皆様、こんにちは。カスペルスキー製品担当SEの小池です。
今まではずーっとオンプレ版の法人向けカスペルスキー製品を紹介し続けておりましたが、今回初めてSaaSの法人向けカスペルスキー製品であるKaspersky Endpoint Security Cloudを紹介いたします。
今回の内容は以下の通りです。
- Kaspersky Endpoint Security Cloud の概要
- オンプレ版の管理サーバー KSC との違い
- KESCのライセンスの数え方
- KESC利用開始までの流れ
- KESCの初期利用時ポイント
Kaspersky Endpoint Security Cloud の概要
Kaspersky Endpoint Security Cloud はカスペルスキーの法人向けSaaS製品です。
KESCのライセンスには以下の種類が存在します。
- Kaspersky Endpoint Security Cloud
- Kaspersky Endpoint Security Cloud Plus ※
- Kaspersky Security for Microsoft Office 365 ※※
※ PlusはKaspersky Security for Microsoft Office 365を含みます。
※※ Kaspersky Security for Microsoft Office 365 は単体利用可能です。
上記のうち、本記事は Kaspersky Endpoint Security Cloud についてのみ述べます。
一般的なSaaSと同様に、管理サーバーはWebコンソールのみ操作可能で、管理サーバーのOSやプラグイン等はメーカーが管理しています。
KESCの管理画面と今までのオンプレの管理サーバーであるKSCを比べると管理概念が異なります。これについては次章で詳細を述べます。
次に、KESCで管理できるカスペルスキー製品ですが、2021/7/26時点で以下を利用できます。
- Kaspersky Endpoint Security for Windows
- Kaspersky Endpoint Security for Mac
- Kaspersky Security for Mobile ※※※
※※※ Kaspersky Endpoint Security for AndroidとKaspersky Device Management for iOSを含む。
余談ですが、KESCのWebコンソールから導入済のプラグインを確認できるため、間接的に上記製品のうちサポートしている製品のバージョンを確認できます。
例えば、下の画面は弊社のKESCのサポート画面ですが、この画面の下部に導入済プラグインが表示されています。その横にバージョンが書いてあるため、間接的にこのKESC環境で利用可能な製品のバージョンを把握することが可能です。
Kaspersky Endpoint Security for Windows (以降KESWと記載) はオンプレ版のKESWと機能に加え、「Cloud Discovery」といったKESCのKESWにしかない機能も存在します。
一方で、オンプレ版においてLinux保護の定番であるKaspersky Endpoint Security for Linux や、Windowsサーバーに特化した保護製品 Kaspersky Security for Windows Server はKESCでは利用できません。
オンプレ版の管理サーバー KSC との違い
大きく異なる点として3点挙げます。
1点目、デバイスの管理概念がオンプレKSCとは大きく異なります。
オンプレKSCでは、まず管理対象デバイスを任意のグループに所属させて、次にポリシー・タスクをグループに割り当てることで管理していました。
ツリーで表現するとこんな感じでした。
一方KESCでは、保護製品をインストールしたデバイスはユーザーに割り当て、そのユーザーはグループに所属させて、そのグループにプロファイルを割り当てることで管理します。
ツリーで表現するとこんな感じです。
オンプレKSCの時もデバイスの所有者という概念はありましたが、この項目の設定は任意でした。(事実このブログでも一回も言及したことがないです…。)
しかしKESCではモバイルデバイスでの利用を強く意識しているからか、デバイス<ユーザー(所有者)<グループという所属関係が必要になります。
なおKESCにおいて、ユーザーが設定されていないデバイスは "所有者未割り当て" となり、どこのグループにも所属しません。この場合、"規定値" という名前のプロファイルが自動で適用されます。
特にオンプレKSCでの運用に慣れている方は、KESCのコンソールを見るとおそらく最初は 「…デバイスを直接グループに所属させられないの???」となると思います。。。
2点目、KSCはポリシーを製品ごとに作成していましたが、KESCでは1つのプロファイルにKESCで利用可能な製品のすべての設定が含まれます。
百聞は一見に如かずなので、実際にプロファイルのプロパティ画面をお見せします。
以下の画面は試験的に作成した "テスト用プロファイル1" というプロファイルの設定画面ですが、左側のメニュー欄にWindows, Mac, Android, iOSとあります。
この画面から、1つのプロファイルにKESCで利用可能な製品すべての設定が含まれていることがわかるかと存じます。
3点目、KESCをインストールして利用する場合は、基本的にインターネットに接続できる環境であることが前提です。
KSCで統合管理する場合は、管理下の保護対象デバイスは最低でもKSCに接続できることが前提でありインターネット接続については任意でしたが、KESCの場合は各デバイスが直接インターネット経由でKESCの管理サーバーへ接続するので、インターネット接続できることがほぼ必須といえる製品です。
SaaS製品なので仕方のない仕様なのですが、既存のオンプレKSCからKESCに移行したい場合は、現行の運用のまま移行できるのかどうかを事前にご確認いただければと存じます。
KESCのライセンスの数え方
ここでは、KESC利用に際して必要なライセンス数の数え方を説明いたします。
前述の通り、 Kaspersky Endpoint Security Cloudには厳密にはライセンスが以下の通り3種類あります。
- Kaspersky Endpoint Security Cloud
- Kaspersky Endpoint Security Cloud Plus
- Kaspersky Security for Microsoft Office 365
このうちまず1個目の Kaspersky Endpoint Security Cloud については、保護対象PC (サーバー含む) の台数か、モバイルデバイス (Android か iOS) の半数 のどちらか多い方、の数のライセンスが必要になります。
(この情報は2021/7/26時点のものなので、変更になる可能性があることをご了承ください。)
例えば、Windows 10 を 50台、Androidのスマホを 70台 保護したいとします。この場合は Win10だけなら 50ライセンス、モバイルデバイス だけなら35ライセンスが必要となり、このうち大きい方のライセンス数が必要になるので、結果として50ライセンス購入すればOKです。
次に2個目のKaspersky Endpoint Security Cloud Plus については、前述した Kaspersky Endpoint Security Cloudのライセンス算出方法 に加えして、Kaspersky Security for Microsoft Office 365 の利用分のライセンスを考慮する必要があります。
Kaspersky Endpoint Security Cloud Plus における Kaspersky Security for Microsoft Office 365 は、 購入したKESCライセンス数 ×1.5 のユーザーが利用可能になります。
よってKaspersky Endpoint Security Cloud Plus については、①保護対象PC (サーバー含む) の台数、 ②モバイルデバイス (Android か iOS) の半数、③M365 ユーザー数/1.5のうち、一番多い数と同等のライセンスが必要になります。
例えば、Windows 10 が50台、Androidのスマホが70台、M365ユーザーが60あったとします。
この場合は、①が50、②が35、③が40となり、結果的に①②③のうち一番数が多い①の50ライセンスが必要となります。
最後にKaspersky Security for Microsoft Office 365については、先述した通り購入したライセンス数×1.5 ユーザーを賄うことができます。
例えば、M365ユーザーが60ある場合は、40ライセンスが必要となります。
KESC利用開始までの流れ
利用開始までの流れは以下の通りです。
Step1. Kaspersky Business Hub で会社名とワークスペースを作成する
Step2. ユーザーを作成する
Step3. プロファイルを作成する
Step4-1. (任意選択)グループを作成しプロファイルを割り当てる
Step4-2. (任意選択)ユーザーにプロファイルを割り当てる
Step5. インストーラーをダウンロードし、保護対象デバイスにインストールする
(Step3,4-1,4-2,5は順不同です。Step4-1, 4-2はどちらか片方を実施してください。)
この後、Step1~Step5の一連の手順を説明いたしますが、メーカーから完全な手順書が公開されているので、可能であれば以下を併せてご参照いただければと存じます。
https://kasperskylabs.jp/biz/index2.html
Step1. Kaspersky Business Hub で会社名とワークスペースを作成する
一般的なSaaSと同様に、KESCもKaspersky Business Hubというポータルにアカウントを作成します。
Kaspersky Business Hubにアカウントを作成すると、その配下に1つまたは複数のワークスペースを作成可能です。
また、今回ご紹介するKESCにおいては、ワークスペース作成時点から31日間有効なKaspersky Endpoint Security Cloud Plus (User Insternational Edition) 試用版が100ライセンスが与えられます。えらい気前いいですね。
ですので、これから紹介する手順を実施するにあたって、事前の評価版ライセンスの申請は不要です!!
まず、以下のURLへアクセスします。
画面中央の [アカウントを作成] をクリックします。
必要事項を入力し、[アカウントを作成]をクリックします。
前の画面で指定したEメールアドレスに下のようなメールが届きます。
文言に含まれる [登録用リンク] をクリックします。
ブラウザで "ユーザーアカウントの有効化" という画面が表示されるので、[続行] をクリックします。
Kaspersky Business Hub へのログイン画面に遷移します。先ほど作成したアカウント情報を入力して [ログイン] をクリックします。
利用規約を確認し、問題がなければ同意のチェックを有効にして[条項に同意する]をクリックします。
製品を利用する地域を選択し、[確認]をクリックします。
ワークスペースを作成します。
まず利用する製品を選択します。この手順では例としてKESCを選択して[次へ]をクリックします。
KESCの利用規約を確認し、同意にチェックを入れて[条項に同意する]をクリックします。
会社情報等を入力して[次へ]をクリックします。
なお、デバイス数は目安で大丈夫です。
場合のよってはこの画面に遷移する可能性があります。
この画面に遷移した場合は、追加で必要事項を記入し、[次へ]をクリックします。
前の画面で指定したメールアドレス宛に、ワークスペースが使用可能になった旨のメールが来ます。
メール本文に含まれている[開始]をクリックします。
KESCの利用開始ウィザード的なものに遷移するので、[開始する]をクリックします。
なお、この画面ではなくワークスペース管理画面に遷移した場合は、対象のワークスペースにおいて[ワークスペースに移動する]をクリックしてください。
KESWとKESMのネットワークエージェント使用許諾契約書への同意にチェックを入れ、[条項に同意する]をクリックします。
プロキシサーバーの設定が必要な環境であれば、プロキシサーバーの設定をここで入れます。
(なお、プロキシサーバーの設定は後からでも可能ですが、既にKESCのいずれかの製品を導入済の場合、再インストールが必要になるらしいです…。ご注意ください。)
[次へ]をクリックします。
Kaspersky Security Networkの仕様に関する条項に同意します。
同意はKESWのKSNとKESMのKSNでそれぞれ必要です。
利用する製品だけにチェックを入れるか、両方にチェックを入れて、[条項に同意する]をクリックします。
KESCの一部の機能について有効/無効を設定します。
これらの機能は後で有効/無効を変更できます。
先述した通り、KESCのワークスペースにデフォルトで付与されている評価用ライセンスはKESC Plusなので、とりあえず下記の機能も一通り31日間お試しできます。
ここではいったんデフォルト (以下の通り) で進めます。
前の手順でEndpoint Detection and Response Previewモードを使用するとした場合は、以降3つほど同意画面が続きます。
各画面で内容を確認+同意して進めていきます。
最終的にコンソールの[情報パネル]が表示されたら、KESCを利用できる状態になります。
なお、試用版ライセンスの確認 及び 有効版ライセンスのアクティベートは [情報パネル]>[ライセンス]から可能です。
Step2. ユーザーを作成する
左のメニュー画面から[ユーザー]を開きます。
既にKESCの利用開始時に登録したユーザーが管理者として登録されています。
KESCを使用するユーザーを追加してみます。
[ユーザーの追加]をクリックします。
ユーザーのメールアドレスを入力し、[次へ]をクリックします。
エイリアスとメールアドレスを確認します。変更したい場合は、このページで該当箇所をダブルクリックすると直接編集できます。[次へ]をクリックします。
登録したメールアドレス宛に「KESCをインストールしてください」的な内容のメールを送るか送らないかを選択します。
ここでは例として[送信しない]で進めます。(同様のメールは、ユーザー作成後に手動で送付することも可能です。)
[閉じる]をクリックします。
ユーザーが作成できたことを確認します。
3つ前の画面でメールを送信するように指定した場合は、以下のようなメールが送信されています。
このリンクをクリックもしくはQRコードを開くと、OSの種類に対応したKESC製品のインストーラーダウンロード画面へ遷移しますが、この手順では先にユーザー等の作成をするので、リンクをクリックせずに次の手順を実施します。
Step3. プロファイルを作成する
セキュリティプロファイルは "規定値" という名前で存在します。
今回はこれ以外に1個作成してみます。コンソールから[セキュリティ管理]>[セキュリティプロファイル]>[セキュリティプロファイルを作成する]をクリックします。
プロファイル名を任意に指定して[作成]をクリックします。
作成すると自動でプロパティ画面に遷移します。
この画面で各製品における各保護機能の詳細設定をして、変更後に保存します。
Step4-1. (任意選択)グループを作成しプロファイルを割り当てる
ここでは先ほど作成したユーザーをグループに割り当て、そのグループに前の手順で作成したプロファイルを割り当てます。
グループを作成せずにユーザーに直接プロファイルを割り当てることも可能です。この場合は本手順 (Step4-1) をスキップし、次のStep4-2を実施してください。
[ユーザー]>[グループの作成]をクリックします。
グループ名とコメントを任意に指定します。
セキュリティプロファイルのプルダウンから、先ほど作成したプロファイルを指定して[OK]をクリックします。
作成したグループが一覧に表示されていることと、セキュリティプロファイルが規定値ではなく作成したプロファイル名になっていることを確認します。
先ほど追加しておいたユーザーをクリックします。
[ユーザーをグループに移動]をクリックします。
プルダウンから先ほどのグループ名を選択し、[OK]をクリックします。
ユーザー情報画面で"セキュリティプロファイル" 及び "グループに含まれる" の欄が、本手順で作成したプロファイル名とグループ名になっていることを確認します。
この手順が終わったら次は Step.5 を実施します。(Step4-2. はスキップしてください。)
Step4-2. (任意選択)ユーザーに直接プロファイルを割り当てる
ここではグループを作成せずに、先ほど作成したユーザーに直接プロファイルを割り当てます。
Step4-1.を実施済の場合は、本手順はスキップしてください。
ユーザーをグループに所属させて、そのグループにプロファイルを割り当てる場合は、本手順ではなく1つ前ののStep4-1を実施してください。
[ユーザー]を開き、対象のユーザー行の"セキュリティプロファイル" 列のプルダウンで、割り当てたいプロファイル名を選択します。
ユーザーに直接プロファイルを割り当てる手順はこれで完了です。
Step5. インストーラーをダウンロードし、保護対象デバイスにインストールする
インストーラーをダウンロードして、保護対象デバイスにインストールします。
インストーラーは、コンソールからダウンロード、もしくは、ユーザー作成時に送信したメールのリンクからダウンロードします。
コンソールからダウンロードする場合は[配付パッケージ]からダウンロードが可能です。
(Android向けとiOS向けはここからダウンロードできません。メールのリンクからダウンロードしてください。)
Windowsの場合はKaspersky Endpoint Security for Windowsのインストーラー(ネットワークエージェント含む) がダウンロードできます。
この手順ではKESWを例に手順を進めます。
これを管理者権限で実行します。
インストールウィザードが起動するので、そのうち日本語になることを願いながら[Start installation] をクリックします。
インストールが終わるとこんな感じになります。[Close]をクリックします。
(環境やWindows OSの種類によって若干メッセージは異なる場合があります。)
OSを再起動します。
OS再起動後しばらくしてから、コンソールの[デバイス]を確認します。
デバイス一覧にインストールした端末が表示されていることを確認します。
この状態だと、ユーザー不明なのでセキュリティプロファイルは "規定値" が割り当てられています。
このデバイスを前の手順で作成したユーザーの持ち物にして、プロファイルを適用させます。
対象デバイスにチェックを入れ、[所有者を割り当てる]をクリックします。
このデバイスに割り当てたいユーザーを選択し、[OK]をクリックします。
下の画面では、グループ "テスト用グループ" に所属するユーザーに割り当ててみました。
デバイス一覧画面を更新します。
対象のデバイス行の "デバイスの所有者" 列と、"セキュリティプロファイル" 列に前の手順で作成したユーザー名とプロファイルが名が表示されていることを確認します。
グループに所属するユーザーに割り当てた場合は、"グループ" 列にStep4-1で作成したグループ名が表示されていることを確認します。
以上がKESC利用開始~インストールまでの流れです。
KESCの初期利用時ポイント
最後にKESCを使い始める または 評価したい方向けの、初期利用時のポイント…になるかもしれない点を挙げます。Tipsとしてお使いください。
Point1. ユーザー作成時はメールアドレスが必要だが、これは架空のメールアドレスでも可
KESCでユーザーを作成する際はメールアドレスが必須です。
ただしこのメールアドレスは架空のメールアドレスでも登録できます。
以下のように、ユーザー追加画面で架空のメールアドレスを入力します。
[次へ]を2回クリックすると、"ユーザーに指示を送る" という画面になりますので、ここで[送信しない]をクリックします。
これにより、追加した架空のメールアドレスにメールを送ることなく、ユーザーの追加が可能です。
Point2. インストーラーにライセンス情報は含まれていない
KESCの管理画面 及び メールのリンクやQRコードからダウンロードできるインストーラーには、ライセンスが含まれていません。
インストール直後はKESCに設定しているライセンスとは異なる試用版ライセンスが適用されています。
インストール後しばらくすると、KESCからライセンス情報を取得し、適用します。
KESCのインストールはオフライン環境でも一応可能ですが、ライセンス情報の取得や、そもそもKESCの管理画面で管理するために、最終的にはインターネットに接続して利用することが望ましいです。
Point3. "規定値" プロファイルをうまく利用する
先述致しました通り、KESCインストール済 且つ ユーザー(所有者)が割り当てられていないデバイスは、自動的に "規定値" というプロファイルが割り当てられます。
限定された利用ケースではありますが、そもそもユーザーにデバイスを割り当てるという運用が困難であり、且つプロファイルは1種類でよい場合は、すべてのデバイスを所有者なしで "規定値" プロファイルを適用させるということも可能です。
(実際に弊社の検証環境は利用ケース・デバイス・環境が多岐にわたるため、この方法を採用しています。)
Point4. 環境共通のタスクとローカルタスクの概念はKSCとほぼ同様
WindowsとMacの定義データベース更新タスクは、KESC環境共通での設定と、ローカル設定があります。
この概念はローカル管理サーバーであるKSCとほぼ同様です。(KESCだとタスクというメニュー自体が存在しないので、気づきにくいですが…。)
KESC環境共通の定義データベース更新タスクの設定は、KESC管理画面の[設定]>”定義データベースのアップデート設定" の [設定...]>から設定できます。
一方、ローカルのタスクに関する設定はプロファイルにて決定します。
[プロファイル]>任意のプロファイル名>[Windows]>[詳細]>[インターフェイス]で設定できます。
が…正直設定名だけだと何がどう変わるのかわかりづらいので補足します。
- 定義データベースのアップデートと完全スキャンタスクの管理:有効にすると、KESC環境共通の定義データベースアップデートタスクやスキャンタスクを、利用者が実行できるようになる。他のローカルタスクについては作成できない。
- ローカルタスクの使用:有効にすると、保護製品をインストールした端末独自のタスク (定義データベースの更新タスク、スキャンタスク、その他) を作成・実行することができるようになる。KESC環境共通のタスクについては、任意に実行はできないまま。
役に立つかもしれないTipsは以上です。
今回は法人向けSaaS製品 Kaspersky Endpoint Security Cloudを紹介いたしました。
本文にも記載した通り、KESCには評価用ライセンス31日分が付与されているので、メーカーに申請することなくこのブログの手順で簡単に評価が開始できます。
オンプレの管理サーバー (KSC) とも異なる点があるので、気になる方は是非評価をしていただけますと幸いにございます。
この度は最後まで記事をご覧いただき誠にありがとうございました。
記載事項へのご指摘、ご不明点、ご質問等ございましたら、以下からご連絡いただければと存じます。
https://www.networld.co.jp/product/kaspersky/
それでは次回の記事でお会いしましょう!