Symantec Endpoint Protection
遠隔測定データを提出してセキュリティを向上させる

概要
遠隔測定(データ提出、データ収集ともいわれる)ではネットワークのセキュリティ態勢を強化し、製品の使用感を向上するために情報を収集します。遠隔測定は次の種類の情報を幅広く収集します。
  • ハードウェアとソフトウェアの詳細を含むシステム環境
  • 製品のエラーと関連イベント
  • 製品構成の有効性
収集したデータはシマンテック社に送信されます。
シマンテック社が遠隔測定によって収集したデータには、直接的には識別できない匿名要素が含まれている場合があります。シマンテック社は個人ユーザーを特定するために遠隔測定データの使用を必要としたり求めたりすることはありません。
目的
シマンテック社は、これらの情報を使ってユーザーの製品使用感を分析し、改良します。
  • シマンテック社のサポートで遠隔測定を使用します。
  • シマンテック社は、脅威の状況を明らかにするために、Risk Insight プログラムに含まれる遠隔測定を使用します。
遠隔測定データ収集の有効化
シマンテック社は、管理サーバーと
Symantec Endpoint Protection
クライアントの両方から遠隔測定データを収集します。
ただし、ネットワーク帯域幅の問題やクライアントから送信するデータの制限によっては、遠隔測定データの提出の無効化が必要な場合もあります。クライアント活動ログを調べると、提出活動を確認し、帯域幅の使用状況を監視できます。
  1. 管理サーバーの遠隔測定データの収集を有効または無効にするには
  2. サーバーのデータ収集の
    [匿名のデータをシマンテック社に送信して詳細な脅威防止インテリジェンスを受け取る]
    オプションを有効または無効にします。
    • 管理コンソールで、
      [管理] > [サーバー] > [ローカルサイト] > [サイトのプロパティ] > [データ収集]
      に移動してオプションを変更します。
    つの Symantec Endpoint Protection Manager
    のインストール時に、サーバーのデータ収集オプションを変更することもできます。
  3. クライアントの遠隔測定データの提出を有効または無効にするには
  4. クライアントのデータ提出の
    [匿名のデータをシマンテック社に送信して詳細な脅威防止インテリジェンスを受け取る]
    オプションを有効または無効にします。管理コンソールでグループレベルでオプションを変更したり、クライアントユーザーインターフェースで単一クライアントのオプションのみを変更することができます。
    • 管理コンソールで、
      [クライアント] > [ポリシー]
      タブに移動します。
      [設定]
      ペインで
      [外部通信の設定] > [クライアント提出]
      を選択します。
    • クライアントユーザーインターフェースで、
      [設定の変更] > [クライアント管理] > [オプションの設定] > [クライアント提出]
      に移動します。
企業の各クライアントは 1 つのグループに属します。グループには独自のポリシーが設定されています。親グループからポリシーを継承するようにグループを設定することもあります。クライアントによるデータ提出をグループ全体に設定した場合は、必要に応じてすべてのグループに設定が適用されていることを確認します。
提出を無効にして設定をロックすると、ユーザーは提出データを送信するようにグループ内のクライアントを設定できません。オプションを有効にして提出タイプを選択し、設定をロックすると、ユーザーは提出を無効にできません。設定をロックしなければ、
[詳細]
の提出タイプなどの設定を変更できます。
シマンテック社が最良の脅威防止を提供できるように、脅威の情報の提出をお願いします。
よく寄せられる質問
Symantec Endpoint Protection
ではどのような種類の情報が収集されますか?
Symantec Endpoint Protection
が収集する情報の種類について詳しくは、以下の表に示します。
Symantec Endpoint Protection
が収集する情報の種類の詳細
次のように入力します。
詳細
ソフトウェアの設定、製品の詳細、インストールの状態
ウイルスとスパイウェアの対策ポリシーに関する情報には次のものが含まれます。
  • Bloodhound の設定
    Bloodhound が有効または無効のどちらか。レベルが自動またはアグレッシブのどちらか。(
    [ウイルスとスパイウェアの対策ポリシー] > [グローバルスキャンオプション]
    )
  • ダウンロードインサイトの設定
    ダウンロードインサイトが有効または無効のどちらか。感度や普及率のしきい値など、ダウンロードインサイトの設定。(
    [ウイルスとスパイウェアの対策ポリシー]>[ダウンロード保護]
    )
  • 自動保護の設定
    マルウェアやセキュリティリスクに設定している上書き(
    [ウイルスとスパイウェアの対策ポリシー]>[自動保護]
    )
クライアントの台数が多い上位 20 位のグループに関する情報を含みます。各グループの 1 番目の場所(通常はデフォルトの場所)を選択して情報を送信します。
通常、この情報には次のものが含まれます。
  • クライアントモード: クライアントでサーバー制御、クライアント制御、混合モードを使用しているか。データが見つからないか。
  • プッシュ型/プル型転送モード: クライアントがサーバーからポリシーを取得しているか。サーバーにポリシーを要求しているか。
  • アプリケーション学習のオン/オフ。
  • ハートビート間隔 (分)。
  • 重要なイベントのアップロードのオン/オフ。
  • ダウンロードのランダム化のオン/オフ。ランダム化の時間帯 (分)。
  • クライアントで前回使用したグループ設定やグループモードを使用しているか。
  • クライアントが検出の提出データを送信しているか。ウイルス対策の検出、ファイル評価、SONAR など、提出データの種類。
  • クライアントでホストインテグリティを有効にしているか。
  • ドメインの数。
  • ドメインすべてのグループの合計数は、
    <1500
    のように近似値で表示されます。3,000 以上の場合は、
    >/= 3000
    と送信される
  • すべてのドメインにおけるグループの最大深度
  • クライアントの合計数
  • コンピュータモードのクライアントの台数
  • ユーザーモードのクライアントの台数
  • 組織単位(OU)グループのクライアントの台数
ライセンスの状態、ライセンスの資格情報、ライセンス ID、ライセンスの使用状況
なし
デバイス名、種類、OS バージョン、言語、場所、ブラウザの種類とバージョン、IP アドレス、ID
なし
デバイスのハードウェア、ソフトウェア、アプリケーションインベントリ
サーバーデータベースからは、クライアントのハードウェアに関する集計情報を送信します。情報には、CPU、RAM、
Symantec Endpoint Protection
インストールディスクのディスク空き容量が含まれます。
アプリケーションとデータベースのアクセス設定、ポリシーの必要条件、ポリシーコンプライアンスの状態、アプリケーション例外、ワークフローのエラーログ
システム管理ログのエントリのルール数を含みます。次のデータベースログのログエントリ数、ログエントリが期限切れになるまでの日数も送信します。
  • システム管理ログ
  • クライアント/サーバー活動ログ
  • 監査ログ
  • システムサーバー活動ログ
複製エラーやデータベースバージョンの不一致など、サーバーの複製エラーイベントを含みます。
クライアントのセキュリティイベント情報、IP アドレス、ユーザー ID、パス、デバイス名やデバイスの状態などのデバイス情報、ダウンロードしたファイル、ファイルの処理など、潜在的な脅威に関連付けられた情報
なし
ファイルのダウンロード、処理や実行アプリケーションの情報、マルウェアの送信など、ファイルやアプリケーションの評価情報
ファイル評価データとは、評価に基づいて検出したファイルに関する情報です。
  • これらの情報を提出すると Symantec Insight 評価データベースに反映され、コンピュータを新たなリスクから保護するための役に立ちます。
    情報には、ファイルハッシュ、クライアントの IP ハッシュ、ファイルのダウンロード元の IP アドレス、ファイルサイズ、ファイルの評価スコアが含まれます。
アプリケーション例外のログとワークフローのエラーログ
なし
サービスの設定時に入力した個人情報や、設定後の他のサービス呼び出し
なし
名前、バージョン、言語、ライセンスの資格データなどのライセンス情報
なし
SEP に装備されている保護技術の使用状況
クライアントの台数が多い上位 20 位のグループに関する情報を含みます。各グループの 1 番目の場所(通常はデフォルトの場所)を選択して情報を送信します。
この情報には、次のものが含まれます。
  • 特定の保護技術が有効または無効になっているクライアントの台数。
  • 有効になっている保護技術を使った 1 番目の検出処理と 2 番目の検出処理の数と種類 (
    検疫
    ログのみ
    クリーン
    、など)。
つの Symantec Endpoint Protection Manager
はデータベースにおける各種の共有ポリシーの数を送信します。この数は、デフォルトのポリシーとカスタムのポリシーの数を足したものです。この情報には、次のものが含まれます。
  • ドメインの数
  • 次の共有ポリシーそれぞれの数
    • ウイルスとスパイウェアの対策ポリシー
    • ファイアウォールポリシー
    • 侵入防止ポリシー
    • アプリケーションとデバイス制御ポリシー
    • LiveUpdate のポリシー
    • ホストインテグリティポリシー
  • カスタム侵入防止シグネチャの数
オペレーティングシステム情報、サーバーハードウェアとソフトウェアの設定の詳細、CPU 名、メモリサイズ、インストール済みパッケージのソフトウェアバージョンと機能など、SEP の設定を記述した情報
以下のサーバー情報を含みます。
  • 複製パートナーの数
  • ログデータの複製の有無
  • コンテンツデータの複製の有無
Linux オペレーティングシステムの種類、カーネルバージョン、この設定を適用しているクライアントの台数を含みます。
次のクライアントの台数など、
つの Symantec Endpoint Protection Manager
クライアントの稼働状態に関する
Symantec Endpoint Protection
データベースの集計情報を含みます。
  • クライアントの合計数
  • 縮小サイズのクライアント
  • 標準サイズのクライアント
  • EWF 対応クライアント
  • FBWF 対応クライアント
  • UWF 対応クライアント
  • Microsoft 社のハイパーバイザクライアント
  • VMware 社のハイパーバイザクライアント
  • Citrix 社のハイパーバイザクライアント
  • 不明なハイパーバイザクライアント
LiveUpdate のリビジョンの概数 (
<30
など) を送信します。
潜在的なセキュリティリスク、移植可能な実行可能ファイルや実行可能コンテンツを含むファイル(インストール時にこのようなファイルが実行する処理に関する情報など、個人情報を含む可能性があり、マルウェアとして識別される)の情報
  • ウイルス対策の検出(Windows と Mac のみ)
    ウイルスとスパイウェアスキャンの検出についての情報。クライアントが提出する情報には、ファイルハッシュ、クライアント IP のハッシュ、ウイルス対策シグネチャ、攻撃者の URL などが含まれます。
  • ウイルス対策の拡張ヒューリスティック検出(Windows のみ)
    Bloodhound やその他のウイルスとスパイウェアのスキャンでヒューリスティックに検出された潜在的な脅威に関する情報。これらの検出は、リスクログに表示されないサイレントな検出です。これらの検出についての情報は統計分析のために使われます。
  • SONAR 検出(Windows のみ)
    危険度が高い検出や危険度が低い検出、システム変更イベント、信頼できるアプリケーションによる疑わしい動作などの、SONAR が検出する脅威についての情報。
次のような処理データも含みます。
  • SONAR のヒューリスティック検出 (Windows のみ)は、リスクログに表示されないサイレントな検出です。この情報は統計分析のために使われます。クライアントが通常提出する情報の種類には、次のような検出の属性が含まれます
    • 非表示の処理
    • 占有域が少ない処理
    • キー入力のログ記録や画面のキャプチャ動作
    • セキュリティ製品の動作の無効化
    • 検出の日付とタイムスタンプ
アクセスした URL を含むネットワーク活動に関する情報、ネットワーク接続に関する集計情報(ネットワーク接続に使用したホスト名、IP アドレス、統計情報など)
次の情報を含みます。
  • ネットワーク検出イベント(Windows と Mac のみ)
    IPS エンジンによる検出(侵入防止)に関する情報。クライアントが提出する情報には、クライアント IP のハッシュ、攻撃者の URL、検出のタイムスタンプ、攻撃者の IP アドレス、IPS シグネチャなどが含まれます。
  • ブラウザ検出イベント(Windows のみ)
    ブラウザのアドレスバーに入力したすべての URL とダウンロードするためにクリックまたは接続したすべての URL。
    クライアントは、以下に関するメタデータも送信します。
    • IP アドレス、ポート番号、ホスト名、接続を初期化するアプリケーション、プロトコル、接続時間、接続ごとのバイト数など、各ネットワーク接続
    • デバイス ID、転送時間、プロトコル、ファイル属性(種類、名前、パス、サイズ)、コンテンツの SHA-256 など、デバイス間のすべてのファイル転送活動
SEP のインストールと動作に関する状態情報(インストール時またはエラー発生時に SEP が検出したファイルまたはフォルダの名前に個人情報が含まれている場合にのみ、状態情報に個人情報が含まれることがあります。状態情報には、SEP のインストールが正常に完了したかどうかや、SEP でエラーが発生したかどうかが示されます)
なし
匿名の一般的な統計情報と状態情報
なし
自分の
Symantec Endpoint Protection
クライアントが送信している遠隔測定の提出データはどのようにしたらわかりますか?
提出イベントを確認するには、クライアント活動ログを調べます。ログに最新の提出イベントが記録されていない場合は、次のことを調べます。
  • クライアントによるデータ提出が有効であることを確認する
  •   プロキシサーバーを使用している場合は、プロキシ例外を調べる。「クライアントがデータを提出する場合に使用するプロキシサーバーは指定できますか?」を参照してください。
  •   シマンテックのサーバーの接続を調べる。次のナレッジベースの記事 article.TECH163042.html を参照してください。
  • クライアントに最新の LiveUpdate コンテンツをダウンロードしていることを確認する
    Symantec Endpoint Protection で SCD(Submission Control Data)ファイルを使用しています。シマンテック社では SCD ファイルを発行し、それを LiveUpdate パッケージの一部として含めます。各シマンテック製品には独自の SCD ファイルが含まれます。このファイルは次の設定を制御します。
    • クライアントが 1 日に提出できる回数
    • クライアントソフトウェアが提出を再試行するまでの待機時間の長さ
    • 失敗した提出を再試行する回数
    • 提出データを受信するシマンテックセキュリティレスポンスサーバーの IP アドレス
SCD ファイルが期限切れになった場合には、クライアントは提出データの送信を停止します。シマンテック社は、クライアントコンピュータが 7 日間 LiveUpdate コンテンツを取得しなければ SCD ファイルが期限切れになったと見なします。クライアントは 14 日後に提出の送信を停止します。
クライアントが提出を停止した場合は、クライアントソフトウェアは提出情報を収集せずに後で送信します。クライアントが提出を再び開始するときは、再開された後に発生したイベントに関する情報のみが送信されます。
遠隔測定のデータ提出を断ることはできますか?
はい。断ることができます。クライアントとサーバーのユーザーインターフェースでサーバーデータの収集オプションやクライアントのデータ提出オプションを修正できます。ただし、シマンテック社はネットワークのセキュリティ向上を可能にする程度の遠隔測定を有効にすることを推奨します。
パフォーマンス、サイジング、および配備
遠隔測定では帯域幅をどれくらい使用しますか?
Symantec Endpoint Protection は、クライアントコンピュータによるデータ提出を調整してネットワークへの影響を最小限に抑えます。Symantec Endpoint Protection は、次の方法で提出を調整します
  • クライアントコンピュータはコンピュータがアイドル状態のときだけサンプルを送信します。アイドル状態の提出は、ネットワーク上の提出トラフィックをランダム化するのに役立ちます。
  • クライアントコンピュータは、一意のファイルについてのみサンプルを送信します。シマンテック社ですでにファイルを認識している場合、クライアントコンピュータは情報を送信しません。
これらの提出データは非常に小さいサイズです。たとえば、ウイルス対策の提出データは通常 4 KB を超えません。同様の IPS の提出データは約 32 KBです。
クライアントがデータを提出する場合に使用するプロキシサーバーは指定できますか?
Windows クライアントが提出とその他の外部通信にプロキシサーバーを使うように、
つの Symantec Endpoint Protection Manager
を設定できます。クライアントコンピュータで認証にプロキシを使う場合、プロキシサーバーの設定でシマンテック社の URL を例外として指定することが必要になる場合があります。例外により、クライアントコンピュータは Symantec Insight と他の重要なシマンテック社のサイトと通信できます。
プロキシについて詳しくは、以下を参照してください。
シマンテック社の URL の例外について詳しくは、次のサイトを参照してください。