このシナリオの手順に従って、管理サーバーを導入し、ネットワークに接続されたデバイスにネットワークエージェントとセキュリティ製品をインストールできます。このシナリオによって、本製品の詳細を確認したり、今後の作業のためにアプリケーションをインストールしたりできます。
Kaspersky Security Center のインストールは次の手順で実行します:
Kaspersky Security Center のクラウド環境への導入とサービスプロバイダーによる Kaspersky Security Center の導入は、別のヘルプセクションで説明されています。
管理サーバーのインストールに少なくとも 1 時間、シナリオの完了に少なくとも 1 営業日を割り当てることを推奨します。Kaspersky Security Center 管理サーバーとして機能するコンピューターにも、Kaspersky Security for Windows Server や Kaspersky Endpoint Security などのセキュリティ製品をインストールしてください。
シナリオの手順が完了すると、組織のネットワークに保護が次のように導入されます:
Kaspersky Security Center のインストールシナリオは、次の手順で進みます:
準備作業
Kaspersky Security Center のライセンス(アクティベーションコード)またはカスペルスキーセキュリティ製品のライセンス(アクティベーションコード)があることを確認します。
販売代理店から受け取ったアーカイブを解凍します。このアーカイブには、ライセンス情報ファイル(key ファイル)、アクティベーションコード、各ライセンスでアクティベート可能なカスペルスキー製品のリストが含まれています。
Kaspersky Security Center を試用版で使用する場合は、カスペルスキーの Web サイトで 30 日間有効な試用版を取得できます。
Kaspersky Security Center に含まれないカスペルスキーセキュリティ製品のライセンスに関する詳細情報は、各製品のドキュメントを参照してください。
Kaspersky Security Center コンポーネントの詳細をご確認ください。組織に応じて最適な保護の仕組みとネットワークの設定を選択します。分散ネットワークを運用している場合、ネットワークの設定と通信チャネルのスループットに基づき、使用する管理サーバーの数と、使用する管理サーバーを組織内で分配すべき方法を定義します。
様々な運用状況で最適なパフォーマンスを実現し維持するには、ネットワークに接続されたデバイスの数、ネットワークのトポロジー、必要な Kaspersky Security Center の機能を考慮する必要があります(詳しくは Kaspersky Security Center サイジングガイドを参照してください)。
管理サーバーの階層を使用するかどうかを定義します。これを定義するには、すべてのクライアントデバイスを 1 台の管理サーバーでカバーすることが可能かつ有益か、または管理サーバーの階層を構築することが必要か、いずれかを評価する必要があります。また、保護対象のネットワークが属する組織の組織構造と同一の管理サーバーの階層を構築する必要がある場合があります。
モバイルデバイスの保護を確実にしなければならない場合は、Exchange モバイルデバイスサーバーと iOS MDM サーバーの設定に必要なすべての必須処理を実行します。
管理サーバーとして選択したデバイスと、管理コンソールのインストール用のデバイスが、すべてのハードウェアおよびソフトウェア要件を満たしていることを確認します。
組織の公開鍵インフラストラクチャ(PKI)で、特定の認証局(CA)によって発行されたカスタム証明書を使用する必要がある場合は、それらの証明書を準備し、すべての要件を満たしていることを確認してください。
Kaspersky Security Center をモバイルデバイス管理や SIEM システムとの連携、脆弱性とパッチ管理サポートとともに使用することを計画している場合、製品のライセンス管理に使用するライセンス情報ファイルまたはアクティベーションコードを持っていることを確認します。
保護導入の際、Kaspersky Security Center で管理する製品の有効なライセンスをカスペルスキーに提供する必要があります(管理可能なセキュリティ製品のリストを参照)。セキュリティ製品のライセンスの詳細は、該当する製品のドキュメントを参照してください。
ネットワーク上のデバイスの数を考慮して、DBMS と管理サーバーのハードウェア構成を計画します。
DBMS の選択時は、この管理サーバーによってカバーされる管理対象デバイスの数を考慮します。ネットワーク上のデバイスの数が 10,000 台より少なく、増加する見込みがない場合、SQL Express や MySQL などの無料の DBMS を選択し、管理サーバーと同じデバイスにインストールできます。または、最大 20,000 台のデバイスを管理できる MariaDB の DBMS を使用することも可能です。ネットワーク上のデバイスの数が 10,000 台より多い場合(または 10,000 台より多くなる見込みがある場合)、有料の SQL DBMS を選択し、専用のデバイスにインストールしてください。有料の DBMS では複数の管理サーバーを使用できますが、無料の DBMS では 1 つの管理サーバーしか使用できません。
SQL Server DBMS を選択する場合、MySQL、MariaDB、Azure SQL DBMS に保管されたデータを移行することができます。移行を実行するには、データをバックアップし、新しい DBMS へ復元します。
DBMS を使用するためのアカウントの詳細を確認し、DBMS をインストールします。
インストールの前に、サポート対象の DBMS を選択してください。たとえば、PostgreSQL、Postgres Pro、Microsoft SQL Server、MySQL、または MariaDB を選択できます。
選択した DBMS のインストール方法については、該当製品のマニュアルを参照してください。
PostgreSQL または Postgres Pro DBMS をインストールする場合は、スーパーユーザーのパスワードを指定したことを確認してください。パスワードが指定されていない場合、管理サーバーがデータベースに接続できない可能性があります。
MariaDB、MySQL、PostgreSQL、または Postgres Pro をインストールする場合は、DBMS が適切に機能するように推奨設定を使用してください。
管理サーバーのインストール時に DBMS の設定が必要になるので、書き留めて保存してください。この設定には SQL Server の名前、SQL Server 接続に使用するポートの番号、SQL Server へのアクセス用アカウント名とパスワードが含まれます。
既定では、Kaspersky Security Center は管理サーバー情報のデータベースを作成しますが、このデータベースを作成せずに、別のデータベースを使用することもできます。その場合、使用するデータベースが既に作成されていることと、データベースの名前を確認できること、管理サーバーがこのデータベースへのアクセスに使用するアカウントに db_owner ロールが付与されていることを確認してください。
詳細な情報が必要な場合は、DBMS の管理者へお問い合わせください。
選択したセキュリティ構成に従ったコンポーネント間の対話に必要なすべてのポートが開いていることを確認します。
インターネットアクセスを管理サーバーに提供する必要がある場合、ネットワーク設定に応じてポートを設定し、接続設定を指定します。
Kaspersky Security Center 管理サーバーの正常なインストールとその後のデバイスでの保護導入に必要なローカル管理者権限をすべて備えていることを確認します。クライアントデバイスのローカル管理者権限は、それらのデバイスへのネットワークエージェントのインストールのみに必要です。ネットワークエージェントのインストール後、デバイス管理者権限のあるアカウントを使用せずにネットワークエージェントを使用して、アプリケーションをデバイスにリモートでインストールすることができます。
既定では、Kaspersky Security Center インストーラーは、管理サーバーのインストールに選択されたデバイス上に次の 3 個のアカウントを作成します。そして、これらのアカウントで管理サーバーと Kaspersky Security Center が実行されます:
管理サーバーのサービスおよびその他のサービス用のアカウントを作成しない方法もあります。管理サーバーをフェールオーバークラスターにインストールする場合や、ローカルアカウントの代わりにドメインアカウントを使用する場合には、既存のアカウント(ドメインアカウントなど)を使用することも可能です。この場合、管理サーバーと Kaspersky Security Center の実行に使用するアカウントが間違いなく作成されていることを確認してください。さらに、このアカウントは特権アカウントではなく、DBMS へアクセスするために必要な権限をすべて所有している必要があります。(Kaspersky Security Center によるデバイスへのオペレーティングシステムの導入を計画している場合、アカウントの作成を省略しないでください。)
管理サーバーのデバイスに Kaspersky Security Center とカスペルスキー製品をインストールする
カスペルスキーの Web サイトから、Kaspersky Security Center をダウンロードします。完全なパッケージ、Web コンソールのみ、または管理コンソールのみをダウンロードできます。
選択したデバイス(複数の管理サーバーを使用する場合は複数のデバイス)に管理サーバーをインストールします。管理サーバーの標準インストールまたはカスタムインストールを選択できます。管理コンソールは管理サーバーと一緒にインストールされます。管理サーバーは、ドメインコントローラーではなく専用サーバーにインストールすることを推奨します。
ネットワーク内の小規模エリアで動作をテストするなど、Kaspersky Security Center の試用評価が目的の場合は、標準インストールを推奨します。標準インストール中は、データベースのみを設定します。また、カスペルスキー製品の既定の管理プラグインセットのみをさらにインストールできます。Kaspersky Security Center の使用経験があり、標準インストール後にすべての設定を適切に指定する方法を把握している場合は、標準インストールを使用することもできます。
共有フォルダーのパス、管理サーバーへの接続用アカウントおよびポート、データベース設定などの Kaspersky Security Center の設定を編集する場合は、カスタムインストールを推奨します。カスタムインストールでは、インストールするカスペルスキー製品の管理プラグインの指定ができます。必要に応じて、サイレントモードでカスタムインストールを開始できます。
管理コンソールとサーバー版のネットワークエージェントが管理サーバーとともにインストールされます。インストール中に Kaspersky Security Center Web コンソールのインストールも選択できます。
ネットワーク経由で管理サーバーを管理するために、必要に応じて、管理者用ワークステーションに別途管理コンソールまたは Kaspersky Security Center Web コンソール(またはその両方)をインストールます。
管理サーバーのインストールが完了すると、管理サーバーへの最初の接続時にクイックスタートウィザードが自動的に開始します。既存要件に従って、管理サーバーの初期設定を行います。初期設定段階中に、ウィザードが既定値設定を使用して、保護の導入に必要なポリシーとタスクを作成します。しかしながら、既定の設定は組織のニーズに対して十分ではない場合があります。必要に応じて、ポリシーとタスクの設定を編集できます(シナリオ:ネットワーク保護の設定、クライアント組織のネットワークでの保護の設定)。
基本機能に含まれない機能を使用する場合は、該当製品のライセンスを設定します。クイックスタートウィザードで実行する手順で、この設定を行えます。
これまでの手順が完了したら、管理サーバーがインストールされ使用の準備ができています。
管理コンソールが実行中であり、管理コンソールを使用して管理サーバーに接続できることを確認します。また、管理サーバーのリポジトリへのアップデートのダウンロードタスク(コンソールツリーの[タスク]フォルダー)と Kaspersky Endpoint Security のポリシー(コンソールツリーの[ポリシー]フォルダー)が使用できることを確認します。
確認が完了したら、次の手順に進みます。
クライアントデバイスでのカスペルスキー製品の一元的な導入
このステップはクイックスタートウィザードの一部です。デバイスの検索は手動で開始することもできます。Kaspersky Security Center は、ネットワークで検出されたすべてのデバイスのアドレスと名前を受信します。その後、Kaspersky Security Center を使用してカスペルスキー製品と他社製ソフトウェアを、検出されたデバイスにインストールできます。Kaspersky Security Center はデバイスの検索を定期的に開始するため、新しいインスタンスがネットワークに現れると、そのインスタンスは自動的に検出されます。
組織のネットワークに対する保護の導入時(シナリオ:ネットワーク保護の設定、クライアント組織のネットワーク保護の設定)には、デバイスの検索中に管理サーバーによって検出されたデバイスにネットワークエージェントとセキュリティ製品(Kaspersky Endpoint Security など)をインストールする必要があります。
セキュリティ製品は、ウイルスや、脅威をもたらす他のプログラムからデバイスを保護します。ネットワークエージェントは、デバイスと管理サーバー間の通信が確実に行われるようにします。ネットワークエージェントは自動的に設定されるようになっています。
必要に応じて、ネットワークエージェントをサイレントモードでインストールできます(応答ファイルの使用 / 不使用は問いません)。
ネットワーク接続されたデバイスへのネットワークエージェントとセキュリティ製品のインストールを開始する前に、それらのデバイスがアクセス可能である(電源が入っている)ことを確認してください。ネットワークエージェントを仮想マシンと物理デバイスにインストールできます。
セキュリティ製品とネットワークエージェントのインストールは、リモートでもローカルでも実行可能です。
リモートインストール – 製品導入ウィザードを使用して、管理サーバーによって検出された組織ネットワーク内のデバイスにセキュリティ製品(Kaspersky Endpoint Security for Windows など)とネットワークエージェントをリモートでインストールできます。通常は、ネットワーク接続されたデバイスのほとんどに、リモートインストールで保護を導入できます。ただし、デバイスの電源が入っていない場合や何らかの理由でデバイスにアクセスできない場合などにエラーが発生することがあります。この場合、手動でデバイスに接続してローカルインストールを使用してください。
ローカルインストール – リモートインストールで保護を導入できなかったネットワークデバイスに使用します。このようなデバイスに保護をインストールするには、デバイスのローカルで実行できるスタンドアロンインストールパッケージを作成します。
Linux オペレーティングシステムと macOS オペレーティングシステムを実行しているデバイスへのネットワークエージェントのインストールについてはそれぞれ、Kaspersky Endpoint Security for Linux と Kaspersky Endpoint Security for Mac のヘルプを参照してください。Linux オペレーティングシステムや macOS オペレーティングシステムを実行しているデバイスは、Windows を実行しているデバイスよりも脆弱性が少ないと考えられていますが、それらのデバイスにもセキュリティ製品をインストールすることを推奨します。
インストール後、セキュリティ製品が管理対象デバイスにインストールされていることを確認してください。カスペルスキー製品バージョンレポートを実行し、結果を表示します。
クライアントデバイスにライセンスを導入し、デバイス上の管理対象セキュリティ製品をアクティベートします。
このステップはクイックスタートウィザードの一部です。
企業用モバイルデバイスを管理する場合は、モバイルデバイス管理の準備と導入に必要な手順を実行します。
ネットワーク接続デバイスへ最も便利な方法で保護を導入する目的で、組織の構造を考慮してデバイスのプール全体を管理グループに分割しなければならない場合があります。グループにデバイスを配置する移動ルールを作成するか、デバイスを手動で配置することができます。管理グループへのグループタスクの割り当て、ポリシーの範囲の定義、およびディストリビューションポイントの割り当てが可能です。
すべての管理対象デバイスが適切な管理グループに正しく割り当てられ、ネットワーク上に未割り当てデバイスが存在しないことを確認します。
Kaspersky Security Center は管理グループにディストリビューションポイントを自動的に割り当てますが、必要に応じて手動で割り当てることも可能です。大規模なネットワークにはディストリビューションポイントを使用することを推奨します。その理由は、低いスループットレートのチャネルを介して通信するデバイス(またはデバイスグループ)へのアクセスを管理サーバーに提供するために使用する分散構造ネットワーク上、および管理サーバーで、負荷を減らすためです。Linux を実行しているデバイスをディストリビューションポイントとして使用することも、Windows を実行しているデバイスを使用することもできます。