トップページ»3.4.製品»Symantec Endpoint Protectionを試してみた

3.4.製品



Symantec Endpoint Protectionを試してみた

Symantec Antivirus Corporate Edition(SAVCE)の後継製品、Symantec Endpoint Protection11.0(SEP)を試してみた。 名前は新しいのにバージョンは11から始まるのはSAVCEの後継製品ですよ的なところだろう。

元々SAVCEを使用していたこともあり、またメンテナンス/サポート契約を結んでいればSEPへの移行はOKということなので、全面的に移行を意識して試してみることに。(結論言っちゃうと全面移行は見送りでとりあえず部分移行かな。)

色々試してみた中で、主だった&気になった部分だけ抜粋する形でレポート。




SEPの入手

サポート契約している場合、ウェブサイトからダウンロードできるのでそこから入手してみた。 SEPのアーカイブは2つあって、CDに焼くことを前提にサイズ調整してある。 ちなみに中身はisoではなく、ファイルやフォルダで構成される形態なのでCDに焼かなくてもファイル共有とかすればサーバー等にもそのままインストールできる。(この辺は昔からだね)

管理サーバーに関して

SAVCEではSymantec System Center(SSC)という名だった管理サーバーはSymantec Endpoint Protection Manager(SEPM)という名に変わった。 1次サーバー、2次サーバーという表現はなくなり、単体でも複数台でも配備可能、またミラーリングや冗長化構成もとれる。 それから任意のクライアントをGroup Update Provider(GUP)として任命?すると、同じグループのクライアントへのシグネチャとコンテンツを配布できるようになる。 これは小さい拠点には使えるかも。

SSCからのアップグレードは可能とある。 でも移行できない部分もあるみたいだし、1次サーバー2次サーバーがどういう風に変化するのか良くわからない。(もう少し調べてみます)

SEPMは各種データを保管するのにデータベースを利用する。 使用できるのは同梱される埋め込みデータベース、又はMicrosoft SQL Server 2000/2005。 但し2000は英語版Windowsのみサポートとある。

サーバーの必要スペックは構成によって異なる。 32bitOSの場合でSEPM+埋め込みデータベースだとCPUはPentium3の900MHz以上、メモリは2G以上、ハードディスクは2G以上の空き。 データベースをMSSQLにした場合でSEPM単体だと、Pentium3/600MHz、512M、600Mという感じ。 埋め込みデータベースがかなりメモリ食いらしい。 ちなみに各種VMwareにも対応しているとの事。

残念ながら今回テストということもあり、MSSQL2005は用意がなく、またハードウェアも要件を満足できるものがなかった。(いつもだけど) とりあえず用意できるのはXeon3G(デュアルCPU)、メモリ2G、しかもVMware配下のゲスト。(泣) 実際のゲストの構成はシングルCPU、メモリ1G、ディスク40G、OSはWin2003STDとして、SEPMとSEPMコンソールをインストール、結果としてコンソールの動作は激重となった。(当然か) でもまぁ動くことは動きました。 ただクライアント増えてくると無理でしょうね…

パフォーマンスメーターとか見てて思ったんですけど、埋め込みデータベース使う場合メモリが結構肝っぽいです。 ちなみに1000台以上のクライアント管理する場合はMSSQL必須らしいです。(こっちだと50,000台まで) 埋め込みデータベースで初めて後からMSSQLにマイグレートするのは可能らしいですが、余計なトラブルを避けたいならば最初からMSSQLで組んじゃったほうが良い様な気がしました。

ていうか埋め込みデータベースのパフォーマンスちょっと悪くありません? DBが悪いのかはたまたアプリケーションが悪いのか分かりませんが。

2007-12-10追記:
いや、メモリも重要だけど、SEPMは単に激重なだけな気がしてきました。 スワップアウトしてない状態でも重いし、結構頻繁にCPU100%とかなってます。 作りの問題か? とてもPentium3 900MHzで動くとは思えません。

SEPMコンソールについて

SEPMの管理(クライアントに対するポリシーの適用など)はSEPMコンソールから行う。 SAVCEで言うところのSSCコンソールに該当。

クライアント自体はJAVAで作られている。 サーバーで作業することもできるし、クライアントにSEPMコンソールだけ入れてリモートメンテナンスもできる。 クライアントへのインストールはブラウザで行う。 インストール用のURLにアクセスすると、JAVAランタイムとSEPMコンソールがインストールされる仕組み。 一度インストールしてしまえばWindowsのスタートメニューから起動可能。

クライアントへのインストールを実際にやってみたところ、クライアント側に既にJAVAランタイムが入っている場合うまくいかないケースがある事が分かった。 私のPCにはJRE6が入っていたのだが、これが入っているとインストールが始まらない。 調べてみるとSEPMコンソールはJRE6には未対応とのこと。 実際にJRE6をアンインストールしてみたら問題なくインストールできた。 しかし…これはどうなんでしょう。 まぁリモート管理しなきゃいいだけなので良いですけど。(やりたければRDPとか使っても良いしね) ちなみにクライアントとサーバー間はデフォルトでSSL通信しているっぽいです。 オレオレ証明書画面出ました。

SEPMコンソールはSSCコンソールから比べると随分と変わった…というか全くの別物です。 まぁ全面刷新してシステム名まで変わっている訳だから当然といえば当然ですか。 とはいえ、インターフェース的にはさほど分かりづらいところはありませんでした。 ただ、欲しい機能を探すのに手間取る感がありますが、これは慣れでしょうね。

しかし目立つのは動作の重さ。 ため息が出ます。 勿論要求スペック以下でやってるからでしょうが…やっぱりSEPMにはちゃんとしたサーバーが必須ですね。

クライアントのロケーション

SEPではクライアントがいる場所の管理ができる。 例えば社内LANにいるのか、インターネット上にいるのかというのをクライアント自身が自動判別し、それに応じて自身のポリシーを随時変更するように構成できる。

これが生きるのは主に内外に持ち歩きするモバイルだと思うが、特にネットワーク脅威の設定(クライアントファイアウォール)と組み合わせると結構使える。 外からの通信も中からの通信も制御できるし。

ロケーションの設定は自分で任意に設定できる。 場所の判別は、

  • コンピュータのIPアドレス
  • ゲートウェイのアドレス
  • WINSサーバーのアドレス
  • DNSサーバーのアドレス
  • DHCPサーバーのアドレス
  • ネットワーク接続の種類
  • 管理サーバー接続
  • TPM(Trusted Platform Module)
  • DNSルックアップ
  • レジストリキー
  • 無線 SSID
  • NICの説明
  • ドメイン名

で、これらをAND又はORで組み合わせて判別させることが出来る。

上から5番目まではDHCPでIP割当されることが前提かな。 管理サーバー接続はSEPMと通信できるか。 DNSルックアップは社内でしか解決されるはずがない名前を利用する感じか。(ちなみにDNSはファイアウォールでブロックしても、リゾルバに割り当てられたDNSに対してだけはクエリしていいよ設定も可能、というかデフォルトでそうなってる) NICの説明は例えばWindowsでipconfig /allした際のDescriptionの文字列かな。(未確認)

といったように正確な判断が出来るようになっている。 問題は条件によってはタイムラグが大きくなりそうかもといったところだろうか。(例えば名前解決とか、又は複合条件が多いとか)

ちなみにデフォルトでは4秒おきにチェックするようになっているみたい。(変更可能) 試してみた感じとしては管理サーバー接続+DNSルックアップで最短3~4秒、最長1分程度で切り替わるという感じでした。 ネットワークの速度やPCの負荷状況にも大きく影響します。 でも適切な設定さえしていれば十分実用に耐えると思います。

管理(内)と管理外

SAVCEと同様、クライアントは管理と管理外どちらでもインストールできる。 管理はSEPM配下、管理外は独立という感じ。 管理用のインストーラーは任意のインストーラーを作成可能で、全機能を搭載することもできるし、機能を削ったものを作ることもできる。 インストーラーは複数作成することができて、グループに応じて別のものをインストールさせるようにできる。

一方管理外の方はというと普通のセキュリティソフトウェアと同様、インストールする人が好きな構成でインストールしたり設定を変更したりできる。 実際にインストールを試してみたのだが、ネットワーク脅威防止の画面を見てびっくり。 モロSygate Personal Firewallだった。 ネットワーク活動の監視画面やログはそっくりそのまま使われている。 と思う。 (実はSygateがSymantecに買収された時パーソナルファイアウォール難民になった一人です)

ちなみにクライアント側の動作はSAVCEより重くなった感じ。 古いクライアントでは厳しいかも。

プロアクティブ脅威スキャン

「ヒューリスティックを使って未知の脅威に対応します」とあるが、SAVCEの時から本当に効いているのか?という感想を持っていた。

今回タイムリーにたまたまウイルスと思わしきファイルを持っていて(笑)、それがカスペルスキーではウイルスと判定されているのにSEPでは正常(感染なし)と判定された。(2~3週間後SEPでもウイルスと検知された) そんなこともあって、正直信用してません。 気休め程度だと思ってます。 これが原因で動作が重いというのであれば外したいくらい。

個人的にはそっちよりシグネチャの強化及び高速化をしてほしいと思ってます。 ベーシックに。

と、ここまで思いつくまま書いてみたが、現時点での感想としては「良く出来てる、モバイル環境で使いたい、でも全展開は今は無理」というところです。 サーバーの必要なスペックを考えると現時点で点在しているSSCを全部リプレースする必要もある。 場合によってはMSSQLも全拠点に入れていく必要がある、となると予算化しなきゃ。 古いPCでは重くて苦情オンパレードになりそう…等々。

まぁ何より「バージョンアップすればもう少しよくなるんじゃないのか?」という淡い期待もありまして。(笑)

2008-01-21追記:
色々なPCにSEPクライアントをインストールしてみてますが、メモリは最低の最低で512Mbyte、最低で1Gbyteは必要だと思います。 256Mbyteで試してみましたが、重すぎてコンピューターとして機能しません。(汗)

2008-02-18追記:
今朝PCを起動後、「今日はやたらと動作が軽いなぁ」と思って調べてみたら、ログに以下を発見。

Symantec Endpoint Protection Auto-Protect はロードできませんでした。

クライアントの動作が遅いのはAuto-Protectが原因、というのは良いのですが、もしこの問題が頻発する可能性を秘めているとしたら怖いな…と。 特にエンドユーザーは起動してようがしてまいが関係なく使いますから。

他のサービスとの関係もあるかもしれませんが、ユーザーに使用させるのちょっと不安になってきました。

まだまだ書いていない部分は沢山ある(又はパッと思い出せない)んですが長くなってきたのでとりあえずここで。 必要に応じてアップデートします。(かも)


投稿日 : 2007年12月 6日

この記事に関する言及

このエントリーのトラックバックURL:
http://akionweb.com/mt-tb.cgi/424

コメント

こんにちは。
symantec は、SAVCEに比べて
SEPはメモリの使用量が少ないようなことを言っていますが、コレは間違いなのですか?

このブログで、”確認”を押してから投稿しようとすると、
”不必要なコメントの投稿を防ぐために、連続した投稿を受け付けないように設定しています。しばらくしてから、もう一度試してみてください。”
とか言う、わけ解らないメッセージが出ますね。CAPTCHAの文字も読みにくいし。

投稿者 ac : 2008年2月 4日 17:30

acさんはじめましてこんにちは。

あくまで私が試してみた結果の話ですので、Symantecさんが謳っている特長についてはなんとも言えません。

ただ既に数十台のクライアントで実験してみた結果を元に書いていますので、こちらの環境がまずいだけだとは考えにくく、私としてもなぜなのだろうと疑問に思っています。

投稿の件に関しては気が付いてませんでした。(汗) 後で時間があるときにでも確認してみます。 情報有難うございました。

投稿者 AKI ON WEB : 2008年2月 4日 18:39

こんにちは、acです。
私も数台のPCにインストールしてみました。
WindowsXPで、休止モードから復旧したときに、smc.exe がコケたりしますね。
最悪なのは、Windows2000のPDCにSEPを管理外クライアントとしてインストしたときです。
再起動後の”ネットワークの接続を開始しています”の表示からダンマリになってしまいました...
セーフモードで再起動して、SEP関係のサービスを総て無効にして再起動したら、通常起動しましたので、
もうすぐにアンインストールしちゃいました。

まだまだSAVCEに比べて安定性に欠けるような気がします。

投稿者 ac : 2008年2月 5日 10:49

acさん

情報有難うございます。

まず最初に重要なことを書き漏らしていましたので補足を。 こちらで検証しているOSは全てXPで、SEPクライアントのバージョンは11.0.780.1109です。

私のほうで把握しているSEPクライアントの問題としては、

1)休止モードに入る際フリーズする(ていうか電源が落ちない)ことがある
2)休止モード→復旧を繰り返すとSEPの挙動がおかしくなる事がある(SEPサーバーに接続しなくなったり、場所の判定がおかしくなったり)
3)ネットワーク関係の設定(IP変更等)後OKをクリックをすると設定画面がフリーズし閉じなくなる事がある
4)アンインストールに失敗してボロボロになる事がある

個々の対応状況ですが、1は電源長押し(汗)、2は再起動、3も再起動、4はOS再インストールという感じです。 安定性はまだまだですね。 ちなみにクリーンインストールした直後でも上の他の問題は再現します。

それからSEPクライアントが重い件ですが、acさんの方はどうですか?

投稿者 AKI ON WEB : 2008年2月 5日 11:23

こんにちは、ac です。
SEPのクライアントなのですが、クライアントパッケージを作るときに、
1.総ての機能
2.ウイルス対策とスパイウエア対策のみ
3.ウイルス対策とスパイウエア対策・プロアクティブのみ
4.ネットワーク脅威防止のみ
と、何種類かのパッケージを作れますが、
SAVCEと比べてメモリ使用量が低いと言うのは、2とか3との比較なのかなと思い始めました。
2とか3だけの機能のインストールは行っていないので、今度試してみます。

それにしても、SAVCEと比べると起動時間が長いこと長いこと...

投稿者 ac : 2008年2月 5日 16:04

acさんこんにちは。

正直SAVCEとのメモリ使用量の違いまで検証できていないのですが、SEPの場合メモリの容量が動作速度に大きく影響すると思っています。

Symantecが謳っている最小P3-300MHz、256Mbyte以上のRAMという構成。 本文中にも書きましたが、CPUはそれ以上、メモリは256Mで検証したところ、起動は激重、起動後の動作も激重で、とても業務使用できるものではありませんでした。 つまりこの最小構成は「そのリソースはSEPが確実に使い切るよ」という意味なのでしょう。

その後そのPCに512Mbyte追加したところ、かなり快適に動作するようになりました。(あたりまえかもですが)

また別のPCで標準で512Mbyteのメモリを搭載しているものは、業務上支障は無いが、なんとなく引っ掛かりがあったり、遅いという感じ。

以上のような結果から仕事で使用する場合のメモリは最低の最低で512M、他のアプリケーションを考慮すると最低で1Gと書いています。

あくまで私個人の主観です。 念のため。

投稿者 AKI ON WEB : 2008年2月 5日 18:17

補足です。

ちなみに私の方でもクライアントパッケージを色々と組み合わせて検証したときがありましたが、あまり動作速度に影響が現われませんでした。

なので結局完全なパッケージにしておいた方が無難かなという結論で現状います。

投稿者 AKI ON WEB : 2008年2月 5日 19:48

レポートありがとうございます。大変参考になります。

SEPは私も以前から試しています。以前のSAVCEは管理内で使っていたので、SEPも同様に使おうと思ったのですが、AKIさんのおっしゃる通り、管理ツールが滅茶苦茶重くて、どうしたもんかなという感じです。こんな重いもんを入れられるサーバなんか、我が社には無いぞー!

仕方ないので、管理外で使おうかなとも思っているのですが、これはこれで問題が。ファイアウォール機能が微妙に安定せず、正しくポートを開けても通信できたりできなかったり、通信開始までに時間かかったりで、あまり快適ではありません。あと、daemon toolsの仮想SCSIコンポーネントを壊すことがあったのもちょっと困りました。なので、せっかくの新機能ですが、今のところアンチウィルス機能しか使ってません。

アンチウィルスの動作ですが、SAVCEよりも重いですね。メール受信にかかる時間が格段に増えました。個人的には、SAVCEでいいじゃないか…という感じですが、今後はメンテされなくなっていくんですかねえ。。

駄文失礼しました。。

投稿者 しまりん : 2008年4月12日 16:39

しまりんさんこんにちは。

SEP及びSEPMの動作速度やメモリ使用量に関してはカタログベースと実際が大きく違っている感じですよねぇ。 なぜなんでしょう…

残念ながら今現在もSAVCEからの全面移行は全くに近い感じで考えられません。(^^;) やろうとしている事は概ね気に入っているのですが、肝心の出来が…私も当面はSAVCEがメインという判断です。

買収を重ね、個々の技術を無理やりくっつけた結果なんじゃないか?なんて思ってしまいます。(^^;)

まぁ今後のバージョンに期待ですね。 でもあまり変化無い様だったら乗り換えも考えちゃうかもしれません。 似たような奴が出たら。

投稿者 AKI ON WEB : 2008年4月12日 17:21

このページに対する感想、意見をお寄せ下さい。




保存しますか?

(書式を変更するような一部のHTMLタグを使うことができます)

おことわり

当サイトに掲載している全ての情報は、全て当サイト管理者が個人的、実験的に試した事、又は独自に調査したものです。 従ってその情報に誤りがある可能性も多分にあります。 当サイトの情報をそのまま鵜呑みにされませんようお願い申し上げます。 また当サイトの情報を元に作業されたりする場合はそれをご理解頂いた上で、あくまで自己責任の元で行ってください。

トップページ»3.4.製品»Symantec Endpoint Protectionを試してみた