフル検索を実行すると、Sophos Anti-Virus で、データベース
ファイル内にウイルスのフラグメントがあると報告されることがあります。
この場合、データベースは削除しないでください。ソフォス テクニカルサ
ポートに問い合わせてください。
テクニカルサポートへのお問い合わせに関する詳細は、テクニカルサポート
(p. 138) を参照してください。
12.4 脅威の一部が検出される
123
Sophos Endpoint Security and Control
コンピュータのブートセクタを含むすべてのディスクドライブに対して検索
を実行するには、システムのフル検索を実行してください。
■
コンピュータのフル検索を実行する (p. 34)
それでもすべての脅威が検出されない場合は、脅威のコンポーネントを含む
コンピュータ上のディスクドライブまたはフォルダが検索から除外されてい
ることが原因と考えられます。除外リストに当該のディスクドライブやフォ
ルダがある場合はリストから削除し、もう一度コンピュータの検索を実行し
てください。
■
オンデマンド検索の対象から除外するアイテムを追加、編集、削除する
(p. 20)
依然として脅威のすべてのコンポーネントが検出されない場合は、十分なア
クセス権を持たないユーザーアカウントを使っていることが原因の可能性が
あります。
脅威のコンポーネントの一部がネットワークドライブにインストールされて
いる場合、Sophos Anti-Virus が脅威のすべてを検出または除去できないこと
があります。
12.5 アドウェアや不要と思われるアプリケーションが隔離エ
リアからなくなる
何も操作をしていないにもかかわらず、Sophos Anti-Virus で検出されたアド
ウェアや不要と思われるアプリケーションが隔離マネージャに表示されなく
なった場合は、管理コンソールまたは他のユーザーが消えた項目を認証・ク
リーンアップした可能性があります。認証済みアドウェアや不要と思われる
アプリケーションの一覧で、当該の項目が認証されているかどうかを確認し
てください。操作方法は、アドウェアや不要と思われるアプリケーションの
使用を認証する (p. 41) を参照してください。
12.6 コンピュータが遅くなる
ご使用のコンピュータのスピードが遅くなった場合、不要と思われるアプリ
ケーションが起動されていて、コンピュータを監視していることが原因の可
能性があります。この場合、オンアクセス検索を有効にしていると、不要と
124
ヘルプ
思われるアプリケーションに関する複数の警告がデスクトップ上に表示され
ることもあります。この問題を解決するには、次の操作を行ってください。
1. ローカルディスクの検索を実行して、不要と思われるアプリケーションの
すべてのコンポーネントを検出してください。詳細は、コンピュータのフ
ル検索を実行する (p. 34) を参照してください。
ヒント: 検索後、不要と思われるアプリケーションが部分的に検出された
場合、脅威の一部が検出される (p.123) のステップ 2 を参照してください。
2. 検出されたアドウェアや不要と思われるアプリケーションをコンピュータ
からクリーンアップしてください。操作方法は、隔離エリアにあるアド
ウェアや不要と思われるアプリケーションに対処する (p. 48) を参照して
ください。
12.7 ブートセクタが感染しているドライブへのアクセスを許
可する
重要: Sophos Endpoint Security and Control が管理コンソールで管理されてい
る場合、ここで変更する設定内容は管理コンソールによって上書きされるこ
とがあります。
デフォルトで、Sophos Anti-Virus はブートセクタが感染しているリムーバブ
ルディスクへのアクセスをブロックします。
ブートセクタ感染型ウイルスに感染しているフロッピーディスクから、ファ
イルをコピーする場合などは、次のようにしてアクセスを許可します。
1. 「 ホーム > ウイルス対策および HIPS > ウイルス対策および HIPS の環境
設定 > 環境設定 > オンアクセス検索 」をクリックします。
2. 「検索」タブで、「ブートセクタが感染しているドライブへのアクセスを
許可する」チェックボックスを選択します。
重要: ディスクの利用が終わったら、すぐにチェックボックスの選択を外し
ます。そして、ディスクを取り出し、コンピュータを再起動したときに再び
感染しないようにします。
12.8 Sophos Endpoint Security and Control の特定のエリアにア
クセスできない
Sophos Endpoint Security and Control で特定の操作や設定ができない場合、そ
れらの機能へのアクセスが、特定のソフォスのユーザーグループのメンバー
に限られていることが原因である場合もあります。
125
Sophos Endpoint Security and Control
ソフォスのユーザーグループの詳細は、ソフォスのユーザーグループについ
て (p. 6) を参照してください。
12.9 ウイルスの副作用から復旧する
ウイルスの副作用からの復旧方法は、その感染経路によって異なります。
ウイルスの副作用
復旧作業が全く必要ないこともあれば、ハードディスク全体の修復が必要と
されるような深刻な副作用を与えるウイルスもあります。
また、データに少しずつ変化を加えていくウイルスもあり、この種のデータ
破壊は発見が非常に困難な場合もあります。
説明・対策
必ずソフォス Web サイトの脅威解析情報を参照し、クリーンアップをした
後にファイルの内容を注意深くチェックしてください。ウイルスの副作用に
ついてソフォス Web サイト上の情報を表示する方法は、クリーンアップ情
報を入手する (p. 54) を参照してください。
適切なバックアップは必須です。感染前のバックアップがない場合は、将来
の感染に備え、今後作成するようにしてください。
ウイルスによって破壊されたディスクからデータを復旧できる場合もありま
す。ソフォスでは、一部のウイルスの破壊活動から復旧するためのユーティ
リティを提供しています。
ソフォス テクニカルサポートへご相談ください。
テクニカルサポートへのお問い合わせに関する詳細は、テクニカルサポート
(p. 138) を参照してください。
12.10 アドウェアや不要と思われるアプリケーションの副作用
から復旧する
アドウェアや不要と思われるアプリケーションを削除すると、クリーンアッ
プできない副作用が発生する場合があります。
OS に変更が加えられた
アドウェアや不要と思われるアプリケーションの中には、インターネット接
続の設定内容を変更するなど、Windows OS に変更を加えるものがあります。
Sophos Anti-Virus は、すべての設定内容を、アドウェアや不要と思われるア
プリケーションをインストールする前の状態に戻すことができない場合があ
ります。たとえば、アドウェアや不要と思われるアプリケーションのコン
126
ヘルプ
ポーネントによってブラウザのホームページが変更された場合、Sophos
Anti-Virus は、変更前のホームページの設定内容を把握することができませ
ん。
インストールされたユーティリティが残っている
アドウェアや不要と思われるアプリケーションの中には、dll ファイルや .ocx
ファイルなどのユーティリティをコンピュータにインストールするものもあ
ります。ユーティリティが無害で (言語ライブラリなど、アドウェアや不要
と思われるアプリケーション一般に共通する特性がなく)、アドウェアや不
要と思われるアプリケーションの主要部分でない場合、Sophos Anti-Virus は
アドウェアや不要と思われるアプリケーションの一部として検出しない場合
があります。この場合、ユーティリティをインストールしたアドウェアや不
要と思われるアプリケーションがコンピュータから削除された後も、ユー
ティリティはコンピュータに残ったままとなります。
アドウェアや不要と思われるアプリケーションが必要なプログラムの一部であ
る
アドウェアや不要と思われるアプリケーションのコンポーネントは、正規に
インストールしたプログラムの一部でプログラムの実行に不可欠な場合もあ
ります。アドウェアや不要と思われるアプリケーションを削除すると、コン
ピュータでそのプログラムを実行できなくなる場合があります。
説明・対策
ソフォス Web サイトにある脅威解析情報を必ずお読みください。(クリーン
アップ情報を入手する (p. 54) にて、ソフォス Web サイトでアドウェアや不
要と思われるアプリケーションの副作用に関する情報を参照する方法を参照
してください。)
システムおよびその設定内容を元の状態に戻すためには、システムのバック
アップを定期的に行うようにしてください。また、使用するプログラムのオ
リジナルの実行ファイルをバックアップしておくことも重要です。
アドウェアや不要と思われるアプリケーションの副作用や、復旧方法に関す
る詳細は、ソフォス テクニカルサポートまでお問い合わせください。
テクニカルサポートへのお問い合わせに関する詳細は、テクニカルサポート
(p. 138) を参照してください。
12.11 パスワードエラーが報告される
127
Sophos Endpoint Security and Control
カスタム検索をスケジュール設定している際に、パスワードに関するエラー
メッセージが表示された場合は、次の項目を確認してください。
■
アカウント用の正しいパスワードを使用している
■
空のパスワードを使用していない
パスワードが正しいことを確認するには、「コントロールパネル」の「ユー
ザーアカウント」で、ユーザーアカウントのプロパティをチェックします。
12.12 「サービスの失敗」エラーメッセージ
現象
通知エリアに次のいずれかのメッセージが表示されます。
■
ウイルス対策および HIPS: サービスの失敗
■
ファイウォール: サービスの失敗
原因
お使いのコンピュータでいずれかの Sophos Endpoint Security and Control サー
ビスの起動が失敗しています。当該のサービスを再起動する必要がありま
す。
解決方法
1. Windows の「サービス」を開きます。
2. 次のいずれかの手順を実行してください。
■
ウイルス対策および HIPS: サービスの失敗 というエラーメッセージ
が表示されている場合は、 Sophos Anti-Virus を右クリックして「再起
動」をクリックします。
■
ファイアウォール: サービスの失敗 というエラーメッセージが表示さ
れている場合は、 Sophos Client Firewall Manager を右クリックして「再
起動」をクリックします。
注
■
「サービス」を開くには、「スタート」、「コントロール パネル」の順
にクリックし、「管理ツール」をダブルクリックします。そして、「サー
ビスをクリックします。
12.13 ファイアウォールのログデータベースが破損している
128
ヘルプ
現象
ファイアウォールのログビューアで、エラーメッセージ「現行の Sophos Client
Firewall ログデータベースは破損しています。」が表示されます。
原因
ファイアウォールのイベントログデータベースが破損しています。作成し直
す必要があります。
解決方法
ここでの操作を実行するには、このコンピュータで Windows Administrators
グループのメンバーである必要があります。
1. Windows の「サービス」を開きます。
2. Sophos Client Firewall Manager を右クリックし、「停止」をクリックしま
す。
3. Windows エクスプローラで、C:\Documents and Settings\All Users\Application
Data\Sophos\Sophos Client Firewall\logs を表示します。
このフォルダは隠しフォルダなので、表示するには、隠しファイルと隠し
フォルダの表示を Windows エクスプローラで指定している必要がありま
す。
4. op_data.mdb を削除します。
5. 「サービス」で Sophos Client Firewall Manager を右クリックし、「再起
動」をクリックします。
注
■
「サービス」を開くには、「スタート」、「コントロール パネル」の順
にクリックし、「管理ツール」をダブルクリックします。そして、「サー
ビスをクリックします。
129
Sophos Endpoint Security and Control
13 用語集
アドウェアおよび業 アドウェアは、ポップアップ メッセージなど、広告
務上不要と思われる を表示するプログラム。ユーザーの生産性やシステ
ム効率に影響を与えます。業務上不要と思われるア
アプリケーション
プリケーション (PUA) は、本質的には悪質ではない
ものの、一般的に、ほとんどの企業ネットワークに
は不適切と判断されているプログラム。
アプリケーションの ネットワーク上で転送され、特定のアプリケーショ
ンが送受信するデータパケットのみに適用するルー
ルール
ル。
認証マネージャ
アドウェアや不要と思われるアプリケーション、疑
わしいファイル、動作の疑わしいアプリケーション、
バッファオーバーフローを認証する機能。
自動クリーンアップ ユーザーによる手動の操作や確認なしで実行される
クリーンアップ。
ブロック
アプリケーション (隠しプロセスを含む)、接続、プ
ロトコル、ICMP メッセージなどがネットワークへの
アクセスを拒否されている状態。
バッファオーバーフ バッファオーバーフロー攻撃を検知すること。
ロー検知
130
チェックサム
各アプリケーションがバージョンごとに持つ固有の
チェックサム。ファイアウォールはこのチェックサ
ムを使用して、アプリケーションが許可されている
かどうかを判断できます。
クリーンアップ
ファイルやブートセクタからウイルスを除去したり、
疑わしいファイルを移動・削除したり、アドウェア
や不要と思われるアプリケーションを削除したりし
て、コンピュータから脅威を除去すること。Web ペー
ジ検索では、コンピュータにダウンロードされてい
ない脅威を検出するため、クリーンアップは実行で
きません。この場合、脅威が検出された後に、対処
する必要はありません。
ヘルプ
コンテンツ コント ファイルコンテンツを示す条件をまとめたリスト。
ロールリスト (CCL) たとえば、クレジットカードやデビットカードの番
号、銀行の口座番号、またはその他の個人情報など
です。コンテンツ コントロール リストは 2種類あり
ます。1つは「SophosLabs コンテンツ コントロール
リスト」で、もう 1つは「カスタム コンテンツ コン
トロール リスト」です。
コンテンツルール
1つまたは複数のコンテンツ コントロール リストを
持つルール。ルール内のコンテンツ コントロール リ
ストすべてにマッチするデータを、ユーザーが特定
の場所に転送しようとした際に実行するアクション
が定められています。
管理対象アプリケー コンピュータで起動しようとすると、社内セキュリ
ティポリシーによって、ブロックされるアプリケー
ション
ション。
カスタム ルール
ユーザーが作成するルール。アプリケーションの起
動を許可する条件を指定します。
データコントロール クライアントマシンからのデータ流出事故を防止す
る機能。クライアントマシンのユーザーが、データ
コントロール ポリシーやルールで指定されている条
件にマッチするファイルを転送しようとするとアク
ションが実行されます。たとえば、ユーザーが、顧
客データを含むスプレッドシートをリムーバブル ス
トレージ デバイスにコピーしようとしたり、社外秘
のドキュメントを Web メールのアカウントにアップ
ロードしようとした場合、転送をブロックできます
(設定が必要です)。
データビュー
ツリービューで選択した項目に対応するデータが表
示されるビュー。
説明バー
データビューの上に表示されるログビューア内の
バー。選択しているツリービューのアイテム名が表
示されます。
131
Sophos Endpoint Security and Control
デバイスコントロー クライアントマシンからのデータ流出事故を防止し、
ユーザーによる社内ネットワークへのソフトウェア
ル
の持ち込みを制限する機能。この機能は、ユーザー
がクライアントマシンで認証されていないストレー
ジデバイスや、ネットワークデバイスを使おうとす
ると動作します。
詳細検索
全ファイルのあらゆる部分を検索する機能。
ファイアウォールの コンピュータ上の不明なアプリケーションや OS が、
相手先のコンピュータで起動しているアプリケーショ
イベント
ンから要求がないまま、ネットワークを通じて通信
を行おうとした状態。
ファイアウォールポ 管理コンソールで作成する設定。ファイアウォール
で、コンピュータとインターネットや、コンピュー
リシー
タと他のネットワークとの接続を監視するために使
います。
グローバル ルール
ルールが未適用のネットワーク接続やアプリケーショ
ンすべてに適用されるルール。このルールよりも LAN
ページのルール設定の方が優先されます。同様に、
指定がない場合は、このルールよりもアプリケーショ
ン ルール設定の方が優先されます。
隠しプロセス
一部のアプリケーションがネットワークに接続する
ために起動する別のプロセス。悪意のあるアプリケー
ションは、この手法を利用してファイアウォールを
迂回することがあります。つまり、自身ではなく信
頼できるアプリケーションを起動してネットワーク
に接続します。
最優先のグローバル 他のグローバル ルールやアプリケーション ルールよ
りも最優先して適用されるルール。
ルール
ホスト侵入防止シス コード実行前動作解析とランタイム動作解析を指す
総合的な用語。
テム (HIPS)
132
ヘルプ
ICMP
「Internet Control Message Protocol」の略。インター
ネットプロトコルの 1つ。IP パケット処理で発生す
るエラーや情報を転送します。
ICMP の設定
許可するネットワーク通信処理の通知方法を指定す
る設定。
インスタント メッ
セージング
管理対象アプリケーションのカテゴリ。MSN などの
インスタント メッセージング (IM) クライアントが含
まれます。
対話型モード
ファイアウォールの動作モードの 1つ。該当するルー
ルのないネットワークアクセスを検出すると、1つ以
上の読み込みダイアログボックスが表示されます。
読み込みダイアログ 不明なアプリケーションによるネットワークアクセ
スの要求が検出されたときに、表示されるダイアロ
グボックス。ユーザーは当該のネットワーク接続を
許可するか、またはブロックするかを選択します。
ログのクリーンアッ ログを削除するタイミングを指定する設定。
プの設定
ログビューア
ユーザーがイベント用データベースに保存されてい
る情報を参照する表示形式。許可・ブロックされた
接続、システムログ、発生した警告すべてが表示さ
れます。
手動クリーンアップ 特殊な駆除機能やツールを使ったり、ファイルを手
動で削除することにより実行するクリーンアップ。
マッチ
コンテンツ コントロール リストで指定されているコ
ンテンツにマッチする状態。
NetBIOS
「Network Basic Input/Output System」の略。オペレー
ティングシステム、I/Oバス、およびネットワーク間
の通信インターフェース。ほとんどの Windows の
LAN では、ベースとして NetBIOS が利用されていま
す。
133
Sophos Endpoint Security and Control
ネットワークプロト ネットワークを介してコンピュータが相互に接続し
て情報を交換する上で、通信エラー防止のために定
コル
められたルールや規格の集合。
非対話型モード
ファイアウォールの動作モードの 1つ。該当するルー
ルのないすべてのネットワークトラフィックをブロッ
クまたは許可します。
「通常」の検索
各ファイルのウイルスに感染している可能性が高い
部分だけを検索すること。
オンアクセス検索
脅威対策に最もよく使われる手法です。ファイルを
コピー、移動、開いた時点で、またはプログラムを
起動した時点で、Sophos Anti-Virus が検索を実行し、
感染していない場合や、認証済みの場合のみアクセ
スを許可します。
オンデマンド検索
ユーザー自身が開始する検索。ファイルを個別に検
索したり、コンピュータで読み取り権限のあるファ
イルすべてを検索するなど、さまざまなオンデマン
ド検索を実行できます。
プライマリ環境設定 通常の業務で利用する社内ネットワークに接続して
いるときに使うファイアウォールの設定。
134
プロセスの設定
変更されたプロセスや、隠しプロセスのネットワー
クアクセスを許可するかどうかを指定する設定。
隔離マネージャ
隔離されたアイテムを表示し、それらに対処するモ
ジュール。
RAW ソケット
ネットワーク送信するデータの全面的コントロール
をプロセスに許可するソケット。悪用される恐れが
あります。
右クリック検索
Windows エクスプローラやデスクトップでファイル
を右クリックし、ショートカットメニューから実行
する検索。
ルートキット
コンピュータのユーザーや管理者から、悪意のある
オブジェクト (プロセス、ファイル、レジストリ
ヘルプ
キー、ネットワークポート) の存在を隠すために使わ
れるトロイの木馬またはテクノロジー。
ランタイム動作解析 疑わしい動作の検知およびバッファオーバーフロー
検知で実行される動作解析。
検索エラー
アクセス拒否など、ファイルの検索中に発生するエ
ラー。
スケジュール検索
設定した日時に実行できる、コンピュータ全体また
は一部に対する検索。
セカンダリ環境設定 社内の基幹ネットワークに接続していないときに使
うファイアウォールの設定。ホテルや空港の無線ネッ
トワークや、訪問先の社内ネットワーク環境で適用
されます。
スパイウェア
ステルス技術、ユーザーをだます、ソーシャルエン
ジニアリング (不正アクセスするために必要な情報を
盗み聞き、盗み見などの手法で入手すること) などの
方法で自身をユーザーのコンピュータにインストー
ルし、ユーザーの許可・認識なしに、そのコンピュー
タ上の情報を第三者に送信するプログラム。
ソフォス ライブス
キャン
オンラインベースのテクノロジーを使って、疑わし
いファイルが脅威であるかを瞬時に解析する機能。
ソフォスのウイルス対策のクリーンアップ機能で設
定されているアクションを実行します。
ステートフル イン
スペクション
アクティブな TCP や UDP ネットワーク接続のセッ
ションテーブルを保管するファイアウォールの機能。
保管されている接続ステートと一致するパケットだ
けがファイアウォールで許可されます。他の接続は
拒否されます。
ストレージデバイス リムーバブル ストレージ デバイス (USB フラッシュ
メモリ、PC カードリーダー、外付けハードディスク
など)、CD/DVD ドライブ、フロッピーディスクドラ
イブ、セキュアなリムーバブル ストレージ デバイス
(SanDisk Cruzer Enterprise、Kingston Data Traveller、
135
Sophos Endpoint Security and Control
IronKey Enterprise、IronKey Basic USB フラッシュメモ
リ - ハードウェア暗号化機能付)。
疑わしい動作の検知 システム上で起動している全プログラムの振る舞い
の動的な解析。悪意があると思われる動作を検知・
ブロックします。
疑わしいファイル
ウイルスによく見られる特徴を持ちながらウイルス
に限定されない特徴も持つファイル。
システムメモリ
アプリケーションと、ハードウェアで行われるデー
タ処理の懸け橋となるメモリ。OS が利用します。
システムルール
すべてのアプリケーションに適用されるルール。低
いレベルのシステムのネットワークアクティビティ
を許可またはブロックします。
タンパー プロテク
ション
未認証のユーザー (ローカルアドミニストレータや専
門知識のないユーザーなど) や既知のマルウェアが、
ソフォスのセキュリティソフトをアンインストール
したり、Sophos Endpoint Security and Control の GUI
を通じて無効に設定することを防止する機能。
脅威イベント
脅威の検出、または駆除。
ツリービュー
ログビューアのデータビューに表示するデータの種
類を切り替えるビュー。
判定ファイルタイプ ファイル拡張子にかかわらず、ファイルの構造を解
析することによって判定されたファイルタイプ。よ
り信頼性の高い方法です。
信頼できるアプリ
ケーション
ネットワークへのフルアクセスが無条件に許可され
ているアプリケーション。
未知のウイルス
ウイルス定義ファイルがリリースされていないウイ
ルス。
不明なトラフィック 該当するファイアウォールのルールのないアプリケー
ションやサービスによるネットワークアクセス。
136
ヘルプ
ウイルス定義ファイ 特定のウイルス、トロイの木馬、ワームを検出・駆
除するために Sophos Anti-Virus で使われるファイル。
ル (IDE)
VoIP
管理対象アプリケーションのカテゴリ。VoIP クライ
アントアプリケーションが含まれます。
Web コントロール
社内の Web アクセスポリシーの設定、施行、および
Web 閲覧履歴のレポート表示を行う機能。特定の
Web カテゴリの閲覧を許可またはブロックしたり、
ポリシーに違反する Web サイトを識別し、ブラウザ
に警告を表示したりできます。
Web スキャン
Web ページに存在する脅威を検出する機能。この機
能は過去に悪質なコンテンツを含んでいたことのあ
る Web サイトをブロックしたり、悪意のあるダウン
ロードを防止したりします。Web スキャン機能は「ウ
イルス対策および HIPS」ポリシーに含まれます。
動作モード
ファイアウォールの動作を指定する設定。対話型モー
ドでは、ユーザーが適用するアクションを都度選択
します。非対話型モードでは、自動的にアクション
が適用されます。
137
Sophos Endpoint Security and Control
14 テクニカルサポート
ソフォス製品のテクニカルサポートは、次のような形でご提供しておりま
す。
138
■
「SophosTalk」ユーザーフォーラム (英語) (http://community.sophos.com/)
のご利用。さまざまな問題に関する情報を検索できます。
■
ソフォス サポートデータベースのご利用。http://www.sophos.co.jp/support/
■
製品ドキュメントのダウンロード。http://www.sophos.co.jp/support/docs/
■
メールによるお問い合わせ。ソフォス製品のバージョン番号、OS および
適用しているパッチの種類、エラーメッセージの内容などを、
support@sophos.co.jp までお送りください。
ヘルプ
15 ご利用条件
Copyright © 2012 Sophos Limited. All rights reserved. この出版物の一部または全
部を、電子的、機械的な方法、写真複写、録音、その他いかなる形や方法に
おいても、使用許諾契約の条項に準じてドキュメントを複製することを許可
されている、もしくは著作権所有者からの事前の書面による許可がある場合
以外、無断に複製、復元できるシステムに保存、または送信することを禁じ
ます。
Sophos、Sophos Anti-Virus および SafeGuard は、Sophos Limited、Sophos Group
および Utimaco Safeware AG の登録商標です。その他記載されている会社名、
製品名は、各社の登録商標または商標です。
Common Public License
このドキュメントで言及されているソフォスのソフトウェアには、一般公衆
利用許諾契約書 (Common Public License、あるいは 単に CPL) に基づいてユー
ザーの使用が許諾 (またはサブライセンス) されているソフトウェア・プログ
ラムが含まれています。または含まれている可能性があります。CPL に基づ
き使用が許諾され、オブジェクトコード形式で頒布されるいかなるソフト
ウェアも、CPL により、オブジェクトコード形式のユーザーへの、このよう
なソフトウェアのソースコードの開示が義務付けられています。CPL に基づ
くこのようなソフトウェアのソースコードの入手を希望する場合は、ソフォ
スに書面でお申込みいただくか、次のメールアドレスまでご連絡ください:
support@sophos.co.jp。または次のリンク先よりご連絡ください:
http://www.sophos.co.jp/support/queries/enterprise.html。ソフォス製品に含まれ
るこのようなソフトウェアの使用許諾契約書は、次のリンク先をご覧くださ
い: http://opensource.org/licenses/cpl1.0.php。
ConvertUTF
Copyright 2001-2004 Unicode, Inc.
This source code is provided as is by Unicode, Inc. No claims are made as to fitness
for any particular purpose.No warranties of any kind are expressed or implied.The
recipient agrees to determine applicability of information provided.If this file has been
purchased on magnetic or optical media from Unicode, Inc., the sole remedy for any
claim will be exchange of defective media within 90 days of receipt.
Unicode, Inc. hereby grants the right to freely use the information supplied in this file
in the creation of products supporting the Unicode Standard, and to make copies of
this file in any form for internal or external distribution as long as this notice remains
attached.
139
Sophos Endpoint Security and Control
OpenSSL cryptographic toolkit
The OpenSSL toolkit stays under a dual license, i.e. both the conditions of the OpenSSL
License and the original SSLeay license apply to the toolkit.See below for the actual
license texts.Actually both licenses are BSD-style Open Source licenses.In case of any
license issues related to OpenSSL please contact openssl-core@openssl.org.
OpenSSL license
Copyright © 1998-2011 The OpenSSL Project.All rights reserved.
Redistribution and use in source and binary forms, with or without modification, are
permitted provided that the following conditions are met:
1. Redistributions of source code must retain the above copyright notice, this list of
conditions and the following disclaimer.
2. Redistributions in binary form must reproduce the above copyright notice, this list
of conditions and the following disclaimer in the documentation and/or other
materials provided with the distribution.
3. All advertising materials mentioning features or use of this software must display
the following acknowledgment:
"This product includes software developed by the OpenSSL Project for use in the
OpenSSL Toolkit.(http://www.openssl.org/)"
4. The names "OpenSSL Toolkit" and "OpenSSL Project" must not be used to endorse
or promote products derived from this software without prior written
permission.For written permission, please contact openssl-core@openssl.org.
5. Products derived from this software may not be called "OpenSSL" nor may
"OpenSSL" appear in their names without prior written permission of the OpenSSL
Project.
6. Redistributions of any form whatsoever must retain the following acknowledgment:
"This product includes software developed by the OpenSSL Project for use in the
OpenSSL Toolkit (http://www.openssl.org/)"
THIS SOFTWARE IS PROVIDED BY THE OpenSSL PROJECT "AS IS" AND ANY
EXPRESSED OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO,
THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A
PARTICULAR PURPOSE ARE DISCLAIMED.IN NO EVENT SHALL THE OpenSSL
PROJECT OR ITS CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT,
INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES
(INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS
OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN
CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR
OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE,
EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
140
ヘルプ
This product includes cryptographic software written by Eric Young
(eay@cryptsoft.com).This product includes software written by Tim Hudson
(tjh@cryptsoft.com).
Original SSLeay license
Copyright © 1995-1998 Eric Young (eay@cryptsoft.com) All rights reserved.
This package is an SSL implementation written by Eric Young (eay@cryptsoft.com).The
implementation was written so as to conform with Netscape's SSL.
This library is free for commercial and non-commercial use as long as the following
conditions are adhered to.The following conditions apply to all code found in this
distribution, be it the RC4, RSA, lhash, DES, etc., code; not just the SSL code.The SSL
documentation included with this distribution is covered by the same copyright terms
except that the holder is Tim Hudson (tjh@cryptsoft.com).
Copyright remains Eric Young's, and as such any Copyright notices in the code are
not to be removed.If this package is used in a product, Eric Young should be given
attribution as the author of the parts of the library used.This can be in the form of a
textual message at program startup or in documentation (online or textual) provided
with the package.
Redistribution and use in source and binary forms, with or without modification, are
permitted provided that the following conditions are met:
1. Redistributions of source code must retain the copyright notice, this list of conditions
and the following disclaimer.
2. Redistributions in binary form must reproduce the above copyright notice, this list
of conditions and the following disclaimer in the documentation and/or other
materials provided with the distribution.
3. All advertising materials mentioning features or use of this software must display
the following acknowledgement:
"This product includes cryptographic software written by Eric Young
(eay@cryptsoft.com)"
The word "cryptographic" can be left out if the routines from the library being used
are not cryptographic related :-).
4. If you include any Windows specific code (or a derivative thereof) from the apps
directory (application code) you must include an acknowledgement:
"This product includes software written by Tim Hudson (tjh@cryptsoft.com)"
THIS SOFTWARE IS PROVIDED BY ERIC YOUNG "AS IS" AND ANY EXPRESS
OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED
WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR
PURPOSE ARE DISCLAIMED.IN NO EVENT SHALL THE AUTHOR OR
CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL,
SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT
NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES;
141
Sophos Endpoint Security and Control
LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER
CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT,
STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE)
ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED
OF THE POSSIBILITY OF SUCH DAMAGE.
The license and distribution terms for any publically available version or derivative of
this code cannot be changed.i.e. this code cannot simply be copied and put under
another distribution license [including the GNU Public License.]
142
ヘルプ
索引
Web スキャン
概要 40
Web ブラウザ, 許可 71
数字
あ
2つのネットワークアダプタ
使用 97
アイコン
検索するアイテム 27
アクセス権 6, 125
アップデート 109, 112, 120
ダイヤルアップ接続経由 109
アップデートをスケジュール設定する 109
アドウェア 124, 126
検索 10, 23, 28
自動クリーンアップ 25, 30
認証 41
アプリケーション
ブロック 76
許可 75
使用:チェックサムを使用して認証 96
アンインストール
ソフォスのセキュリティソフト 118
F
FTP ダウンロード, 許可 71
H
HIPS 35
HIPS (ホスト侵入防止システム) 35
I
ICMP メッセージ
フィルタリング 77
情報 77
L
LAN のトラフィック, 許可 72
M
Mac ウイルス, 検索 10
R
RAW ソケット, 許可 95
S
Sophos Endpoint Security and Control 3
W
Web コントロール
概要 67
無効 67
Web サイト
認証 43
い
インポート
ファイアウォールの環境設定ファイル 84
う
ウイルス
自動クリーンアップ 13, 25, 30
副作用から復旧する 126
ウイルス対策
環境設定:SNMP メッセージ 58
環境設定:イベントログ 58
環境設定:デスクトップメッセージ 55
環境設定:メール警告 56
え
エクスポート
ファイアウォールのログビューアからレ
コードをエクスポート 107–108
ファイアウォールの環境設定ファイル 84
143
Sophos Endpoint Security and Control
お
オンアクセス検索
環境設定 10
指定:ファイル拡張子 15
除外:検索の対象から除外 16
無効 12
有効 12
オンアクセス検索とオンデマンド検索, 違い
9
オンデマンド検索
指定:ファイル拡張子 19
除外:検索の対象から除外 20
オンデマンド検索, 種類 19
オンラインベースのテクノロジー 38
システムメモリの検索 10, 28
す
スケジュール設定
カスタム検索 32
スパイウェア
自動クリーンアップ 13, 25, 30
すべてのファイル, 検索 10, 23, 28
せ
セカンダリサーバー 110
セカンダリロケーション用の設定
作成 99
セキュリティ情報 54
セントラルレポート, 環境設定 100
か
カスタム検索
スケジュール設定 32
環境設定 28
作成 27
削除 34
実行 33
名前の変更 33
カスタム検索のログ
表示 34
く
クリーンアップ
トラブルシューティング 121
製品情報 53
クリーンアップの情報 54
グローバル ルール
設定 88, 91, 94
こ
コンピュータのフル検索
実行 34
し
システムトレイ アイコン 120
144
そ
ソフォス ライブスキャン
オンラインベースのテクノロジー 38
ログ 39
概要 38
切り替え:無効 39
切り替え:有効 39
無効 39
有効 39
ソフォスのユーザーグループ 6
追加:ユーザー 7
た
タイプ
オンデマンド検索 19
タンパー プロテクション
アンインストール:Sophos Endpoint Security
and Control 118
アンインストール:ソフォスのセキュリティ
ソフト 118
ログ 118
概要 113
環境設定:ソフトウェア 117
再有効化する 115
切り替え:無効 115
ヘルプ
タンパー プロテクション (続き)
切り替え:有効 114
入力:パスワード 117
認証:ユーザー 117
変更:パスワード 117
無効 115
有効 114
ち
チェックサム - 対話型ダイアログ
対話型モード 82
有効 83
チェックサム, 使用
アプリケーションを認証 96
て
ディスクへのアクセス 10, 125
データコントロール, 一時的に無効化 65
デバイスコントロール 63
ブロック:ブリッジ接続 62
管理対象デバイス 62
デフォルトのグローバル ルール
詳細情報 86
は
はじめに
はじめに行う設定 68
パスワードエラー 128
バッファオーバーフロー
検知 37
認証 42, 51
バンド幅
アップデートに使用, 制限 111
ふ
ファイアウォール
無効 69
ファイアウォールのログビューア
エクスポート:レコード 107–108
ファイアウォールのログ出力
環境設定 104
ファイアウォールの環境設定ファイル
インポート 84
エクスポート 84
ファイルとプリンタの共有, ブロック 75
ファイルとプリンタの共有, 許可 73–74
ファイルの共有, ブロック 75
ファイルの共有, 許可 73–74
フィルタリング
ICMP メッセージ 77
ログレコード 107
プライオリティ, 検索 28
プライマリサーバー 110
プライマリロケーション
定義 98
フラグメント 121
フラグメントのレポート,トラブルシューティ
ング 122
プリンタの共有, ブロック 75
プリンタの共有, 許可 73–74
プロキシサーバー 111
ブロック
アプリケーション 76
ファイルとプリンタの共有 75
悪意のある Web サイト 41
認証済みアドウェア 42
認証済み不要と思われるアプリケーショ
ン 42
ほ
ホームページ 5
め
メール, 許可 70
ゆ
ユーザーグループ 6, 125
ユーザー権限 6, 125
ら
ランタイム動作解析 36
145
Sophos Endpoint Security and Control
り
リセット
検索を実行したファイルのチェックサム
14
る
ルートキット, 検索 28
ルール
設定 90
146
ルールの優先順位 84
ろ
ログ
アップデート 112
ログビューア
製品情報 103
ログレコード
フィルタリング 107