ESET Endpoint Protection Standard/Advancedの評価


ESET Endpoint Protection Standard/Advancedの構成方法

まずは、ESETセキュリティ製品の構成パターンを2つ紹介する。2つ目に紹介する構成が、一般的に使われる構成だ。

構成は、いたって普通であり、特に業界からはずれたような構成にはなっていない。セキュリティソフトに限った話ではないが、大規模環境を意識しすぎて複雑な構成になってしまうソフトがたまにあるが、ESETはそんなことはない。理解しやすく悩むことはない。また小規模から大規模までの環境に対応できる構成になっている。

他にも構成パターンはあるが、多くの場合はこの2つの構成を応用したものになるので、ここでは割愛する。

構成 その1
クライアントPCのみの構成

説明
各クライアントPCが直接定義ファイルのダウンロードを行う

メリット
インストール方法が、家庭向けセキュリティソフトと同じで簡単

デメリット
インターネット回線に負荷がかかる

構成 その2
ミラーサーバ及び管理サーバを配置する構成

説明
ミラーサーバの役割:定義ファイルをダウンロードし、クライアントPCへ配布するサーバ
管理サーバの役割:全てのクライアントPCへのソフトのインストールや、ウイルス感染状況の確認など、集中管理できるサーバ

通常はこの構成を用いる。できるだけActiveDirectory環境が望ましい。

メリット
インターネット回線の負荷が減る
すべてのクライアントを集中管理できるので、定義ファイルの更新漏れや、ウイルス感染などを見逃さない。

デメリット
サーバを用意する必要がある




クライアントPCへのインストール方法の評価

企業の場合、クライアントPCがたくさんあるためインストール作業に時間がかかる。インストールのしやすさは、セキュリティソフトを評価する上で重要な項目だ。

ESETのインストールは比較的簡単だ。ESETのインストールに関する良い点は、設定情報を組み込んだパッケージを作成できる点にある。このパッケージさえ作ってしまえば、ログオンスクリプトに設定して実行させたり、パッケージをファイルサーバ等に置き、ユーザにイントラやメールで案内して実行してもらったり、資産管理ソフトを用いてインストールしたりと応用がきく。

ESETの管理コンソールから、パッケージを各クライアントPCへリモートストールすることもできる。だたし、同一セグメントでなければ実行できないのが非常に残念だ。



次には、ESETセキュリティ製品のインストール方法、及びメリット・デメリットを紹介する。尚、ESETセキュリティ製のインストールには、いくつか方法がある。ここでは代表的な方法を4つ紹介する。これ以外にもインストール方法はあるがここでは紹介しない。詳しくは製品マニュアルを確認してほしい。




インストール方法 その1
インストーラ―(.msi)を使用する

説明
インストーラ―(.msi)を描くクライアントで実行する

条件
特にない

メリット
インストール方法自体は簡単
ActiveDirectory等がない環境でもインストールできる

デメリット
クライアントPCの台数だけ作業をしなくてはならず、台数が多いと時間がかかる

インストール方法 その2
設定組み込み済みインストーラを利用したインストール

説明
まず、設定を組み込んだパッケージを作成する
次に、このパッケージを起動するバッチファイルを作成しクライアント上で実行してインストール
バッチファイルには、リブートを強制的にするオプションなどを付けることができる

条件
特にない

メリット
設定をパッケージ内に組み込めるため、インストール後に1台1台設定変更しなくても良い
ここで作ったバッチファイルは管理者が実行しなくても、メールで送ったりファイルサーバに置いたりして、ユーザに実行させることもできる

デメリット
方法1よりは短時間でインストール+設定を完了できるが、何百台もパソコンがある場合は大変



↑設定ファイルの編集画面

インストール方法 その3
プッシュインストール

説明
まず、設定を組み込んだパッケージを作成する
次に、このパッケージを管理サーバからクライアントPCへリモートインストールする

条件
クライアントPCと管理サーバが通信できる
AD環境時、ドメインアドミニストレーター権限アカウントが利用可能
WG環境時、クライアントの管理者権限アカウントが利用可能
クライアントPCの下記ポートが利用可能である
 http://canon-its.jp/supp/eset/etlr40004.html
クライアントPCのRemote Registry Serviceが開始されている
クライアントPCのファイル共有およびプリンタ共有が有効である
クライアントPCの「簡易ファイルの共有を使用する」が無効
など

メリット
インストールは最も楽で速い

デメリット
プッシュインストール時にPCを起動しておく必要がある。
条件が多く、ポートの公開などの設定が必要なケースもある。
ただし、以前のバージョンよりも条件は緩和されている。


インストール方法 その4
ログオンスクリプトを利用したインストール

説明
まず、設定を組み込んだパッケージを作成する
次に、このパッケージを共有フォルダに置き、パッケージを呼び出すバッチファイルを作成する
このバッチファイルを、ActiveDirectoryのログオンスクリプトなどで実行しインストールする

条件
ユーザがドメインに参加している(ユーザに管理者権限はなくてもOK)
共有フォルダを作成できる

メリット
クライアントの電源が入っていないときでも、リモートインストールの設定をすることができる(ただしインストールはユーザーログオン後)

デメリット
ユーザがログオンしないとインストールが始まらないため、業務時間外にインストールを終わらせる場合は、全台をログインしてまわらなければならない。
各社員がログオンするまでインストールを待つ場合は、ユーザがログインする朝一にトラフィックが集中するので注意。







管理画面の評価

セキュリティソフトの画面で、日頃最も目にするのは管理画面である。この画面の起動が遅かったり見づらかったりすると嫌になったりするので、ESETの管理画面をチェックしてみた。

管理画面は時代の流れには乗らず、WebアプリではなくWindowsアプリである。そのためコンソールをインストールしなければならないという手間はあるが、アプリの起動は速い。また画面も見やすい。

管理画面は次のようになっている。ウイルスの感染の有無や、定義データベースのバージョンはもちろん、OSが最新でない場合などにも警告が表示される。WebアプリではなくWindowsアプリであるため、動作にもたつきはなく軽快に動く。

尚、コンソールは管理サーバ以外のPCへもインストールできる。管理者のパソコンへインストールしておくと便利だろう。※サーバ側のファイアウォールで特定のポートを開けておく必要がある。空ける必要のあるポートはマニュアル参照




定義ファイルの更新方法の評価

定義ファイルの更新は、クライアントから直接ダウンロードすることも可能だし、1台のサーバがダウンロード後、クライアントPCはサーバからダウンロードするようにすることも可能だ。詳細な方法は下記に説明する。尚、定義ファイルのサイズは約26MBであった。

定義ファイルの更新方法 その1
各クライアントPCがインターネット経由でアップデート

説明
各クライアントPCがインターネット経由でアップデートする方法。各クライアントにライセンス情報を入力する必要がある。ライセンス情報は、パッケージを作成する際に、組み込んでおくことが可能

条件
各クライアントPCがインターネットに接続できること

メリット
定義ファイルを配布するミラーサーバを別途用意しなくて良い

デメリット
インターネットへのトラフィックが高くなる

こんな場合に便利
クライアントPCの台数が少ない場合

定義ファイルの更新方法 その2
各クライアントPCが社内サーバ(ミラーサーバと呼ぶ)経由でアップデート

説明
社内に定義ファイルを配布するミラーサーバを用意する。各クライアントPCはそのサーバから定義ファイルをアップデートする。HTTP経由または、共有フォルダ経由でアップデートできる。通常はHTTP経由で良い。
ミラーサーバには、ESET Remote Admiistratorだけでなく、ESET Endpoint アンチウイルス、ESET File Security for Microsoft Windows Serverなどでも構築可能。

条件
ミラーサーバで以下のポートの通信を許可する
  2221(TCP)

メリット
インターネットへのトラフィックが少ない

デメリット
定義ファイルを配布するための、24時間稼働するマシンを用意しなくてはならない。

こんな場合に便利
クライアントPCの台数が多い場合

サーバ側の指定


クライアント側の設定(管理サーバからポリシー設定可能)

定義ファイルの更新方法 その3
USBメモリやCDを使って配布する

説明
USBメモリなどの定義ファイルをコピーし、クライアントPCに接続してアップデートする。ミラーサーバで作成された定義ファイルをUSBメモリにコピーする

条件
ミラーサーバは必要

メリット
オフライン環境でも定義ファイルをアップデートできる

デメリット
手動作業なため面倒

こんな場合に便利
クライアントPCが社内ネットワークに接続されていないとき



バージョンアップ方法の評価

ESET の旧バージョンから、最新バージョン(Ver.5)へのアップデートは簡単だ。

基本的には、ESET Endpoint Security、ESET Endpoint アンチウイルスなど製品はいずれも、既存製品をアンインストールすることなく、上書きインストールできる。他社のように設定ファイルを変更したり、アンインストールしたりする必要はない。

ただし、ESET NOD32アンチウイルスからESET File Security for Microsoft Windows Server へアップデートする場合に限って、ESET NOD32アンチウイルスのアンインストールが必要である。




デバイス制御の評価

ESETのデバイス制御機能は、USBメモリなどのディスクストレージ、CD/DVDドライブなどの光学式ドライブ、スキャナやカメラなどのイメージングデバイスなどのデバイス制御をおこなうことができる。

スマートフォンの制御については不明だが、「デバイスコントロール機能 紹介資料 2014/8/7(注意:PDF)」の冒頭に以下のように書かれてあるため、おそらく対応していると思われる。詳細は提供元のキヤノンITソリューションズに確認して欲しい。

「近年、スマートフォンやメディアプレーヤーの普及により、それらのデバイ スをユーザーが社内に持ち込むケースが増えております。(略)ESET Endpoint Security および ESET Endpoint アンチウイルスでは、(略)デバイスを制限することができます。」

また、コンピューター名やIPアドレス範囲、グループなどによって、デバイス制御のルールを変えることも可能だ。

リムーバブルディスクをブロックするには、管理コンソールからポリシーで設定すると良い。

余談だが、ポリシーを使えば、ファイアウォールや迷惑メールなどの設定を集中管理することができる。





ウイルス対策性能・価格の評価

ESETセキュリティ製品のウイルス(マルウェア)対策性能は良い。

性能や価格についての詳細は、トップページの「企業向けセキュリティソフトの比較表」をご覧いただきたい。



最後に

ESET Endpoint Security、ESET Endpoint アンチウイルスは企業版といっても、クライアントの機能は家庭版とほとんど変わらない。10台程度しかクライアントPCがないのであれば、家で使うように、添付されてくるCD-ROMからインストールするだけでも使える。初心者には使いやすい製品であると言える。

また、管理サーバを利用することによって、クライアントを集中管理することもできる。クライアントがおおよそ20台以上になると管理サーバを導入したほうが運用がかなり楽になる。管理サーバはサーバ用OSでなければインストールできないが、できれば導入しておきたい。これによりインストールや、ポリシーの設定、定義ファイルの確認などが非常に楽になる。

ESETセキュリティ製品は、企業向けの機能が少ない。例えば、URLフィルタリングや、アプリケーション実行制御、ネットワークアクセス制御(検疫)などはない。このような機能を特別用意しなくてもウイルス検索エンジンで、ある程度防ぐことはできる。中小企業などはESETの機能で十分であると考える。

ただ、大企業では物足りないと考えるかもしれない。その場合は、専門のゲートウェイ製品を併用すれば良い。URLフィルタリングであればWEBGUARDIAN等を、アプリケーション実行制御であればFortiGate等がある。こうした専門ソフトを組み合わせて使うほうが、セキュリティソフト1社の機能を使うよりも、よりセキュリティを強固にできる。 しかも、先ほど紹介した製品は、ESET提供元のキヤノンITソリューションズで販売しており、ESETと合わせて導入することが可能だ。キヤノンITソリューションズはそもそもSIerであるため、総合的なセキュリティ対策を相談できる。




見積もり/問い合わせ

企業・官公庁・教育機関向け ESETライセンス製品


免責

ここに記載された情報の正確さに責任は持てませんのでご了承下さい。最終的には体験版を試すか、またはメーカーに問い合わせください。