header_softwareCloud

Trellix Embedded Control FAQ

TECに関して、よくある質問と回答について紹介します。

6 FAQ、よくある質問

 6-(1) なぜ組み込み機器でもセキュリティ対策が必要なのか?

近年の組み込み機器は、開発の容易さや費用の観点よりパーソナルコンピュータと同じハードウェアやソフトウェアをベースに開発される事が 多くなっています。よってパーソナルコンピュータ向けのマルウェアによって被害を受けてしまう事もありますし、攻撃者にとって攻撃を 行いやすい環境となっている面もあります。USBメモリやネットワーク接続も利便性を向上させると共に攻撃を受ける可能性がある窓口にも なっています。そのためパーソナルコンピュータと同様にセキュリティ対策を実装する必要があると考えます。
さらに、マルウェア感染によるダウンタイムの不許容、情報漏洩に対する社会的リスク、広域なサプライチェーンの構築によるどこか一ヶ所 のインシデントによる全体への波及性などが、セキュリティ対策やリスクマネジメントを重要な経営課題へと押し上げています。

 6-(2) アロー(許可)リスト方式とは?

アローリスト方式とは、動作を許可される良いファイルのリストに沿って判定を行うセキュリティ対策であり、いわゆるマルウェアを検出 して駆除を行うブロック(拒否)リスト方式と対極的なポリシーでセキュリティを担保します。
日々新しく発生するマルウェアを考慮しなくても、システムを保護することが可能であり、特に組み込み機器のように決まったアプリケーション のみで構成され、ユーザー様がアプリケーションの追加削除を自由に行わない組み込み機器の環境に、軽量で最適なソリューションとなります。

 6-(3) TECとTAC(Trellix Application Control)の違いとは?

どちらも同じ製品であり、バイナリファイルも機能も同じものとなります。ただしライセンス形態に違いがあり、
・TEC:組み込み機器向けOEMライセンスであり、組み込み機器を製造販売するOEM様が自社製品に組み込んで提供する為のライセンス
・TAC:エンドユーザ向けライセンスであり、購入するユーザ様、企業様が自社のシステムにインストールを行うためのライセンス(社員用PCなど)
との実装、運用形態に違いがあります。

 6-(4) システムの必要要件は?

必要要件に関してはこちらでご確認いただけます。
https://kcm.trellix.com/corporate/index?page=content&id=KB87944
なお、ストレージの空き容量は100MB以上との記載となっておりますが、弊社としては150-200MB以上の空き容量を推奨いたします。

 6-(5) アローリストの管理対象ファイル

アローリストは.exeのような実行可能なバイナリファイルだけを管理している訳ではありません。
マルウェアは色々な手段をつかって感染をするため、システムファイル、ドライバファイル、ライブラリ、スクリプトファイル、 またフォントファイルやスクリーンセーバなども管理を行っています。各種スクリプトファイル以外は、PE32/PE64ファイルかどうかを 自動的に判別しています。

 6-(5) アローリストの管理対象ファイル

アローリストは.exeのような実行可能なバイナリファイルだけを管理している訳ではありません。
マルウェアは色々な手段をつかって感染をするため、システムファイル、ドライバファイル、ライブラリ、スクリプトファイル、 またフォントファイルやスクリーンセーバなども管理を行っています。各種スクリプトファイル以外は、PE32/PE64ファイルかどうかを自動的に判別しています。

 6-(6) アローリストの作成

アローリストの作成は、スキャン処理によって自動的に行われます。人間が個々のファイルを指定したり、細かなルールを設定する必要はありません。

 6-(7) アローリストの更新

アローリストに新たな管理対象ファイルを加えるような場合、リストを作り直す必要はありません。変更点のみ差分更新を行う事が可能です。
またセキュリティ保護も解除する必要は無く、保護が有効なまま変更を反映することが出来るダイナミックアローリスティングが可能です。

 6-(8) アローリストの採用実績

TECは全世界で350社以上のOEM様にライセンス供給をしています。出荷台数としては400万台以上の実績があります。
米国国防総省でも採用実績があり、強固なセキュリティが信頼されています。
日本国内でもATMやPOSといった金融リテールマーケットでほぼ全数採用が行われています。その他にも製造業、医療機器、 流通、駅務/交通などのインフラ機器での採用実績があります。

 6-(9) アローリスト自体が改竄される可能性は?

アローリストに登録されているファイルは当然の事、アローリストの機能を提要している自身のコンポーネントに関しても改竄防止機能で 守られており、ファイルの変更、上書き、削除などは出来ないように守られています。

 6-(10) アローリストを適用していればOSの脆弱性は無視できるか?

OSやミドルウェアの脆弱性は日々見つかり、パッチが提供されています。組み込み機器でこれらのパッチ適用に追随し続ける事は非常に困難です。
TECを導入することにより、脆弱性によってマルウェアが送り込まれた場合も、そのマルウェアはアローリストに登録が無い為、動作することは 出来ません。
以前、猛威を振るったランサムウェアWannaCryはWindowsのSMB v1の脆弱性を利用して感染を広げるものでした。 その際、150か国で23万台以上のシステムに感染が確認されていますが、 TECを導入済みのシステムでは感染による破壊活動は確認されておりません。

 6-(11) 作成したアローリストを他のシステムでも使えますか?

コピー元とコピー先のシステムが同じ構成であれば、HDD/SSDを丸ごと複製することでアローリストの流用が可能です。
構成が異なる場合は、過不足の確認や、情報の更新が必要になるため、それぞれのシステムでアローリストを作成することを推奨いたします。

 6-(12) ファイルレスマルウェアにも対応可能ですか?

TECのver8.xからファイルレスマルウェアにも対応可能です。アローリストの確認以外に追加ルールによる危険な引数の制限を行います。

 6-(13) システム上にコピーされたマルウェアが駆除されません

TECではマルウェアを駆除する機能は持っておりません。未登録のファイルは動作出来ない為、マルウェアが動作して異常な挙動を行ったり、 他システムに感染を広げることは回避可能です。駆除が必要な場合にはブロックリスト方式のソリューションとの併用などをご検討ください。

 6-(14) TECにネットワーク保護機能はありますか?

TECにはIPS機能が含まれていない為、ネットワークからの攻撃を防ぐことは出来ません。別途、Endpoint Security、またはFirewall などの導入が必要となります。

 6-(15) Windows EmbeddedのWrite Filter機能と併用できますか?

EWF/FBWF/UWFなどのWrite Filter機能と併用することは可能です。
Write Filter機能を使用するとファイルへの書き込みをメモリへリダイレクトするため、変更内容はファイルには保存されずに再起動を行うと 初期状態に戻る事が可能です。マルウェアが混入したとしても再起動を行う事で綺麗な状態へ復元されます。
しかし再起動を行うまでは、マルウェアの動作を許してしまう事になり情報漏洩、システム破壊、周囲の端末への感染の危険があるため、 アローリストでの保護を併用することを推奨いたします。

Trellix社としてはWrite Filter機能/HORM機能との併用に関して動作保証を行ってはおりません。
ご利用において問題が発生した場合には可能な限り技術サポートは行われますが、TEC側での設定変更、あるいはお客様側での運用の回避策を実施頂くなど何らかの対処を頂くことがあります。

 6-(16) セキュリティは必要ですが、システムへの負荷が大きくなることは困ります

アローリスト方式では、定義ファイルの更新や、システムのフルスキャンなどは行われない為、非常に負荷は軽くなっており、お客様 アプリケーションへの影響は少なく抑える事が可能です。
しかしながら、セキュリティ機能を追加しておりますので、負荷はまったくのゼロではありません。
TECでは設定のチューニングを行う事で、負荷を調整することが可能です。

 6-(17) 不具合調査を行うにはまず何をすべきですか?

不具合の調査を行う際には、まずログによる情報収集を行います。
TECは自動的にシステム構成情報とログ情報の収集を行うGatherinfoというツールが同梱されています。
ツールの実行方法は下記のようになります。
(1) コマンドプロンプトを管理者権限で実行
(2) C:\Program Files\McAfee\Solidcore\Tools\Gatherinfoフォルダに移動
(3) Gatherinfo.batを実行します。
(4) 作業フォルダにgatherinfo.zipが生成されます。Zipファイルに含まれる下記情報が良く調査に使われます。
    ・ScanalyzerData: システム構成の確認
    ・SolidifierLogs: MECが生成する動作ログの確認
    ・SystemEvents: Windowsが生成するイベントログの確認
弊社へ不具合に関する問い合わせを行う際には、こちらのgatherinfo.zipをご提供ください。
また効率的なログ調査のために、問題が発生しているファイルの名称、問題を再現させた日時情報も併せてご提供をお願いします。

また、Trellixサポート窓口に問い合わせを行う場合、別途MERというツールでのログ提供が必須となります。
こちら(https://supportm.trellix.com/webcenter/portal/supportportal/pages_tools/toolsWebMER)よりMER.exeをダウンロード頂き、実機上にて実行、生成されるtgzファイルをご提供頂きたいと思います。

Trellix Embedded Controlの障害対応のページもご参照の上、ご依頼ください。

 6-(18) アプリケーションが正常に動作しませんが、一般的にどのような確認を行えばよいですか?

(1) 最新版へのアップデート、リリースノートの確認
(2) TECがDisable Mode、Update Modeの場合の再現確認
(3) Windowsイベントログの確認
(4) TECによる動作制限イベントの確認(Solidcore.log、s3setup.log)
(5) イベントが存在する場合、拒否理由の確認し各対応を実施します。
  Execution_Denied(File Not Found): “sadmin so xxxxx”、対象ファイルのホワイトリストへの追加
  Execution_Denied(Checksum Mismatch): “sadmin check –r xxxxx”、対象ファイルのハッシュ値の修正
  Write_Denied: “sadmin updaters add xxxxx”、親プロセスに対してUpdaters権限の付与
  自己書き換えドライバの場合: “sadmin attr add –a xxxxx”、バイパス設定の付与
  VASR_Violation_Detected: “sadmin attr add –v xxxxx”、強制DLL再配置のバイパス
  PKG_Modification_Prevented: “sadmin so xxxxx.msi”、msiパッケージのホワイトリストへの追加

 6-(19) Windowsの復元ポイントのリストアに失敗します。

Windowsの復元ポイント機能は、OSのシステムファイルのロールバックを行う事が可能ですが、MECの改竄防止機能によって書き換え制限 が発生し、リストアに失敗します。
対策として下記をあらかじめ設定しておく必要があります。
“sadmin updaters add rstrui.exe”
“sadmin updaters add srdelayed.exe”
“sadmin updaters add wininit.exe”

 6-(20) HORM起動に失敗します。

Windows Embedded Standard7(WES7)のHORM起動は、Windows及びアプリケーションが起動済みの状況をハイバネーションファイル として保存する事で、起動時間の短縮と毎起動時に同じ状態での起動を実現できます。TECの保護を有効にした場合、起動レコードへの 変更を制限してしまう事で、HORM起動が出来ずに通常の起動プロセスが開始されてしまう問題があります。
対策として下記をあらかじめ設定しておく必要があります。
“sadmin updaters add -p drvinst.exe svchost.exe”

 6-(21) TECを仮想マシン上で利用できますか?

仮想マシンにインストールされたWindows OSが対応プラットフォームである場合、仮想マシン上での動作は可能です。
なお、仮想マシンのインスタンス台数ごとにライセンス費用が発生致します。

 6-(22) TECによる動作許可と動作制限はどのようなルールと優先度で判定していますか?

下記の順番での動作許可、動作制限の判定を行っています。

(1) Updaters権限を持つプログラム、またはユーザによる実行
(2) SHA-1/256チェックサムによる動作制限
(3) SHA-1/256チェックサムによる動作許可
(4) 証明書による動作許可
(5) ファイル名での動作制限
(6) ファイル名での動作許可
(7) Trustedフォルダからの実行
(8) アローリストの登録有無

 6-(23) “sadmin updaters add”と”sadmin trusted -u”の違いは何ですか?

Updatersコマンドは、ファイルにUpdaters権限を付与して実行することが可能です。ただし、そのファイル自体の実行権限を あらかじめ付与していない場合、実行が許可されません。
Trusted -uコマンドを使用すると、特定のパス/ファイルに対して信頼とUpdaters権限が付与されるため、あらかじめ実行権限を付与 していないファイルであっても、直接実行と更新作業が可能となります。

 6-(24) TECのサービス、scsrvcが起動できません

WindowsのEvent Logサービスが動作しているかご確認ください。
Scsrvcの依存関係としてWindows Eventlog Serviceが必要となります。

 6-(25) TECのインストール時にライセンスを入力しないと、どんな制限がありますか?

ライセンスキーを入れずにインストールを行った場合、TECのほとんどの機能が動かない状態となっています。
バージョン確認、ステータス確認、ライセンス入力のコマンドのみが使用可能となっていますので、こちらのライセンスコマンド より登録頂ければと思います。

 6-(26) 暗号化機能付きUSBメモリを使いたい

市販の暗号化機能付きUSBメモリは、保護されたUSBメモリ領域と、Read Onlyに設定された仮想的なCDイメージで構成されています。
CDイメージ領域にパスワードを確認する為のアプリケーションが配置されており、パスワードが適合した場合に保護されたUSBメモリ領域 への読み書きが許可される仕組みとなっております。
TECは基本的にリムーバブルメディアを保護対象外とし、全てのファイルの実行を制限する動きとなるため、このパスワードを確認する為の アプリケーションの動作も制限してしまい、暗号化機能付きUSBメモリが使えない状況となります。
こちらを回避する為には、CDイメージ領域のパスワード確認用アプリケーションのデジタル署名、またはハッシュ値などを事前に確認し、 下記のようにTECの動作許可対象として設定を行う事で暗号化機能付きUSBメモリが使用可能となります。

“sadmin auth –a –c <ハッシュ値>”: ハッシュ値が適合するファイルの動作を許可します。
“sadmin cert add XXXXX”: デジタル署名の証明書が適合するファイルの動作を許可します。

 6-(27) ライセンスの使用期限について

TECのライセンスはPerpetual Licenseとなっているため、一度ご購入いただくと年次更新費用はなくご利用頂くことが可能です。
なお、OEMライセンス契約により、ライセンスは個々の組み込み機器に紐付けとなりますので、組み込み機器自体が故障、廃棄された場合は ライセンスも消滅致します。
HDDやリカバリメディアからのリカバリによって復旧する場合には、ライセンスの再購入は不要です。

 6-(28) セキュリティとしてシステムのUSBポートの使用制限、
      または接続されるUSBデバイスの制限を行いたい

残念ながらTECにはUSBポートやデバイス自体に対する許可、禁止などはおこなうことは出来ません。
そのような用途にはDevice Controlという別製品が必要になります。

 6-(29) TECのサポート終了について

Trellix社にて各TECバージョンに対してサポート終了が発表されております。
EOL(End of Life)になるとTrellix社からのサポートも終了となり、該当バージョンに対する技術サポートは提供されなくなります。
継続的なサポートを維持する為にはご利用のバージョンをアップグレードいただく事を強く推奨いたします。
各バージョンのEOL状況はTrellix社のサイトをご参照ください。
https://kcm.trellix.com/corporate/index?page=content&id=KB87944

お問い合わせ

何かございましたら、下記までお問い合わせ下さい。