エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9.14

to English version

ウイルス対策アーキテクチャー

ウイルス対策アーキテクチャーは、Vscanサーバー ソフトウェアと、それに関連する設定で構成されます。

Vscanサーバー ソフトウェア

このソフトウェアは、Vscanサーバーにインストールする必要があります。

  • ONTAP Antivirus Connector

    SVMとウイルス対策ソフトウェアの間のスキャン要求と応答のやり取りを処理します。仮想マシン上でも実行できますが、最大限のパフォーマンスを実現するには、物理マシンを使用する必要があります。このソフトウェアは、サポート サイトからダウンロードできます(ログインが必要です)。

  • ウイルス対策ソフトウェア

    これはパートナーが提供するソフトウェアで、ファイルをスキャンしてウイルスやその他の悪意のあるコードを検出します。ソフトウェアを設定する際に、感染したファイルに対して実行する処理を指定します。

Vscanソフトウェアの設定

これらのソフトウェアは、Vscanサーバーで設定を行う必要があります。

  • スキャナ プール

    SVMに接続できるVscanサーバーと特権ユーザーを定義します。また、スキャン要求のタイムアウト時間も定義します。この時間が経過すると、代わりのVscanサーバーがある場合はそのサーバーにスキャン要求が送信されます。

    Vscanサーバー上のウイルス対策ソフトウェアのタイムアウト時間は、スキャナ プールのスキャン要求のタイムアウト時間より5秒短く設定するようにしてください。こうするとソフトウェアのタイムアウト時間がスキャン要求のタイムアウト時間よりも長くなるので、ファイル アクセスが遅延したり、完全に拒否されたりする状況を回避できます。

  • 特権ユーザー

    VscanサーバーがSVMへの接続に使用するドメイン ユーザー アカウントです。スキャナ プールの特権ユーザー リスト内に存在するアカウントである必要があります。

  • スキャナ ポリシー

    スキャナ プールがアクティブかどうかを定義します。スキャナ ポリシーはシステムで定義されるので、カスタム スキャナ ポリシーは作成できません。使用できるポリシーは、次の3つのみです。

    • Primary:スキャナ プールをアクティブにします。

    • Secondary:プライマリー スキャナ プールのVscanサーバーが1つも接続されていない場合にのみスキャナ プールをアクティブにします。

    • Idle:スキャナ プールを非アクティブにします。

  • オンアクセス ポリシー

    オンアクセス スキャンの範囲を定義します。スキャンするファイルの最大サイズ、スキャン対象に含めるファイルの拡張子とパス、スキャンから除外するファイルの拡張子とパスを指定できます。

    デフォルトでは、読み取り/ 書き込みボリュームのみがスキャンされます。読み取り専用ボリュームのスキャンを有効にするフィルターや、実行アクセス権で開かれたファイルのみにスキャンを制限するフィルターを指定することができます。

    • scan-ro-volume:読み取り専用ボリュームのスキャンを有効にします。

    • scan-execute-access:実行アクセス権で開かれたファイルのみをスキャンします。

      実行アクセス権」は、「実行権限」とは異なります。「実行アクセス権」は、クライアントが「実行目的」で実行可能ファイルを開いた場合にのみそのファイルに対して付与されます。

    scan-mandatoryオプションをoffに設定すると、ウイルス スキャンに使用できるVscanサーバーがない場合にファイル アクセスが許可されます。オンアクセス モードでは、次の2つの相互排他的なオプションのどちらかを選択できます。

    • mandatory:このオプションを選択すると、Vscanは、タイムアウト時間が経過するまでサーバーへのスキャン要求の配信を試みます。サーバーがスキャン要求を受け入れなかった場合、クライアント アクセス要求は拒否されます。

    • non-mandatory:このオプションを選択すると、ウイルス スキャンに使用できるVscanサーバーがあるかどうかに関係なく、Vscanで常にクライアント アクセスが許可されます。

  • オンデマンド タスク

    オンデマンド スキャンの範囲を定義します。スキャンするファイルの最大サイズ、スキャン対象に含めるファイルの拡張子とパス、スキャンから除外するファイルの拡張子とパスを指定できます。デフォルトでは、サブディレクトリー内のファイルもスキャンされます。

    cronスケジュールを使用していつタスクを実行するかを指定できます。vserver vscan on-demand-task runコマンドを使用すると、タスクをただちに実行できます。

  • Vscanファイル処理プロファイル(オンアクセス スキャンのみ)

    vserver cifs share createコマンドのvscan-fileop-profileパラメーターでは、ウイルス スキャンをトリガーするSMBファイル処理を定義します。このパラメーターは、デフォルトではstandardに設定されます。このパラメーターは、SMB共有を作成または変更するときに必要に応じて調整できます。

    • no-scan:共有に対してウイルス スキャンを一切トリガーしません。

    • standard:開く、閉じる、名前変更の各処理でウイルス スキャンをトリガーします。

    • strict:開く、読み取る、閉じる、名前変更の各処理でウイルス スキャンをトリガーします。

      strictプロファイルは、複数のクライアントが同時にファイルにアクセスする状況でセキュリティを強化できます。strictでは、あるクライアントがウイルスを書き込んだあとにファイルを閉じたときに別のクライアントが同じファイルを開いていた場合、2番目のクライアントがファイルを閉じる前に読み取り処理を実行した場合にもスキャンがトリガーされます。

      strictプロファイルは、同時にアクセスされる可能性のあるファイルを含む共有にのみ適用してください。このプロファイルでは生成されるスキャン要求が増えるため、パフォーマンスに影響が及ぶ可能性があります。

    • writes-only:変更されたファイルが閉じられたときにのみウイルス スキャンをトリガーします。

      writes-onlyでは生成されるスキャン要求が減るため、通常はパフォーマンスが向上します。

      このプロファイルを使用する場合は、修復不可能な感染ファイルが削除または隔離されるようにスキャナを設定して、当該ファイルにアクセスできなくする必要があります。たとえば、あるクライアントがウイルスを書き込んだあとにファイルを閉じ、そのファイルが修復、削除、または隔離されていない場合、以降に書き込み以外の目的でアクセスしたクライアントがすべて感染します。

クライアント アプリケーションによって名前が変更された場合、ファイルは新しい名前で閉じられるためスキャンされません。このような処理によるセキュリティの懸念がある環境では、standardプロファイルまたはstrictプロファイルを使用してください。

Top of Page