株式会社ネットワールドのエンジニアがお届けする技術情報ブログです。
各製品のエキスパートたちが旬なトピックをご紹介します。

Kaspersky製品ナレッジ 第53回 ~Windowsベースの組み込みシステム保護に使えるKESSのご紹介~

皆様、こんにちは。カスペルスキー製品担当SEの小池です。


今回は久しぶりに製品の紹介です。
紹介するのは Kaspesky Embedded System Security という製品です。
この製品はかなり前から存在するのですが、なんといまだにWindows XPをサポートしているという、なかなかレアな製品となっております。
今でもXPでしか稼働できないアプリを使い続けているというケースも多少なりとあるでしょうから、そういった企業様の助けになれば幸いです。

 

今回の内容は以下の通りです。

 

今回の記事は以下のバージョンにて検証し、画面ショットを取得しております。

●管理サーバー
 無し
●保護対象デバイス
 Windows 7 Enterprise
●保護製品
 Kaspersky Embedded Systems Security:3.1.0.461
●利用ライセンス
 Kaspersky Embedded System Security

1. Kaspersky Embedded System Securiy の概要

Kaspersky Embedded Systems Security (以降KESSと記載) はWindowsベースの組み込みシステムの保護に特化した製品です
2021/11/15 現在、最新版の3.1でサポートされるOSにはWindows Embeddedシリーズの他、Windows XP, 7, 8, 8.1, 10等が含まれます。(3.1のサポートOSはこちら。)
https://support.kaspersky.com/KESS/3.1/en-US/155509.htm

KESSは以下3つの使い方が想定されている製品です。

  • アンチマルウェア機能による運用リアルタイムアンチウイルス機能 等を用いて端末を保護する。イメージとしては一般的なエンドポイント製品向けアンチウイルス製品と同等。英語版のマニュアルだと "Protect computer with Anti-Virus Bases" と記載されている。
  • アプリケーション起動コントロール機能による運用アプリケーションの起動をルールで設定し、それに該当するアプリケーションのみ起動できるようにする。リアルタイムアンチウイルス機能は含まれない。英語版のマニュアルだと " Protect computer with Default Deny technology" と記載されている。
  • アンチマルウェア機能とアプリケーション起動コントロール機能の併用上記2つの両方を使うケース。前述の "アンチマルウェア機能による運用" のインストールした後で、必要なモジュールを追加インストールする。この場合は、前述の "Protect computer with Anti-Virus Bases" と同じ方法でインストールして、その後、アプリケーション起動コントロールのルールを作ります。

上記3つの使い方は、厳密にはインストールするモジュールの違いになります
まず、KESSには以下のモジュールが含まれています。
前述の3つの使い方のうち1点目 (以降 Protect computer with Anti-Virus Bases と記載) と2点目 (以降 Protect computer with Default Deny technology と記載) では以下の通りデフォルトでインストールされるモジュールに違いがあります。
Protect computer with Default Deny technology でインストールした場合、下の表で "Install不可" と書いている箇所については後から追加もできません。
ですので、KESSは初回インストールをProtect computer with Anti-Virus Bases と Protect computer with Default Deny technology のどちらで実施するかを事前によく検討いただければと存じます。
(なお、どちらの方法でインストールしても必要なライセンスに違いはありません。)

f:id:networld-blog-post:20211116152724p:plain

次に構成につきまして。
KESSはKSC (管理サーバー) での統合管理も、スタンドアロン構成もどちらも可能です
スタンドアロンの場合、KESSとは別に存在するKESSコンソール (2021/11/15時点で日本語版は存在しない) をインストールすることにより、ローカルでGUIを使って各種設定が可能です。
KSCで統合管理する場合、ポリシーやタスクの管理はKSCのGUIで設定・実装します。
KSCでの統合管理を検討する場合で注意すべき事項は、ネットワークエージェントが保護対象のOSをサポートしているか否かである点です
KSCで各デバイスを統合管理するには各デバイスにネットワークエージェントをインストールする必要がありますが、実はこのネットワークエージェントにもサポート対象のOSがあります。
ネットワークエージェントのサポートするOSとKESSがサポートするOSには重複しない部分があります。このため、KESSで保護したいデバイスのOSによっては、ネットワークエージェントを導入できないケースがあり、この場合は必然的にKSCでの統合管理は不可となります。
下図はWindows 10とWindows XPの例です。KESSは10とXPの両方をサポートしていますが、ネットワークエージェント13.2はXPをサポートしていません。この場合、XPは必然的にKSCでの統合管理は不可となります。

f:id:networld-blog-post:20211116152824p:plain

最後にKESSを検討する際の注意点として、KESSは2021/11/15時点で日本語版が存在しません
KESS3.1はオンラインヘルプ、プラグイン、製品の簡易GUI、個別のコンソールが全て英語版しか存在しません。
日本語GUIが必要と思われる方もいらっしゃるかと存じますので、本製品検討時はいったん後述の手順で製品をインストールして使い勝手をお確かめいただければと存じます。

2. Kaspersky Embedded System Securiy に必要なライセンス

KESSを利用するには以下のライセンスが必要です。

  • Kaspersky Embedded System Security

2021/11/16時点では上記以外でKESSを利用可能なライセンスは存在しません。

3. スタンドアロン環境における Protect computer with Default Deny technology インストール

KESSの製品特性上、スタンドアロン環境が多いのかな…と勝手に思ったので、ここではスタンドアロン構成における Protect computer with Default Deny technology (アプリケーション起動コントロール機能による運用) のインストールを紹介いたします

まず、メーカーのサイトからKESSのインストールモジュールをダウンロードします。

https://www.kaspersky.co.jp/small-to-medium-business-security/downloads/embedded-systems

f:id:networld-blog-post:20211116153010p:plain

ダウンロードしたzipファイルを任意の場所に解凍します。

f:id:networld-blog-post:20211116153019p:plain

解凍したフォルダ直下にあるsetup.exeを管理者権限で実行します。

f:id:networld-blog-post:20211116153027p:plain

ウィザードが起動するので、[Protect computer with Default Deny technology] をクリックします。

f:id:networld-blog-post:20211116153033p:plain

[Next>] をクリックします。

f:id:networld-blog-post:20211116153040p:plain

ライセンス使用許諾の同意画面になるので、2つともチェックを入れて [Next>] をクリックします。

f:id:networld-blog-post:20211116153048p:plain

インストールするモジュールの選択画面になります。表示されているものについてはインストール後に追加もできるので、ここはデフォルトのまま [Next>] をクリックします。

f:id:networld-blog-post:20211116153054p:plain

必要に応じてインストールディレクトリを変更します。[Next>] をクリックします。

f:id:networld-blog-post:20211116153108p:plain

推奨される除外設定を追加するかしないかの設定画面が表示されます。
任意に設定し、[Next>]をクリックします。

f:id:networld-blog-post:20211116153119p:plain

KESSの設定ファイルがある場合は [Browse...]をクリックしてその設定ファイルを指定することができます。
無い場合は空欄のままで大丈夫です。
今回は空欄のまま [Next>] をクリックします。

f:id:networld-blog-post:20211116153128p:plain

ライセンスファイルがある場合は [Browse...] をクリックしてライセンスファイルを指定します。
ライセンスが無くてもインストールは続けられるので、その場合は空欄のまま [Next>] で進めてください。

f:id:networld-blog-post:20211116153138p:plain

[Install] をクリックします。

f:id:networld-blog-post:20211116153145p:plain

[OK] をクリックします。

f:id:networld-blog-post:20211116153153p:plain

以上でスタンドアロン環境における Protect computer with Default Deny technology インストールは完了です。
必要に応じて後述のKESSコンソールをインストールしてください。

4. スタンドアロン環境における Protect computer with Anti-Virus Bases インストール

ここではKESSのもう一つのインストール方法である Protect computer with Anti-Virus Bases (アンチマルウェア機能による運用) のインストールを紹介いたします

まず、メーカーのサイトからKESSのインストールモジュールをダウンロードします。

https://www.kaspersky.co.jp/small-to-medium-business-security/downloads/embedded-systems

f:id:networld-blog-post:20211116153232p:plain

ダウンロードしたzipファイルを任意の場所に解凍します。

f:id:networld-blog-post:20211116153240p:plain

解凍したフォルダ直下にあるsetup.exeを管理者権限で実行します。

f:id:networld-blog-post:20211116153249p:plain

ウィザードが起動するので、[Protect computer with Anti-Virus Bases] をクリックします。

f:id:networld-blog-post:20211116153255p:plain

[Next>] をクリックします。

f:id:networld-blog-post:20211116153302p:plain

ライセンス使用許諾の同意画面になるので、2つともチェックを入れて [Next>] をクリックします。

f:id:networld-blog-post:20211116153310p:plain

インストールするモジュールの選択画面になります。表示されているものについてはインストール後に追加もできるので、ここはデフォルトのまま [Next>] をクリックします。

f:id:networld-blog-post:20211116153317p:plain

必要に応じてインストールディレクトリを変更します。[Next>] をクリックします。

f:id:networld-blog-post:20211116153328p:plain

インストール後にアンチウイルス機能を有効にするか否か、推奨される除外設定を追加するかしないかの設定画面が表示されます。
任意に設定し、[Next>]をクリックします。

f:id:networld-blog-post:20211116153337p:plain

KESSの設定ファイルがある場合は [Browse...]をクリックしてその設定ファイルを指定することができます。
無い場合は空欄のままで大丈夫です。
今回は空欄のまま [Next>] をクリックします。

f:id:networld-blog-post:20211116153347p:plain

ライセンスファイルがある場合は [Browse...] をクリックしてライセンスファイルを指定します。
ライセンスが無くてもインストールは続けられるので、その場合は空欄のまま [Next>] で進めてください。

f:id:networld-blog-post:20211116153356p:plain

[Install] をクリックします。

f:id:networld-blog-post:20211116153407p:plain

[OK] をクリックします。

f:id:networld-blog-post:20211116153413p:plain

以上でスタンドアロン環境における Protect computer with Anti-Virus Bases インストールは完了です。
必要に応じて後述のKESSコンソールをインストールしてください。

5. スタンドアロン環境におけるKESSコンソールインストール

ここではスタンドアロン環境におけるKESSコンソールをインストールする手順を紹介いたします

KESSインストール時に解凍したインストール資源をそのまま利用します。
解凍した資源の直下にあるsetup.exeを管理者権限で実行します。

f:id:networld-blog-post:20211116153441p:plain

[Install kaspersky Embedded Systems Security Console] をクリックします。

f:id:networld-blog-post:20211116153452p:plain

[Next>] をクリックします。

f:id:networld-blog-post:20211116153509p:plain

ライセンス使用許諾の同意画面になるので、チェックを入れて [Next>] をクリックします。

f:id:networld-blog-post:20211116153516p:plain

このKESSコンソールで、ローカルのKESSの他、ネットワークでアクセス可能な異なるデバイスにインストールされたKESSに接続して管理したい場合は、[Allow remote access] にチェックを入れます。
[Next>] をクリックします。

f:id:networld-blog-post:20211116153525p:plain

[Install] をクリックします。

f:id:networld-blog-post:20211116153534p:plain

[OK] をクリックします。

f:id:networld-blog-post:20211116153540p:plain

以上でKESSコンソールのインストールは完了です。
これ以降、Windowsボタンなどから [Kaspersky Embedded System Security 3.1 Console] をクリックするとコンソールを起動できるようになります。

f:id:networld-blog-post:20211116153550p:plain

f:id:networld-blog-post:20211116153555p:plain

 

6. 【補足】KESSインストール途中でSHA-2に関するメッセージが出た場合の対処法

タイトルの通りなのですが、KESSを古めのOSにインストールする時に以下の画面が出ることがあります。

f:id:networld-blog-post:20211116153621p:plain

メッセージは "Update for Windows required forSHA-2 support is not installd." です。
メッセージに出ているURLの通りなのですが、この件はKasperskyのサポートサイトにも載っています。

https://support.kaspersky.co.jp/15728

メッセージを無視してインストールすることもできますが、対応する場合はOSに対応した更新プログラムをインストールします。
上で紹介したURLに更新プログラムへのリンクが親切に羅列されているので、ここから更新プログラムを取得しましょう。

f:id:networld-blog-post:20211116153707p:plain

更新プログラムインストール後、KESSのインストールを再度試行してください。

 

今回はKESSの概要と、インストール方法を紹介致しました。
Windowsの最新クライアント系OSは既に 11 への移行が開始されつつありますが、一方で古いWindows OSもまだまだ現役のケースもあるかと存じます。
アンチウイルス製品で古いWindows OSに対応しているものはだいぶ限定されますが、KESSならいけるものもあるかと存じます。
自社内で古めのWindows OSの保護を検討なさっておいででしたら、KESSもご検討いただければ幸いにございます。

この度は最後まで記事をご覧いただき誠にありがとうございました。
記載事項へのご指摘、ご不明点、ご質問等ございましたら、以下からご連絡いただければと存じます。

https://www.networld.co.jp/product/kaspersky/

それでは次回の記事でお会いしましょう!