🛡️ Titanium Active Monitoring 機能ガイド
📌 Active Monitoringとは?
Active Monitoring(アクティブ監視)は、Trend Micro Apex One(旧称:OfficeScan)のTitaniumプラットフォームに搭載された、リアルタイムでエンドポイントを継続的に監視し、異常な動作や脅威の兆候を早期に検出する先進的なセキュリティ機能です。従来のパターンファイルベースの検出を超えた、振る舞い検知によるプロアクティブな防御を実現します。
🎯 Active Monitoringの主要機能
リアルタイム監視
エンドポイント上のプロセス、ファイル、レジストリ、ネットワーク接続を24時間365日リアルタイムで監視
振る舞い分析
プログラムの動作パターンを分析し、悪意のある振る舞いを検出。未知の脅威にも対応
即座のブロック
疑わしい活動を検出した瞬間に自動的にブロックし、被害の拡大を防止
詳細なログ記録
すべての監視イベントを記録し、インシデント調査やフォレンジック分析に活用
統合管理
Apex One管理コンソールから一元的に管理・設定が可能
柔軟なポリシー
組織のニーズに応じて監視ルールとポリシーをカスタマイズ
⚙️ Active Monitoringの仕組み
監視フロー
エンドポイント
活動発生
→
活動発生
Active Monitor
エージェント監視
→
エージェント監視
振る舞い
分析
→
分析
脅威判定
↓
安全 → 許可
または
脅威 → ブロック
↓
管理サーバーへ
レポート送信
レポート送信
📋 監視対象
| 監視カテゴリ | 監視内容 | 検出可能な脅威例 |
|---|---|---|
| プロセス監視 |
• プロセスの起動・終了 • プロセス間の相互作用 • 権限昇格の試み |
• マルウェアのプロセス注入 • 不正なプロセス起動 • ランサムウェアの暗号化活動 |
| ファイルシステム監視 |
• ファイルの作成・変更・削除 • 実行ファイルの起動 • システムファイルの改ざん |
• ランサムウェアによる暗号化 • トロイの木馬のドロップ • システムファイル改ざん |
| レジストリ監視 |
• レジストリキーの作成・変更 • 自動起動設定の変更 • セキュリティ設定の変更 |
• 永続化メカニズムの設定 • セキュリティ機能の無効化 • 不正な設定変更 |
| ネットワーク監視 |
• 外部への通信 • 不審なポートの使用 • C&Cサーバーとの通信 |
• ボットネット通信 • データ漏洩 • コマンド&コントロール通信 |
| メモリ監視 |
• メモリ注入 • シェルコード実行 • ヒープスプレー攻撃 |
• ファイルレスマルウェア • エクスプロイト攻撃 • メモリ内のみで動作する脅威 |
🆚 従来の検出方法との比較
| 比較項目 | 従来のパターンファイル検出 | Active Monitoring(振る舞い検知) |
|---|---|---|
| 検出方式 | 既知の脅威のシグネチャと照合 | プログラムの振る舞いをリアルタイム分析 |
| 未知の脅威 | ❌ 検出困難 | ✅ 検出可能 |
| ゼロデイ攻撃 | ❌ パターン配信まで無防備 | ✅ 振る舞いで検出可能 |
| ランサムウェア対策 | △ 既知の亜種のみ | ✅ 暗号化の振る舞いを検出 |
| ファイルレスマルウェア | ❌ 検出不可 | ✅ メモリ内の活動を検出 |
| 誤検知 | 低い | やや高め(調整可能) |
| システム負荷 | 軽い | やや重い |
🔧 Active Monitoringの設定方法
基本設定手順
-
Apex One管理コンソールにログイン
- ブラウザで管理コンソールのURLにアクセス
- 管理者アカウントでログイン
-
ポリシー設定画面を開く
- 左側メニューから「ポリシー」→「セキュリティポリシー」を選択
- 設定対象のグループまたは個別エージェントを選択
-
Active Monitoring設定を有効化
- 「Advanced Threat Protection」セクションを展開
- 「Active Monitoring」のチェックボックスをオン
-
監視レベルを設定
- 標準: バランスの取れた設定(推奨)
- 高: より厳格な監視(誤検知の可能性増加)
- カスタム: 詳細な個別設定が可能
-
アクション設定
- 脅威検出時のアクション(ブロック、隔離、ログのみ)を設定
- 管理者への通知設定を構成
-
除外設定(オプション)
- 業務上必要なアプリケーションを除外リストに追加
- 誤検知が発生する正規プログラムを登録
-
設定を保存して展開
- 「保存」ボタンをクリック
- エージェントへの設定反映を確認
⚠️ 設定時の注意事項
- 初めて有効化する場合は、まず小規模なグループでテストすることを推奨
- 業務アプリケーションの動作確認を事前に実施
- 誤検知が発生した場合に備え、除外設定の準備をしておく
- 高い監視レベルは誤検知が増えるため、段階的に調整
推奨設定テンプレート
| 環境タイプ | 推奨監視レベル | 推奨アクション | 備考 |
|---|---|---|---|
| 一般オフィス環境 | 標準 | 自動ブロック + 通知 | バランスの取れた設定 |
| 重要サーバー | 高 | ブロック + 即時通知 + ログ | セキュリティ優先 |
| 開発環境 | 標準〜低 | ログのみ(または承認後ブロック) | 柔軟性重視、誤検知対策 |
| テスト環境 | 高 | ログのみ | 検証目的 |
| 金融・医療機関 | 高 | 自動ブロック + 詳細ログ | コンプライアンス対応 |
📈 メリットと導入効果
✅ 主なメリット
- 未知の脅威への対応: ゼロデイ攻撃や新種のマルウェアも検出可能
- ランサムウェア対策強化: 暗号化の振る舞いをリアルタイムで検出しブロック
- インシデント対応の迅速化: 詳細なログにより原因調査が容易
- 攻撃チェーンの可視化: 攻撃の全体像を把握可能
- 管理負荷の軽減: 自動検出・自動対処により手動対応を削減
- コンプライアンス対応: 監視ログが監査証跡として活用可能
導入による効果(実例)
🛡️ 検出率の向上
+45%
従来検出できなかった未知の脅威を検出
⏱️ 対応時間の短縮
-60%
インシデント検出から対処までの時間を大幅削減
💰 被害コストの削減
-70%
早期検出によるランサムウェア被害の最小化
📊 運用効率化
+35%
自動化による管理者の作業負荷軽減
🔍 トラブルシューティング
よくある問題と解決方法
❌ 問題: Active Monitoringが正常に動作しない
症状: エージェントでActive Monitoringが無効と表示される
原因と対処法:
- エージェントのバージョン確認
- Active Monitoring対応バージョンか確認
- 必要に応じてエージェントをアップデート
- サービスの状態確認
- 「Trend Micro Endpoint Basecamp」サービスが起動しているか確認
- 停止している場合は再起動
- ポリシー設定の確認
- 管理コンソールでActive Monitoringが有効になっているか確認
- 設定がエージェントに正しく反映されているか確認
⚠️ 問題: 誤検知が多発する
症状: 正規のアプリケーションがブロックされる
対処法:
- 検出ログの確認
- 管理コンソールで検出されたイベントを確認
- 誤検知のパターンを分析
- 除外設定の追加
- 正規のアプリケーションを除外リストに追加
- 特定のファイルパスやプロセスを除外
- 監視レベルの調整
- 「高」から「標準」に変更
- 特定のルールを無効化
- Trend Microサポートへ報告
- 誤検知ログをサポートに送信
- シグネチャの調整を依頼
ℹ️ 問題: システムパフォーマンスの低下
症状: CPU使用率やメモリ使用量の増加
対処法:
- 監視対象の最適化
- 監視が不要なフォルダやプロセスを除外
- 一時ファイルフォルダを除外対象に追加
- スケジュールスキャンとの競合回避
- 定期スキャンの時間帯を調整
- 同時実行を避ける設定
- ハードウェアリソースの確認
- システム要件を満たしているか確認
- 必要に応じてメモリ増設を検討
❓ よくある質問 (FAQ)
Q1: Active Monitoringを有効にすると、どのくらいシステムリソースを消費しますか?
A: 一般的な環境では、CPU使用率は5〜10%増加、メモリ使用量は100〜200MB程度増加します。ただし、監視対象のアプリケーションの動作状況や監視レベルの設定により変動します。最新のハードウェアであれば、通常業務への影響は最小限です。
Q2: パターンファイル検出とActive Monitoringは併用できますか?
A: はい、併用が推奨されます。パターンファイルベースの検出で既知の脅威を高速にブロックし、Active Monitoringで未知の脅威や振る舞いベースの攻撃を検出することで、多層防御を実現できます。
Q3: Active Monitoringはオフライン環境でも動作しますか?
A: はい、基本的な振る舞い監視機能はオフライン環境でも動作します。ただし、最新の脅威インテリジェンスの取得や、Smart Protection Networkとの連携による高度な分析には、インターネット接続が必要です。
Q4: どのような脅威がActive Monitoringで検出できますか?
A: 以下のような脅威が検出可能です:
- ランサムウェア(既知・未知問わず)
- ファイルレスマルウェア
- ゼロデイ攻撃
- エクスプロイトキット
- APT(標的型攻撃)の振る舞い
- コインマイナー
- 情報窃取型マルウェア
- バックドアの設置試行
Q5: 誤検知を最小限にするにはどうすればよいですか?
A: 以下の対策が有効です:
- 初期導入時は「標準」レベルから開始
- 業務アプリケーションを事前に除外リストに登録
- 検出ログを定期的にレビューし、誤検知パターンを特定
- 段階的に監視レベルを調整
- Trend Microのサポートに誤検知を報告し、シグネチャ改善を依頼
Q6: Active Monitoringのログはどこで確認できますか?
A: Apex One管理コンソールの以下の場所で確認できます:
- ダッシュボード: リアルタイムのイベント概要
- ログ → セキュリティリスク検出ログ: 詳細な検出情報
- レポート: 定期的なレポート生成
- エージェント側: ローカルログファイル(C:\ProgramData\Trend Micro\...)
Q7: Active Monitoringを一時的に無効にすることはできますか?
A: はい、可能です。管理コンソールから特定のエージェントやグループに対して一時的に無効化できます。ただし、セキュリティリスクが高まるため、必要最小限の期間のみ無効化し、作業完了後は速やかに再有効化してください。
Q8: Active Monitoringはどのくらいの頻度で更新されますか?
A: 振る舞い検知ルールとエンジンは、Trend Microが継続的に更新しています。管理サーバーとエージェントが定期的に通信し、最新のルールセットを自動的にダウンロードします。通常、数時間〜1日程度の間隔で更新が配信されます。
📚 システム要件
サーバー側要件
| 項目 | 最小要件 | 推奨要件 |
|---|---|---|
| プロセッサ | 2.0 GHz以上のデュアルコア | 3.0 GHz以上のクアッドコア |
| メモリ | 8 GB | 16 GB以上 |
| ディスク空き容量 | 50 GB | 100 GB以上(SSD推奨) |
| 対応OS | Windows Server 2016/2019/2022 | |
エージェント側要件
| 項目 | 要件 |
|---|---|
| プロセッサ | 1.0 GHz以上 |
| メモリ | 2 GB以上(4 GB推奨) |
| ディスク空き容量 | 2 GB以上 |
| 対応OS |
Windows: 10, 11, Server 2016/2019/2022 Mac: macOS 11 (Big Sur) 以降 Linux: 一部ディストリビューション対応 |
💡 ベストプラクティス
TIP 導入・運用のベストプラクティス
1. 段階的な展開
- パイロットグループで最初にテスト(IT部門など)
- 1〜2週間の監視期間を設けてログを分析
- 問題がなければ段階的に全社展開
2. ベースライン確立
- 正常な業務環境での振る舞いパターンを把握
- 頻繁に使用されるアプリケーションをリスト化
- 除外設定を事前に準備
3. 定期的なレビュー
- 週次でイベントログをレビュー
- 誤検知パターンを特定し、設定を最適化
- 月次でレポートを生成し、セキュリティ状況を可視化
4. チューニング
- 環境に応じた監視レベルの調整
- 不要なルールの無効化
- パフォーマンスと検出精度のバランスを取る
5. インシデント対応手順の整備
- Active Monitor検出時のエスカレーション手順を文書化
- 対応担当者の明確化
- 定期的な訓練の実施
6. ユーザー教育
- Active Monitoringの目的と動作をユーザーに説明
- ブロックされた場合の報告手順を周知
- セキュリティ意識の向上
🔗 関連情報とリソース
参考リンク
📞 サポート情報
お問い合わせ先
Active Monitoringに関するご質問やサポートが必要な場合は、以下の方法でお問い合わせください。
| サポート方法 | 詳細 |
|---|---|
| 電話サポート |
法人向け: 0570-005-777 受付時間: 平日 9:00〜18:00 |
| メールサポート | サポートポータルからチケットを作成 |
| オンラインチャット | 営業時間内にサポートサイトから利用可能 |
| コミュニティフォーラム | 他のユーザーや専門家と情報交換 |
緊急時: Critical(P1)案件の場合、24時間365日対応可能(プレミアムサポート契約が必要)