Trend Micro Apex One SaaS 導入 移行ガイド ~Trend Micro Apex One SaaS 導入の手引き ~ トレンドマイクロ株式会社 2021/7/16

トレンドマイクロ株式会社 2021/7/16

Trend Micro Apex One SaaS

導入・移行ガイド

~Trend Micro Apex One SaaS 導入の手引き~

版数 改定日 改訂内容

第1版

2020/4/28

・初版として公開

第2版

2020/7/21

・プロキシ利用時の注意追加、微修正

第3版

2020/8/28

・トラフィックサイズ注意追加、エージェント移動ツールによる移行手順追加

第4版

2020/11/16

・インストーラ種類追記、パスワード注意追記、移行時注意点追記

第5版

2020/12/10

・ラベル機能利用方法追加、ApexOneコンソールログイン手順変更

第6版

2021/7/16

・「移行前チェック事項集」追加、その他内容一部修正

改訂履歴

•

本資料は

Trend Micro Apex One SaaSの導入・移行手順について解説した資料です。

•

本資料内で提示している手順はあくまでも一例であり、あらゆる環境への導入・移行を保証するものではございませ ん。実際の稼働環境においては、既存の環境条件や運用状況を考慮の上、ご利用環境に合わせた実施手順をご検討い ただくようお願い致します。なお、各機能の仕様や動作概要について記載していません。別途機能説明資料をご確認 ください。

•

システム要件や制限事項などは、弊社ホームページ上に公開されている各種情報およびオンラインヘルプを参照してください。

•

本資料は2020年8月時点で公開されている製品を元に作成されております。今後のバージョンアップや機能追加などによって内 容は予告なく変更される場合がありますので、あらかじめご了承ください。

本資料について

当資料で用いられる略称について

•

当資料では、下記の略称を用いています。

製品/機能名 略語

Trend Micro Apex Central Apex Central

Trend Micro Apex One Apex One

Trend Micro Apex One as a Service Apex One SaaS

Trend Micro Control Manager TMCM

ウイルスバスターコーポレートエディション

Corp

Smart Protection Server SPS

Smart Protection Network SPN

Endpoint Protection Platform EPP

Endpoint Detection and Response EDR

目次

第１章

Apex One SaaS 概要紹介

–

新機能

–

構成要素

–

オンプレミス版と主な違い

第２章

SaaS版移行に関する事前確認・注意事項

–

通信要件

–

トラフィックサイズ

–

運用に関するオンプレミス版との機能差分

– SaaS版でも同様に利用可能な機能

–

エージェント設定のポリシー運用へのシフト

– SaaS製品特有の仕様について

第３章

Apex One SaaS のプロビジョニング

–

プロビジョニングフロー概要

– Apex One SaaS利用開始手順

第４章 オンプレミス版からの設定移行

– Apex One設定エクスポートツールの利用方法

第５章

Apex Central ポリシーの作成

–

エージェントへ配布するポリシーの作成

–

ポリシーの配信対象のカスタマイズ

–

ポリシーの継承

–

ポリシーの優先度の設定 第６章

SaaS版エージェントの導入

–

インストーラによる新規インストール

–

オンプレミス版からエージェントを移行する 第７章

SaaS版の導入パターン紹介

①

新規導入・他社製品からの入れ替えの場合

②

オンプレミス版からSaaS版へ移行する場合

③

オンプレミス版とSaaS版をハイブリッド利用する場合

特別付録: Apex One SaaS 移行前チェック事項集

第１章 Apex One SaaS 概要紹介

Trend Micro Apex One ^™ SaaS

Apex One をサービス (Security as a Service) として提供

Trend Micro Apex One SaaS の特長

①クラウド化によるサーバ構築・運用工数の削減

② オンプレミスから SaaS への移行もスムーズ

③ 働き方改革に対応。社外の端末も一元管理

④ 日本国内のデータセンターからサービス提供

SaaS 利用のメリット

オンプレミス型 SaaS型

管理者 管理者

管理サーバの パッチメンテ 管理サーバ

管理サーバ

要バージョン アップ作業

持ち出しPC

一元管理には

要リレーサーバ クラウドベース

一元管理可能

持ち出しPC

管理サーバ不要 パッチメンテ不要

定期的に自動で バージョンアップ

※

※エッジリレーサーバーの構築が必要

Apex Central

Apex One Sever

Apex One as a Service

EDR Activity Data Customer

Licensing Portal

Login

サービス構成図

SQL

・コンポーネントダウンロード

・設定の取得

Smart Protection Network

・ホワイトリストチェック

・レピュテーションクエリ

・機械学習型検索クエリ Vision One Console Data Lake

検索

Trend Micro XDR

EDR 調査

Apex One オンプレミス版との主な違い

比較項目 オンプレミス版

SaaS版

管理サーバの場所 オンプレミス（お客さまご用意） クラウド上（トレンドマイクロが運営）

EDRアクティビティデータ

保持場所 オンプレミス（エージェントおよびサーバ） クラウド上

EDRアクティビティデータ

保持期間 エージェント 最大約3ヶ月(2GB), サーバは必要期間

に応じてお客さまご用意

30日(デフォルト) /

90･180･365日 (オプションで延長可能)

EDRサポートOS

Windows (サーバOSは除く)・Mac OS Windows (サーバOSも含む)・Mac OS

EDRオフライン端末の解析 一次解析のみ 詳細解析も可能*

当社製品間連携 オンプレミス製品間連携（CTD）

SaaSサービス間連携

サンドボックス オンプレミスDDシリーズ（別製品） クラウドサンドボックス（オプション）

VDI オプション あり(Apex Oneローンチと同時に標準添付化) なし

情報漏えい対策 オプション

(DLP Option)

標準付帯

レピュテーションクエリ先

SPS/SPN SPN/(ローカルSPSも利用可能)

持ち出しPCの管理 エッジリレーサーバーが必要 持ち出しPCが直接サーバに接続可能

*アクティビティデータがクラウド上に送信されている範囲で解析

※上記以外にも細かい違いがありますが、本資料では割愛しております。

サポート対応OS

Platform Support (Agents) XG XG SP1 Apex One(SaaS)

Windows XP (5.1) Windows 7 (6.1) Windows 8 (6.2) Windows 8.1 (6.3) Windows 10 (10.0)

Windows Server 2003 (5.2)

Windows Server 2008 (6.0)

Windows Server 2008 R2 (6.1)

Windows Server 2012 (6.2)

Windows Server 2012 R2 (6.3)

Windows Server 2016 R2 (10)

Windows Server 2019

第２章 SaaS 版移行に関する

事前確認・注意事項

• SaaS版エージェントの導入・移行前に、下記製品サポートページに記載の

通信がご利用のネットワーク環境で許可されているか必ずご確認ください。

◆Trend Micro Apex One™ as a Service で許可する必要のある通信について

https://success.trendmicro.com/jp/solution/000238720

• SaaS版管理サーバへの通信は基本的にエージェント側から443ポートに対

して行われます。

• SaaS版管理サーバのIPアドレスは固定ではありません。IPアドレスでの通

信制御を実施している場合は、IPアドレスではなくドメイン名による制御 をご検討ください。

エージェント・SaaS版管理サーバ間の通信要件の確認

• SaaS版の場合、エージェントが直接外部とやり取りする際のトラフィック

がオンプレミス版と比較して多く発生します。

•

実際のトラフィックはご利用の機能や環境によりますので、可能であれば 事前に数台の端末にインストールして検証していただくことを推奨いたし ます。

•

ご参考までに、以下の製品サポートページにも1日(24h)1台あたりのトラ フィックサイズの目安をご案内しておりますので併せてご参照ください。

◆Traffic statistics for Trend Micro Apex One™ as a Service agents

https://success.trendmicro.com/solution/1120047

※グローバル版FAQになりますが、JP版も同じ内容となります。

※記載の目安は1日あたりとなり、1度に発生するトラフィックサイズではありません。

(Endpoint Sensorログなどは5分に一度のアップロードとなるため、1回あたりのサイ

ズは数KB~数十KB程度になります。)

トラフィックサイズの確認

• SaaS版ではアーキテクチャの変更に伴い、オンプレミス版と比較して運用・管理機能の面でも違いがあります。

運用に関するオンプレミス版との機能差分

比較項目 オンプレミス版

SaaS版

持ち出しPCの管理 エッジリレーサーバーが必要 持ち出しPCが直接サーバに接続可能 レピュテーションクエリ先

SPS/SPN

SPN/(ローカルSPSも利用可能)

当社製品間連携 オンプレミス製品間連携（CTD） SaaSサービス間連携 エージェント設定の管理方法 ・Apex Oneコンソールからドメイン単位の設定

・Central コンソールからポリシー単位の設定 ・Central コンソールからポリシー単位の設定 管理サーバへのパッチ適用 パッチ毎にユーザ側で手動適用が必要 月次メンテナンスにより自動的に適用

管理者通知設定 ・Apex One/Centralサーバによるメール通知

(指定したSMTPサーバから送信)

・WindowsNTイベント/SNMPトラップ

・Central サーバによるメール通知 (弊社システムから送信) グループの作成・振り分け エージェントグループ設定による自動振り分け 手動で作成・振り分け

サーバ/エージェント間の通信 双方向から通信 エージェント側からポーリングによる通信 サーバに隔離した検体ファイルの

取得 サーバのローカルフォルダから直接取得 ・サポートケースにて弊社エンジニアが取得

・隔離フォルダをローカルに指定して直接取得

• SaaS版でもオンプレミス版と同様に利用可能な機能の一部をご紹介します。

※以下は一例であり、その他の多くの機能も同様に利用可能です。

SaaS版でも同様に利用可能な機能（一部紹介）

比較項目 オンプレミス版

SaaS版

各種エージェント機能

EPP/EDR両方

EPP/EDR両方(EDRは更に強化)

ネットワーク隔離 ○ ○

社内外での自動設定切り替え ○ ○

アップデートエージェント機能 ○ ○

コンポーネントの配信制御 ○ ○

隔離検体の復元 ○ ○

ログインアカウントの追加 ○ ○

NAT環境での利用 ○ ○

Syslog転送 ○ ○^※1

ATTKの利用 ○ ○^※2

ディスクイメージによる展開 ○ ○

※1. SaaSサーバとSyslogサーバが直接接続可能である場合。またはAPIによるログ転送も可能。

※2. TrendMicroToolBoxによるリモート配布は対応していません。

• SaaS版ではエージェントの各種設定をCentralのポリシー形式で一律管理する運用方法に統合されています。

•

オンプレミス版にてApex One/ウイルスバスター

Corp. コンソールからエージェント設定を行っていた場合、

Centralのポリシーによる設定運用へ切り替える必要があります。

※

オンプレミス版で利用していた際のドメイン設定などはSaaS版にポリシー形式で引き継ぐことが可能です。

詳しい手順は後述の「サーバ設定の移行」をご参照ください。

エージェント設定のポリシー運用への切り替え

【オンプレミス版Apex One サーバのエージェント設定画面】 【Apex Centralのポリシー設定画面】

• SaaS版では管理サーバへのパッチ適用やバージョンアップは月次のメンテナンスにより自動 的に行われます。

※定期メンテナンスはユーザ側での停止やスキップ等の制御はできません

• メンテナンスの内容によっては新機能の実装や従来機能のUI・仕様の大幅な変更などが行わ れる場合もございます。

• メンテナンスによる修正・追加機能の内容や実施日時については事前に管理コンソールに通知 されます。また下記サポートページでも随時ご案内しておりますので併せてご確認ください。

◆Trend Micro Apex One™ as a Service：メンテナンス情報

https://success.trendmicro.com/jp/solution/000151164

SaaS版の定期メンテナンスについて

• 月次メンテナンスによるエージェント用プログラムの配信有無や配信サイズは、以下メンテナンス 情報のReadmeよりご確認いただけます。

◆Trend Micro Apex One™ as a Service：メンテナンス情報 https://success.trendmicro.com/jp/solution/000151164

月次メンテナンス 配信サイズについて

• エージェントの移動後、SaaS版へのバージョンアップのため200~300MB程度のアップデート プログラムが各端末へ配信されます。

• SaaS移行時はネットワーク帯域を考慮し、オンプレミス版から操作する「エージェントの移

動」を少しずつ行っていただき、段階的にエージェントの移行作業を進めていただくことを推 奨いたします。

◆オンプレミスのウイルスバスター Corp. XG Service Pack 1 サーバを Apex One as a service 環境へ移行する手順

https://success.trendmicro.com/jp/solution/000238723

SaaS版移行時のトラフィック

第 3 章

Apex One SaaS のプロビジョニング

プロビジョニングフロー概要

準備

•トレンドマイクロからの納品物（レジストレーションキー(RK)×1）

•ユーザ登録のための情報（担当者コンタクト情報、会社情報）

登録

•CLPへアクセスし、RK入力、ユーザ登録を行います。

•登録が済むと、アカウントにライセンスが紐づけられます。

•ライセンス情報（種別・アクティベーションキー)のメールが送信されます。

利用

•（SaaSの場合）ライセンス確認画面からコンソールへシングルサインオンします。

•（SaaSの場合) 初回のみ管理サーバインスタンスが初期設定されます。

•（オンプレミスの場合）オンプレミス製品をインストールする際に、メールの記載さ

れたACを利用します。

INPUT

Apex One SaaS 利用開始手順 - 1

(1) 発行されたライセンスキーでCustomer Licensing Portalへユーザ登録後、

Apex One SaaSの『コンソールを開く』をクリックします。 (2) 『はじめに』をクリックします。

※Apex One SaaS の利用開始方法はこちらの動画でもご紹介しております。

◆【Apex One SaaS】 チュートリアル#1 プロビジョニング

https://www.youtube.com/watch?v=52oAGE-CoQg&list=PL5OUFC_NrEsZFnhsq4GXYY0Ub-5SaTk7U&index=1

Apex One SaaS 利用開始手順 - 2

(3) 体験版から製品版へデータを移行するか選択します。

データを移行する場合のみ、アカウント/パスワードの入力が必要に なります。

(4) データセンターの地域、言語、タイムゾーンを選択します。

データセンターについては『東日本』を選択する必要があります。

※注：セットアップ後に地域や言語・タイムゾーンの変更はできません。

Apex One SaaS 利用開始手順 - 3

(5) Apex One SaaS環境の準備が始まります。 (6) Apex One SaaS環境の準備完了後、管理コンソールが開きます。

クイックスタートガイドが表示され、コンソールの各項目が利用可能に なります。

第４章 オンプレミス版からの設定移行

• オンプレミス版Apex One/ウイルスバスター Corp. サーバで利用していた一部設定は

「Apex One設定エクスポートツール」を利用してSaaS版サーバに移行できます。

【移行可能な設定項目】

・エージェントの各種検索設定

(ドメイン設定まで)

・ドメイン階層情報

・グローバルエージェント設定

・エージェントアップデート元

・エンドポイントの位置

・エージェント通知設定

・プロキシ設定

・情報漏えい対策

・ファイアウォール

・エージェントアップデート元

・オフラインエージェント

・Webコンソール設定

※SaaS版でも引き続き利用可能な機能/設定項目に限られます。

オンプレミス版サーバから設定を移行する

【オンプレミス版Apex One サーバのエージェント設定画面】 【Apex Centralのポリシー設定画面】

1. Webコンソールにログインし、「ディレクトリ」 -

「製品サーバ」からApex One コンソールにSSOでログイ ンします。

2. Apex Oneコンソールで「管理」 -

「設定」

-

「サーバの移行」に移動します。

3. [Apex One設定エクスポートツールのダウンロード]をクリックし、Apex One設定エクスポートツール本体()

をダウンロードします。

サーバ設定の移行手順 – 1 (ツールのダウンロード)

※サーバ設定の移行方法はこちらの動画でもご紹介しております。

◆【Apex One SaaS】 チュートリアル#4 マイグレーション前編：設定の移行

https://www.youtube.com/watch?v=Th5Z_TlZzFA&list=PL5OUFC_NrEsZFnhsq4GXYY0Ub-5SaTk7U&index=5&t=0s

1. Apex One設定エクスポートツールをエクスポート元のオンプレミス版サーバにコピーします。

2. ApexOneSettingsExportTool.exeをコマンドプロンプトから管理者として実行します。

3.

エクスポートされたZipファイルを取得します。

※以下ファイルがエクスポートされます。

- ApexOne_Agent_DLP_Policies.zip (情報漏えい対策ポリシー設定をApex Centralにインポートする際に使用) - ApexOne_Agent_Policies.zip (エージェントの設定をApex Centralにポリシーとしてインポートする際に使用) - Server_Settings_Migration.zip（サーバ設定をインポートする際に使用）

サーバ設定の移行手順 – 2 (設定のエクスポート)

【サーバ設定のインポート方法】

1. Apex One Webコンソールで、[管理] > [設定] > [サーバの移行] に移動し、[設定のインポート...] ボタンを

クリックします。

2.

エクスポートした「Server_Settings_Migration.zip」パッケージを指定し、[開く] をクリックします。

3. SaaS版のApex Oneサーバにオンプレミス版の設定が移行されていることを確認します。

【Apex Centralコンソールへエージェント設定のインポート方法】

1. Apex Central Webコンソールで、[ポリシー] > [ポリシー管理] に移動します。

2. [製品] 欄から [Apex Oneセキュリティエージェント] を選択し、[設定のインポート] をクリックします。

3.

エクスポートした「ApexOne_Agent_Policies.zip」パッケージを探し、[開く] をクリックして

【エージェントの情報漏えい対策ポリシー設定のインポート方法】

1. Apex Central Webコンソールで、[ポリシー] > [ポリシー管理] に移動します。

2. [製品] 欄から[Apex One情報漏えい対策] を選択し、[設定のインポート] をクリックします。

3.

エクスポートした「ApexOne_Agent_DLP_Policies.zip」パッケージを探し、[開く] をクリックします。

サーバ設定の移行手順 – 3 (設定のインポート)

第５章 Apex Central ポリシーの作成

• SaaS版ではエージェントの各種設定をCentralのポリシー形式で管理しています。

•

エージェントの移行/展開作業をスムーズに進められるように、ポリシーはエージェントの展開前に 事前に作成しておくことをお勧めします。※エージェント展開後に作成・配信することも可能です。

•

ポリシーは新規作成・オンプレミス版や他のサーバからのインポートどちらの方法でも追加可能です。

エージェントへ配布するポリシーの作成

【Apex Centralのポリシー設定画面】

※ポリシー設定の方法はこちらの動画でもご紹介しております。

◆【Apex One SaaS】 チュートリアル#3 ポリシー配布

https://www.youtube.com/watch?v=7A7RKvVCpss&list=PL5OUFC_NrEsZFnhsq4GXYY0Ub-5SaTk7U&index=3

保存して指定したエージェントに配信 フィルタ条件に合致する

or

エージェントに自動適用 新規作成で各設定項目を編集

or

インポートしたポリシーを編集

ポリシーの配信対象を設定

【基本的なポリシー配信の流れ】

ポリシーの配信対象のカスタマイズ

•

ポリシー配信は「フィルタ条件」,「ラベル」による自動の割り当てと「対象の指定」による固定の割り当ての3種類が 選べます。

•

ポリシーの配信対象の設定を使い分けることで、より柔軟なポリシー管理が可能になります。

【条件に応じてフィルタ】

• IPレンジや製品ディレクトリなどを選択することで、条件に該当するエージェント

に自動的に該当ポリシーの設定内容を反映します。(条件は複数組み合わせ可能)

• 新規登録エージェントも条件に合致していれば自動的にポリシーが反映されます。

• 設定エクスポートツールで移行してきたポリシーの場合、「製品ディレクトリ」で 元と同じドメインを指定することで、エージェントの移行後も同じドメイン設定が

【対象の指定】

• ポリシーを割り当てる対象端末を個別に指定してリスト化します。

• 追加対象の端末は「参照」タブの製品ディレクトリから選択する他、「検索」タブから キーワードやIPアドレスなどで検索も可能です。

• 「対象の指定」によりポリシーが割り当てられている端末は、他のポリシーのフィルタ 条件に合致していても、指定されているポリシーの方が優先されます。

• 設定を固定したい端末や、個別に管理したい端末の場合におすすめの割り当て方法です。

次のページで紹介します

「ラベル」によるエージェント管理 (NEW!)

•

ポリシーの配信対象の選択方法として、「ラベル」によるポリシー管理方法が実装されました。

•

ラベルは製品のドメイン構造に関係なく、任意の名称で複数作成することが可能です。

•

ラベルにより一元管理が可能になる項目は以下のとおりです。

-

ポリシー配信

-

ログのクエリ

-

エージェントの一覧表示

•

ラベルは任意ルールにより自動で端末へ割り当てることが可能です。(自動ラベル機能)

•

本機能により展開した端末に自動的にラベルを割り当てることで、初期ポリシーの割り当てや一覧表示をより自動的 に行うことが可能になります。

「ラベル」の作成方法

• Webコンソールから「ディレクトリ」 -

「ユーザ/エンドポイント」をクリックします。

•

画面左側の「エンドポイント」欄の「ラベル」を開き、「新規ラベルの追加」をクリックします。

•

追加するラベル名を入力し、「保存」をクリックします。

【自動ラベル設定ルールを作成する場合】

•

保存をクリックする前に「+自動ラベル設定ルールの作成」をクリックします。

•

任意の条件を登録し、保存をクリックします。

「ラベル」の割り当て方法

•

「ディレクトリ」

-

「ユーザ/エンドポイント」画面からラベルを割り当てたい端末を選択します。

•

「タスク」

-

「ラベルの割り当て/削除」をクリックします。

•

割り当てたいラベルを選択して、「保存」をクリックします。

※「自動ラベル設定ルール」を作成している場合は自動的に既存/新規エージェントにラベルが割り当てられます。

「ラベル」によるポリシー割り当て

•

ポリシーの配信条件として、「ラベル」を選択することができます。

•

対象の選択時に「ラベルの選択」をクリックし、作成済みの任意ラベルを選択することで、該当ラベルが割り当てられ ている端末に対してポリシー配信が可能です。※ラベルは複数選択可能です

Appendix:「ラベル」によるログクエリ

•

ログのクエリ条件として、「ラベル」を選択することができます。

•

「レポート」

-

「ログ」

-

「ログクエリ」からログを検索する際、条件として「ラベル/タグ/フィルタ」を選択します。

•

ログを表示したい端末が割り当てられているラベルを選択し、「検索」をクリックすることで対象端末のログのみ表示可 能です。

Appendix:「ラベル」によるエージェント一覧表示

•

エージェント一覧の表示条件として、「ラベル」を選択することができます。

• Webコンソールから「ディレクトリ」 -

「ユーザ/エンドポイント」をクリックします。

•

画面左側の「エンドポイント」欄から「ラベル」を開き、一覧を表示したいラベルをクリックします。

ポリシーの継承

• Apex Central ポリシーでは、作成したポリシーの親子関係を作成し、ポリシーを継承することができます。

親ポリシーを継承したポリシーでは、ベースの設定は固定したまま、検索除外設定などを特定の箇所のみを 編集できるようにすることができます。

ｰ

リアルタイム検索・手動検索・ScanNow・予約検索の各種除外設定、予約検索の開始時刻が編集可能です。

“EST Test Policy” をベースとして“EST Test Policy Specific” を作成

ポリシーの優先度の設定

•

フィルタ条件、ラベル条件のポリシーを複数作成した場合、それぞれのポリシーに優先度を設定することができます。

•

エージェントは複数のポリシーの条件に合致している場合、優先度の高いポリシーが割り当てられます。

プルダウンから任意の優先度を設定して保存します。

第６章 SaaS 版エージェントの導入

エージェントの導入方法は大きく分けると2種類あります。

1. インストーラによる新規インストール

–

エージェントインストーラによるインストール

–

サイレントインストール可能

–

ログインスクリプトやディスクイメージによる展開も可能

2. オンプレミス版エージェントからの移行

– Webコンソールからの指示でエージェント移行可能

–

エンドポイント端末側の操作は不要

–

段階的なエージェント移行が可能

※SaaS版へのエージェント移行はCorp.XG SP1以降のエージェントがサポート対象となります。

XG未満のバージョンをご利用の場合は、XG SP1以降のバージョンを経由するか、新規インストールをご検討ください。

SaaS版エージェントの導入方法

Apex Oneエージェント オンプレミスサーバ

Internet

新規インストール 移行

SaaS

Apex Central / Apex One SaaS サーバ

インストーラ

インストーラによる新規インストール手順 – 1

• Apex Central の管理コンソールにログインします。

• [運用管理]>[セキュリティエージェントのダウンロード]をクリックします。

•

インストールする端末の要件に合わせて各項目を選択し、[ダウンロード] もしくは

[ダウンロードリンクの取得]

をクリックしてインストーラを作成します。

(例）Windows 10の64Bitの場合は「Windows 64-bit/フル機能」を選択します

※ [インストーラのダウンロード]⇒インストーラを直接ダウンロード [ダウンロードリンクの取得] ⇒インストーラのダウンロード用URLを発行

※エージェントインストーラの作成方法はこちらの動画でもご紹介しております。

◆【Apex One SaaS】 チュートリアル#2 Webコンソールへのアクセス

https://www.youtube.com/watch?v=KtLtaU2qG6s&list=PL5OUFC_NrEsZFnhsq4GXYY0Ub-5SaTk7U&index=2

※ [スタンドアロン]⇒MSI形式のフルパッケージインストーラ(200MB~300MB程度) [Webインストーラ] ⇒EXE形式のWebインストーラ(2~3MB程度)*

*インストールコンポーネントは実行時に直接ダウンロード

インストーラによる新規インストール手順 – 2

•

作成したインストーラを端末に配布し、管理者権限で実行して端末にエージェントをインストールします。

※URLを発行した場合は、該当端末からURLにアクセスしてインストーラを入手・実行します。

•

インストーラは直接実行する方法の他に、ログインスクリプトなどを利用した展開も可能です。

• MSI形式のインストーラのため、以下のようにコマンドを実行することでサイレントインストールも可能です。

例：msiexec /i <インストーラ名> /quiet /norestart /lv

※Windowsインストーラ側のオプションとなるため、詳細についてはMicrosoft社のサポート情報を併せてご参照ください。

•

インストール直後のエージェントには、セキュリティの観点から、デフォルトでランダムなパスワードが設定される 仕様になっています。インストール後は必ずポリシーで任意のパスワードに変更してください。

※タスクバー右下のAgent アイコンを右クリックして[今すぐアップデート] を実行することで、エージェント側から ポリシーを取りにいくことができます。

右クリック

•

ディスクイメージによる端末の展開を予定している場合、「Image Setup Tool」を利用することで マスターイメージにApex One SaaS エージェントをインストールした状態で端末を展開可能です。

•

具体的な手順やツールの取得方法は以下のサポートページを併せてご参照ください。

<ツールの取得方法>

◆

[Apex One SaaS] セキュリティエージェント用のツールについて https://success.trendmicro.com/jp/solution/000247823

※「

ImgSetup.exe 」の欄からダウンロード可能です。

＜ツールの利用手順＞

◆ディスクイメージを使用したウイルスバスター コーポレートエディション クライアントのインストール方法

https://success.trendmicro.com/jp/solution/1308803

※ウイルスバスターCorp. /Apex Oneオンプレミス版と同様の手順です。

Appendix:ディスクイメージを利用した展開方法

マスターイメージ

オンプレミス版エージェントからの移行

•

ウイルスバスターコーポレートエディション^(※)もしくはApex Oneオンプレミス版からApex One SaaSへの 移行は『エージェントの移動』を行うことで可能です。

• Apex One SaaSからApex Oneオンプレミス版へ移行することはできませんのでご注意ください。

※ Corp.XG SP1以降がサポート対象となります。

※エージェントの移行方法はこちらの動画でもご紹介しております。

◆【Apex One SaaS】 チュートリアル#5 マイグレーション後編：エージェントの移行 https://www.youtube.com/watch?v=2UzbxK7hLmI

• エージェントの移動後、SaaS版へのバージョンアップのため200~300MB程度のアップデー トプログラムが各端末へ配信されます。

• SaaS移行時はネットワーク帯域を考慮し、オンプレミス版から操作する「エージェントの移

動」を少しずつ行っていただき、段階的にエージェントの移行作業を進めていただくことを推 奨しております。

◆オンプレミスのウイルスバスター

Corp. XG Service Pack 1 サーバを Apex One as a service 環境へ移行する手順

https://success.trendmicro.com/jp/solution/000238723

【重要】エージェント移行時のトラフィックについて

【重要】エージェントの移行 (プロキシ利用環境の場合)

• Apex One SaaS エージェントをプロキシを経由して管理する予定の場合、必ずオンプレミス版サーバの下記

設定をプロキシを使用する設定に変更してから、オンプレミス版エージェントをSaaSサーバへ移行してくだ さい。 ■オンプレミスApex One(Corp. )サーバコンソール>管理>設定>プロキシ

※補足インターネットオプションにプロキシ情報を登録済みの場合は、

「Windowsのプロキシ設定を使用する」を選択して保存してください。

インターネット インターネット 社内LAN

エージェント

Proxyサーバ

Apex One

サーバ

エージェント

Proxyサーバ

社内LAN

Proxyを通す Proxyを迂回させる(推奨)

•

通信量やセッション数の観点から、エージェントとApex One SaaS間の通信は

Proxyを通さないのが推奨

^{となります。}

ネットワーク環境の制限上Proxyを通す必要がある場合は右図の通り、仕様上移行の際は一時的にApex Oneサーバとエージェントの 間もProxyを通す設定にしておく必要があります。

①移行前に一度XGサーバとエージェントの間で Proxyを通す設定にする必要があります。

Apex One SaaS

①

②

②各エージェントのパターンファ イルなどもすべてProxy経由でダ ウンロードされるため、Proxyサ ーバの負荷が高くなる可能性があ ります。また、常時通信セッショ ン7～10が発生いたします。検索 時などは追加でセッションが発生 いたします。

Apex One SaaS Apex One

サーバ

【重要】通信のご留意点

【重要】プロキシ利用時の機能制限

エージェント

Proxy Apex One SaaS

•

エンドポイントのネットワークを隔離を隔離後の復元に関する制限がございます。

• Porxy経由の場合、復元を実施できなくなります。

•

回避策として、Apex One SaaSとApex One Agent間の通信にProxyサーバを経由いただかないように設定をお願いいたします。

⁃ https://success.trendmicro.com/jp/solution/000271739

Proxy利用あり Proxy利用なし

隔離 〇 〇

復元 × 〇

エージェントの移行手順 – 1(SaaS版サーバ名の確認)

• Apex Central の管理コンソールにログインします。

• 「ディレクトリ」 - 「製品サーバ」をクリックします。

• 「表示名」が「 Apex One as a Service 」となっているサーバのサーバ名をメモします。

※“XXXXXX.manage.trendmicro.com” の箇所を控えてください。

(Xの部分は環境によって異なります)

エージェントの移行手順 – 2（エージェントの移動）

• 移行元のオンプレミス版Apex OneもしくはCorp. XG SP1の管理コンソールにログインします。

• 【エージェント】 - 【エージェント管理】をクリックします。

※Corp. の場合は「エージェント」⇒ 「クライアント」と読み替えてください。

• 移行対象の端末を選択します。※ShiftやCtrlで複数選択可能です

• 【エージェントツリーの管理】 - 【エージェントの移動】をクリックし、手順(1)で控えた サーバ名(“XXXXXX.manage.trendmicro.com”)を入力し、移動をクリックします。

※SSLポートは443,HTTPポートは80を指定してください。

エージェントの登録確認

• Apex Central の管理コンソールにログインします。

• [ディレクトリ]>[ユーザ/エンドポイント]をクリックします。

• 左側から[エンドポイント]>[すべて]を選択し、右側の一覧に追加したエンドポイント端末が表示 されることを確認します。

※補足しばらくしても表示されない場合は、エージェント側から手動アップデートを実施するか、

[ディレクトリ] > [製品] から連携したApex Oneサーバを選択して[タスク] > [Apex One セキュリティエージェントとドメインの同期]をクリックし、「配信開始」を実行すること でエージェントが表示されるかご確認ください。

【移行ツールによるエージェント移行について】

• オンプレミス版サーバに同梱している「エージェント移動ツール(IpXfer.exe)」を利用することで クライアント側からの操作でSaaS版への移行が可能です。

• エージェント移動ツールを利用した移行手順は以下のとおりです。

<移行手順>

Step 1. SaaSサーバからサーバ認証証明書を取得する

Step 2. オンプレミス版サーバから移行ツールを取得する。

Step 3. 移行対象のエージェントにツール本体と証明書をコピーする。

Step 4. 移行用コマンドを実行し、エージェントをSaaSサーバに移行する。

移行ツールによるエージェント移行手順 – Step 1.

Step 1. SaaSサーバからサーバ認証証明書を取得する

<取得手順>

以下のURL からApex One SaaS 側のサーバ認証証明書をダウンロードします。

※ブラウザ等でアクセスすることで取得可能です。

https://<移行先 Apex One SaaS サーバの

FQDN>:443/officescan/hotfix_pccnt/Common/OfcNTCer.dat

※Apex One SaaS サーバの

FQDN ( “ XXXXXX.manage.trendmicro.com” )は以下の手順でご確認ください。

a) Apex One SaaS 側の Apex Central のコンソールにログインする b) [運用管理]→[管理下のサーバ]→[サーバの登録]を開く

c) 「表示名」列が「Apex One as a Service」の行にある「サーバ」列のURL を確認する

移行ツールによるエージェント移行手順 – Step 2.

Step 2. オンプレミス版サーバから移行ツールを取得する。

<取得手順>

移行元のオンプレミス版 Corp./Apex One サーバの「IpXferフォルダ」からツールを取得します。

※SaaS版コンソール等からは取得できません。

<サーバのインストールフォルダ>PCCSRV¥Admin¥Utility¥IpXfer

・IpXfer.exe (32bit用)

・IpXfer_x64.exe (64bit用)

※オンプレミス版サーバでの初期のインストールフォルダは以下となります。

■Apex One サーバの新規インストールの場合

・32 bit OS : C:¥Program Files¥Trend Micro¥Apex One

・64 bit OS : C:¥Program Files (x86)¥Trend Micro¥Apex One

■ウイルスバスター

Corp. サーバ もしくは

ウイルスバスター

Corp. からバージョンアップした Apex One サーバの場合

・32 bit OS : C:¥Program Files¥Trend Micro¥OfficeScan

移行ツールによるエージェント移行手順 – Step 3.

Step 3. 移行対象のエージェントにツール本体と証明書をコピーする。

<手順>

Step 1. 2.で取得した以下のファイルを移行対象の端末の任意の場所にコピーします。

例）C:¥Temp など

・OfcNTCer.dat

・IpXfer.exe (32bit用)

・IpXfer_x64.exe (64bit用)

※移行ツール(IpXfer)は対象のbit用どちらか一方で構いません。

移行ツールによるエージェント移行手順 – Step 4.

Step 4. 移行用コマンドを実行し、エージェントをApex One SaaSサーバに移行する。

<手順>

対象端末側で管理者権限でコマンドプロンプトを起動し、以下2つのコマンドを実行して移行します。

※64ビットOSの場合は、「IpXfer.exe」を「IpXfer_x64.exe」に変更してください。

cd <「Step 3.」でコピーしたIpXfer.exe(IpXfer_64.exe)のパス>

IpXfer.exe –s <移行先 SaaS サーバの FQDN> -sp 443 –p 80 –c 21112 -d <任意の移行先ド メイン名> -e <コピーしたOfcNTCer.dat のファイルパス> -pwd <アンロック/アンロードパスワ ード>

<参考>

◆製品のインストール後にクライアントの待受ポートを変更できますか

<https://success.trendmicro.com/jp/solution/1312376>

※ FAQ のタイトルがクライアント移行とは異なりますが

IpXfer

でサーバの向き先変更が可能です。

「手順6」以降の手順をご参照ください。

※-c <移行先SaaS サーバ のクライアント待機ポート> は Apex Oneでは「21112」で固定になっています。

※-d <任意の移行先ドメイン名> は指定がなければ不要です。

※-pwd <アンロック/アンロードパスワード> は移行元サーバで

設定していたパスワードを指定してください。

※本コマンドはバッチ化して配布/実行も可能です。

バッチで実行される場合、可能な限りIpXfer は各端末上に保存した 状態で「ローカル上にある IpXferを実行する」バッチを組んで対処

Appendix：Mac版エージェントの移行について

• Apex One エージェントと同様に、オンプレミス版のMac版エージェントもSaaS版サーバに移行

可能です。

• 詳細な移行手順については以下のサポートページにてご案内しておりますので、併せてご確認くだ

• さい。 ただしエージェント側の設定はSaaS版への移行ができません。改めてCentralのポリシーにて再設 定が必要となります。

■[Apex One (Mac) SaaS] オンプレミス版のエージェントを

SaaS 版に移行する手順

https://success.trendmicro.com/jp/solution/000258536

第７章 SaaS版の導入パターン紹介

• SaaS版の導入パターンは大きく分けると3種類あります。

SaaS版の導入パターン

Apex Oneエージェント オンプレミスサーバ

Internet

オンプレミス版からの SaaS版移行・並行利用

移行 移行

SaaS

Apex Central / Apex One SaaS サーバ

Apex Oneエージェント オンプレミスサーバ

Internet

オンプレミス版とSaaS版を

連携したハイブリッド利用

一部移行or 新規導入 継続利用

DMZ Remote Connection Tool

SaaS

Apex One SaaSサーバ サーバ連携

SaaS

Apex Oneエージェント 新規インストール 他社製品

Internet

新規導入・他社製品からの

乗り換え

Apex Central / Apex One SaaS サーバ

インストーラ

Apex One SaaSのプロビジョニング Webコンソールからポリシーの作成や

インストーラ・各種設定を準備

①新規導入・既存製品からの乗り換えの場合

現行製品のアンインストール

SaaSエージェント利用開始

導入作業イメージ

インストーラを各端末へ配布・実行して インストール

SaaS

Apex Oneエージェント 新規インストール 他社製品

Internet

新規導入・他社製品からの

乗り換え

Apex Central / Apex One SaaS サーバ

インストーラ

• 乗り換えのステップとしては、他社製品エージェントのアンインストールを行った後、Apex One のインストールをする必要があります。

• 他社製品ではアンインストール時にパスワードを要求される場合があります。その場合は事前の解 除をお願いいたします。

• またよくあるトラブルとして、他社製品のアンインストールが正常に完了せず(いわゆる”ゴミが 残った”状態)Apex One のインストールが失敗することがあります。

• そのため、事前に既存製品のアンインストール方法および強制アンインストールツールや手順の有 無を既存製品のサポート元に確認をお願いいたします。

• 他社製品エージェントでLinux OSを保護している場合、Apex One はLinux OSには対応しており ませんので、Deep SecurityもしくはDeep Security as a Service の導入をご検討ください。

乗り換えの注意点

②オンプレミス版からSaaS版へ移行する場合

(オンプレミス側) 設定のエクスポート

(SaaS側)

設定のインポート/ポリシー割り当て

SaaSエージェント利用開始

導入作業イメージ

(オンプレミス側) エージェントの移動 移動後、自動でSaaS版へ エージェントプログラム更新

Apex Oneエージェント オンプレミスサーバ

Internet

オンプレミス版からの SaaS版移行・並行利用

移行 移行

SaaS

Apex Central / Apex One SaaS サーバ

• SaaS版エージェントの展開前に、試しに数台の端末に導入してみて端末動作や通信状況などに 問題が無いことを確認してからご利用ください。

• エージェントの移動後、SaaS版へのバージョンアップのため200~300MB程度のアップデート プログラムが各端末へ配信されます。

• エージェントの移動は複数選択によりまとめて指示が可能ですが、ネットワーク帯域を考慮し、

段階的にエージェントの移行作業を進めていただくことを推奨いたします。

• SaaS版のライセンスはオンプレミス版の利用権も含んでいるため、全台をSaaS版に切り替える

のではなく、一部をオンプレミス版として残して並行利用することも可能です。

• SaaS版のライセンスでオンプレミス版を並行利用する場合は、必ず既存のオンプレミス版ACの

期限が切れるまでに、SaaS版で新たに発行したACへ上書きするようにお願いいたします。

オンプレミス版から移行する際の注意点

③オンプレミス版とSaaS版を連携してハイブリッド利用する場合

オンプレミス側からエージェント移動 or SaaS版エージェントの新規インストール

SaaSエージェント利用開始

導入作業イメージ

Apex Oneエージェント オンプレミスサーバ

Internet

オンプレミス版とSaaS版を

連携したハイブリッド利用

一部移行or 新規導入 継続利用

DMZ Remote Connection Tool

SaaS

Apex One SaaSサーバ サーバ連携

SaaS版サーバ配下のエージェントに ポリシー配信

DMZ上に中継用サーバを用意

Remote Connection Toolを利用して

オンプレミスサーバとSaaSサーバを連携

•

基本的な管理はオンプレミスで行いつつ、一部の持ち出し端末のみをApex One SaaSエージェントで利用した い場合、オンプレミス版Apex CentralにApex One SaaSを登録することでハイブリッド構成で統合的に運用 を行うことが可能です。

•

中継用のツール(Remote Connection Tool)をインストールしたサーバをインターネットから接続可能なDMZ 上に配置することで、オンプレミス版Apex CentralにApex One SaaSを登録可能になります。

• Remote Connection Toolを利用したSaaS版との連携方法は以下のサポートページをご参照ください。

◆Trend Micro Apex One™ as a Service とオンプレミスの

Control Manager/Apex Centralのリモート接続設定方法 https://success.trendmicro.com/jp/solution/000238696

ハイブリッド構成について

• ハイブリッド構成で利用する場合、SaaS版エージェントの基本的な管理は全てオンプレミス版 Apex Centralから実施する形になります。※SaaS版Centralコンソールは利用しません。

• ハイブリッド構成で利用した場合も、SaaS版エージェントにのみ実装されている機能はオンプ レミス版エージェントで利用することはできません。

• オンプレミス版のApex Centralが配信に対応していない機能の場合、SaaS版のメンテナンスで 新機能が実装されてもハイブリッド構成下のエージェントでは利用できない場合があります。

• オンプレミス版のApex One/CentralでCTDを利用していた場合、ハイブリット構成にすること でSaaS版エージェントも同様に不審オブジェクトを利用することができます。

• ハイブリッド構成の場合、Endpoint Sensor 機能(EDR)による調査はオンプレミス版/SaaS版 関係なく同じApex Centralコンソールから調査可能になります。

ハイブリッド構成で利用する際の注意点

【特別付録】

Apex One SaaS

移行前チェック事項集

STEP 1

既存のウイルスバスターコーポレートエディション または

Apex One

のバージョン確認

STEP 2

移行予定の環境のクライアントのバージョン

/

設定

/

証明書の確認

STEP 4 ^{Apex One}

^{環境における}

^Proxy

^{の有無を確認}

STEP 3

サーバの設定およびポリシーを移行時のコンポーネント配信制御を確認

クライアントを ApexOneSaaS に移行を開始

クライアントをApex One as a service移行手順

STEP 5

既存の管理サーバおよび移行予定のクライアントおよび

ApexOneSaaS

の疎通確認

Apex One as a serviceにクライアントを移行するためには移行元のウイルスバスター コーポレー トエディションのバージョンがXG SP1またはApex Oneである必要があります。

【STEP 1】 既存環境 のバージョン確認

【確認事項】

1.

管理コンソールの

[

ヘルプ

] - [

バージョン情報

]

を開きます。

2.

バージョン情報のポップアップにて利用している管理サーバの バージョンが

ApexOne

またはウイルスバスター コーポレート エディション

XG SP1 (

ビルド

4638)

以上である事を確認しま す。

※バージョンがウイルスバスター コーポレートエディションXG SP1 (ビルド 4638)未満の場合下記

FAQ

を参考の上

XG SP1

以上にアップグレードをする 必要がございます。

▼バージョンXG を最新版へバージョンアップしてご使用いただくまでの流れ

https://success.trendmicro.com/jp/solution/11

16148

ウイルスバスター コーポレートエディションのバージョン

XG SP1 / Apex One

のサーバとエージェントプログラ ムのバージョンおよびビルドが一致している事を確認します。

【STEP 2-1】 移行するエージェントのバージョンを確認

【確認事項】

1. 管理コンソールの

[

ヘルプ

] - [

バージョン情報

]

を開きます。

2. バージョン情報のポップアップにて利用している管理サーバのバージョンが

ApexOne

またはウイルスバスター コーポレートエディション

XG SP1

のビルド番号を確認します。

3.

[

クライアント

] – [

クライアントの管理

]

で移行するクライアントを選択し、

[

クライアントのプログラム

]

の列からサーバとのビルドが一致する事

※こちらの例ではサーバとクライアントのビルドが一致していな

いためビルドを合わせる必要があります。 ※こちらの例ではサーバとクライアントのビルドは一致していま すので移行可能です。

ApexOneSaaSに移行する予定のエージェント/クライアントのOSのバージョンがApexOneSaaSに対応する OSのバージョンか確認します。

【STEP 2-2】 移行するエージェントのOSの確認 その1

【確認事項】

1.

[クライアント] – [クライアントの管理]で移行するクライアントを選択します。

2.

[プラットフォーム]の列から移行対象のエージェントのOSがApexOneSaaSに対応するバージョンか確認します。

※対応するOSは下記のApex One SaaSセキュリティエージェントのシステム要件から確認可能となります。

https://www.trendmicro.com/ja_jp/business/products/user-protection/sps/endpoint.html

Windows 7 および Windows Server 2008 R2 に下記の更新プログラムを適用していない場合、

2020年1月1日以降に作成する弊社製品のモジュールが利用できない場合があります。

資産管理ツールなどを利用して下記のマイクロソフト社の更新プログラムの適用されているかご確認お願いします。

【STEP 2-2】 移行するエージェントのOSの確認 その2

詳細は下記FAQを参照願います。

https://success.trendmicro.com/jp/solution/1113179

OS 更新プログラム

Windows 7 SP1 KB3033929 / KB4490628

Windows Server 2008 SP2 KB2763674 / KB4474419

Windows Server 2008 R2 SP1 KB3033929 / KB4490628

ApexOneSaaSに移行する予定のエージェント/クライアントがスタンドアロンモードの設定がされている場合、移

行時にエラーが出力し移行ができません。

スタンドアロンモードが設定がされていないか確認します。

【STEP 2-３】 移行するエージェントの設定の確認

【確認事項】

1. 管理コンソールにて[クライアント]タブ

- [クライアント管理]を開きます。

2. 対象端末または対象のドメインを選択し、[設定] – [権限とその他の設定]を開きます。

3.

[権限]タブの「スタンドアロンモードの有効化」にチェック入っていない事を確認します。

※ApexOneはクライアントをエージェントと読み替えてご利用下さい。

参考：スタンドアロンモードについて

https://success.trendmicro.com/jp/solution/1313666