Microsoft Exchange Server 2007 環境にウイルス対策保護機能を実装した場合の影響 概要................................... 2 このテストで採用したウイルス対策の方針................. 2 ソリューションの構成............................ 4 AD 環境................................ 4 Exchange Server 2007 環境........................ 4 Exchangeハブトランスポートサーバの役割............... 4 メールボックスサーバの役割.................... 4 テスト................................... 6 Symantec Mail Security 6.0 for Microsoft Exchangeを使用したテスト....... 6 Symantec Mail Security 6.0 for Microsoft Exchangeのテスト結果........ 9 Trend Micro InterScan for Microsoft Exchange Serverバージョン8.0を使用したテスト 10 Trend Micro InterScan for Microsoft Exchange Serverバージョン8.0のテスト結果 12 ベストプラクティスと結果......................... 13 両製品に共通するベストプラクティス.................. 13 両製品に共通する結果........................ 13 両製品に共通する主な利点...................... 13 両製品に共通する主な制限...................... 13 結論.................................. 14 参照先................................. 15 HPのソリューションとホワイトペーパー................. 15 Symantec.............................. 15 Trend Micro............................. 15
概要 メッセージングソリューション全体を設計するうえで セキュリティは必須の要素です 非常に感染力の強いウイルスによって メッセージング環境内にある重要なデータの削除 パフォーマンスの低下 Microsoft Exchange Server 2007 データベースの破壊など 深刻な被害を受ける可能性があります その対策として メッセージングソリューション全体の設計に ウイルス対策保護機能を組み込むことを強くお勧めします ウイルス対策保護機能の配備の目標は ウイルスによる脅威 セキュリティ上のリスク 不明な添付ファイル スパムなどのさまざまな攻撃からメッセージング環境全体を保護することにより 潜在的な災害を防止することです 本書で説明するテストの主な目的は Exchange Server 2007 メッセージング環境に業界標準のウイルス対策保護機能を実装したときに ハブトランスポートサーバのパフォーマンスがどのような影響を受けるのかを判断することでした テストは ウイルスに対するプロアクティブな保護に限定しました このテストでは スパムに対する保護や 感染したシステムのクリーニング ( 除去 ) 機能を追加した場合に 全体的なパフォーマンスに及ぼす影響を評価していないことをご注意ください 2 番目の目的は ウイルス対策ソリューションを動作させるために ハブトランスポートサーバで追加のリソースが必要とされるかどうかを判断することでした このテストでは 一般的に配備されているウイルス対策ソリューションとして 次の 2 つの製品を使用しました Symantec Mail Security 6.0 for Microsoft Exchange Trend Micro InterScan for Microsoft Exchange Server バージョン 8.0 注記 : このテストの結果は 本書で説明する2つのウイルス対策製品の比較結果として解釈しないでください また これらの結果は HPがどちらかの製品を推奨するものでもありません このテストの結果は メッセージングソリューション全体の一部としてウイルス対策保護機能を実装するときに Exchange Server 2007 ベースライン環境の推奨構成以外に 追加のサーバリソースが必要かどうかを判断する目的で使用できます このテストで採用したウイルス対策の方針 Microsoft Exchange 2007 環境ではすべてのメールトラフィックが Exchange ハブトランスポートサーバを経由するため アーキテクチャ上の大きな利点があります この設計により どのメッセージもトランスポートルールやジャーナリングポリシーを回避できなくなります その結果 会社のポリシーと法規制に対するコンプライアンスを実現できます この改良された設計により Exchange 環境の中では Exchange ハブトランスポートサーバにのみウイルス対策保護機能を実装するだけで十分なように見えます ただし この手法を実装するのは 基本的な保護対策に過ぎないと考えてください 2 番目の保護対策として 専用のメールボックスサーバにもウイルス対策保護機能をインストールする必要があります 一部のウイルスは すべての Exchange サーバに対応するすべての Exchange データベースをスキャンした場合のみ検出できるからです 2
Microsoft Exchange 2007 メッセージング環境におけるウイルス対策ソリューションは 次の 3 つのレベルに配備できます 1. エッジトランスポートサーバ上 ( 実装されている場合 ) 2. ハブトランスポートサーバ上 3. メールボックスサーバ上 本書で説明するテストでは ハブトランスポートサーバレベルでウイルス対策保護機能を実装し ハブトランスポートサーバのパフォーマンスに対する影響のみに注目しました 3
ソリューションの構成 Active Directory(AD) 環境と Exchange Server 2007 環境の両方で HP ProLiant BL480c ブレードサーバを使用しました 図 1 に このテストで使用したウイルス対策ソリューションの構成図を示します AD 環境 Windows Server 2003, Enterprise x64 Edition Service Pack 1 オペレーティングシステム (OS) を次のように構成しました ドメインコントローラ (DC) サーバ 1 台 グローバルカタログ (GC) サーバ 1 台 ドメインネームシステム (DNS) サーバ 1 台 単一のフォレスト内に単一のドメイン Exchange Server 2007 環境 Exchange Server のそれぞれの役割の要件については 以下の項で説明します これらの構成は Microsoft のガイドラインに基づいています 詳細は 次の Web サイトを参照してください http://technet.microsoft.com/en-us/library/bb738124.aspx http://technet.microsoft.com/en-us/library/aa998874.aspx Exchange ハブトランスポートサーバの役割 Microsoft Windows Server 2003 Enterprise Edition R2 および Exchange Server 2007 を実行している HP ProLiant BL480c サーバブレード 1 台 2 基のデュアルコアインテル Xeon 5160 3.0GHz プロセッサ 4MB L2 キャッシュ搭載 4GB の RAM メールボックスサーバの役割 メールボックスサーバの役割のみをインストールした Exchange Server 2007 サーバ 1 台 Microsoft Windows Server 2003 Enterprise Edition R2 および Exchange Server 2007 の両方を実行している HP ProLiant BL480c サーバブレード 1 台 2 基のデュアルコアインテル Xeon 5160 3.0GHz プロセッサ 4MB L2 キャッシュ搭載 2 個のデュアルポート 4Gb Emulex LPe1105 - HP ファイバチャネルホストバスアダプタ (HBA)( メザニンカード ) マルチパス用に Full-Featured Microsoft Multipath I/O Device Specific Module(MPIO DSM) 4
図 1 ウイルス対策の構成 1. AD サーバ 2. Exchange ハブトランスポートサーバ 3. Exchange メールボックスサーバ ( 専用 ) 5
テスト Symantec Mail Security 6.0 for Microsoft Exchange を使用したテスト Microsoft Exchange の Load Generator(LoadGen) ツールを使用して 5,000 ユーザーによる負荷のシミュレーションを実行しました 5,000 ユーザーすべてが Outlook 2003 クライアントをオンラインモードで使用し ヘビーユーザープロファイルを設定しました このテストでは Exchange ハブトランスポートサーバにウイルス対策保護機能を実装した場合に CPU のオーバーヘッドに対してどのような影響が発生するかに注目しました 表 1 に 使用した Symantec の設定を示します 表 1 使用した Symantec の設定 設定の名前 Enable virus scanning Bloodhound detection level Delete mass-mailer worm-infected messages (no notifications) Basic Virus Rule (Repairs message part) Unrepairable Virus Rule (Quarantine) Security Risk Rule (Quarantine) Enable Auto-protect Enable background scanning 設定のステータスまたはレベル Medium Not enabled 以下の 3 つの図で これらの設定を構成するために使用した Symantec の GUI の各タブを示します 図 2 に Symantec の GUI のうち [Home] タブを示します 特に関係のある設定は サービスのステータス ( 起動済みかどうか ) ウイルス定義 ( パターン ) の日付 アクティビティの要約です 6
図 2 Symantec の [Home] タブの設定 このテストで使用した [Bloodhound detection] レベルは デフォルトの [Medium] です 表 2 に [Bloodhound detection] レベルの他の選択肢と 大量送信メールの処理に関する情報を示します Bloodhound は 検出レベルアルゴリズムに関する Symantec 社の商標名です 表 2 Bloodhound と大量送信メールの設定 Bloodhound detection 次の [Bloodhound detection] レベルを指定します [Off]:Bloodhound 検出を無効にする [Low]: サーバのパフォーマンスは最適になるが 潜在的な脅威を検出できない可能性がある [Medium]( デフォルト ): 脅威の検出とサーバのパフォーマンスのバランスを保つ [High]: 脅威の検出率を高めるが サーバのパフォーマンスに影響を及ぼす可能性がある Delete mass-mailer worm-infected messages (no notifications) 大量送信メールのメッセージを自動的に削除します このオプションを無効にした場合 感染した大量送信メールのメッセージは 通常の感染したメッセージと同じ方法で処理されます [Policies] タブ ( 図 3) に 設定済みの [Antivirus Settings] セクションを示します これは 検出レベルを表しています このタブにある [Rules] および [Basic Virus Rule] の各セクションに ウイルスが検出されたときに実行されるアクションも表示されています 7
図 3 Symantec の [Policies] タブの設定 [Scans] タブ ( 図 4) に示すように 指定したスケジュールに基づいてバックグラウンドスキャンを実行することもできます バックグラウンドスキャンは Exchange データベースをスキャンする必要がある場合に 特にメールボックスサーバに関係します 8
図 4 Symantec の [Background Scanning Options] の設定 Symantec Mail Security 6.0 for Microsoft Exchange のテスト結果 ウイルス対策ソリューションを実装するときに考慮すべき主な要素は そのソリューションが CPU 動作に及ぼす影響です ウイルス対策ソリューションの実装によって CPU 使用率が受ける影響を理解すると CPU リソースのサイズを正しく設定するのに役立ちます また その他の場合でもよく見られるように RAM の容量が重要です しかしながら 今回のテスト結果では ハブトランスポートサーバに関して Microsoft が推奨するメモリ要件で十分なことが示されました テスト中にページングは見られませんでした これは ウイルス対策ソリューションの実装によって 少なくともテストした構成に関して RAM のボトルネックが発生しなかったことを示しています ウイルス対策保護機能を実装しない場合 2 基のデュアルコアプロセッサを使用する環境で CPU 使用率は 5% でした Exchange ハブトランスポートサーバで Symantec のウイルス対策ソフトウェアを設定した場合 CPU 使用率は 9% でした ウイルス対策保護機能を実装した状況で デュアルコアプロセッサの数を減らすことによって CPU 動作が受ける影響を評価するために デュアルコアプロセッサを 1 基だけ使用してテストを実施しました このテスト結果から プロセッサの数を減らすと CPU 使用率が 18.7% に高まることが示されました ただし 使用するコアの数を半分にすれば CPU 動作の値は 2 倍に増えるため これは予期される結果です 結論として このテストでは CPU 動作が直線的に変化し ウイルス対策ソリューションによって使用されるプロセッサコアの数に比例することが示されました 9
Trend Micro InterScan for Microsoft Exchange Server バージョン 8.0 を使用したテスト Symantec のテストの場合と同様 LoadGen ツールを使用して 専用のメールボックスサーバ上で 5,000 ユーザーによる負荷のシミュレーションを実行しました 5,000 ユーザーすべてが Outlook 2003 クライアントをオンラインモードで使用し ヘビーユーザーのプロファイルを設定しました このテストでは Exchange ハブトランスポートサーバにウイルス対策保護機能を実装した場合に CPU のオーバーヘッドに対してどのような影響が発生するかに注目しました 表 3 に 使用した Trend Micro の設定を示します 表 3 使用した Trend Micro の設定 設定の名前 Enable transport level real-time virus scan (Scan) All attachment files Scan message body Enable IntelliTrap (relevant to compressed files) Additional Threat Scan (Spyware and Adware) Specify action per detected threat Viruses (Clean and Notify) Specify action per detected threat Worms/Trojans (Replace with text/file and Notify) 設定のステータスまたはレベル 図 5 と図 6 に Trend Micro の GUI のうち [Virus Scan] タブの重要な設定を示します これらの設定には トランスポートレベルのウイルススキャン ウイルスを検出したときに実行するアクション Exchange のストアをスキャンするかどうかが含まれます 10
図 5 Trend Micro の [Virus Scan] の [Target] オプション 図 5 に示す IntelliTrap 機能は 圧縮ファイルに対するヒューリスティック評価を行うために使用されます この機能を使用すると 通常とは異なるファイル圧縮方式を使用しているウイルスが検出されないというリスクが軽減されます この機能では 圧縮済みファイルが検出対象になります 11
図 6 Trend Micro の [Virus Scan] の [Action] オプション Trend Micro InterScan for Microsoft Exchange Server バージョン 8.0 のテスト結果 Trend Micro のテストでも ウイルス対策ソリューションを実装するときに考慮すべき主な要素は そのソリューションが CPU 動作に及ぼす影響であることが示されました ウイルス対策ソリューションの実装によって CPU 使用率が受ける影響を理解すると CPU リソースのサイズを正しく設定するのに役立ちます Trend Micro のテスト結果から 少なくとも今回テストした構成については ハブトランスポートサーバに関して Microsoft が推奨するメモリ要件で十分なことが示されました Symantec のテストを実施したときと同様に Trend Micro のテスト中も ページングは見られませんでした ウイルス対策保護機能を実装しない場合 2 基のデュアルコアプロセッサを使用する環境で CPU 使用率は 5% でした Exchange ハブトランスポートサーバで Trend Micro のウイルス対策ソフトウェアを設定した場合 CPU 使用率は 16% でした ウイルス対策保護機能を実装した状況で デュアルコアプロセッサの数を減らすことによって CPU 動作が受ける影響を評価するために デュアルコアプロセッサを 1 基だけ使用してテストを実施しました このテスト結果から プロセッサの数を減らすと CPU 使用率が 30% に高まることが示されました ただし 使用するコアの数を半分にすれば CPU 動作の値は 2 倍に増えるため これは予期される結果です 結論として Symantec のテストを実施した場合と同様 このテストでは CPU 動作が直線的に変化し ウイルス対策ソリューションによって使用されるプロセッサコアの数に比例することが示されました 12
ベストプラクティスと結果 以下の項で示すベストプラクティスと結果は 本書で説明したテストシナリオだけに適用されるものです 両製品に共通するベストプラクティス メッセージソリューションの設計には 必ずウイルス対策保護機能を組み込む 特定のウイルス対策ソリューションを動作させるために CPU リソースのサイズを設定する Exchange ハブトランスポートサーバ上で プロアクティブなウイルス対策保護機能を実装する Exchange メールボックスサーバ上で リアクティブなウイルス対策保護機能を実装する 両製品に共通する結果 ウイルス対策ソリューションを実装すると CPU のパフォーマンスは影響を受けるが その度合いはそれぞれの構成によって異なる このテストで使用したウイルス対策の構成では Exchange ハブトランスポートサーバに RAM を追加する必要はない プロセッサコアの数を変更した場合 CPU のオーバーヘッドは直線的に変化した 両製品に共通する主な利点 このテストで使用したウイルス対策製品はいずれも メモリ内スキャンの利点を活かし 柔軟性が高く シグネチャの手動および自動更新が可能であり レポート機能が含まれている このテストで使用した 2 つの製品は 条件を満たすパフォーマンスを達成する 実装によってメモリ使用率に及ぼす影響に関して これら 2 つの製品の間に大きな違いはない 注記 : Symantecに関しては Virus Scanning Application Program Interface(VSAPI) のスレッド数およびスキャンプロセス数に関する柔軟性がより高かった これは手動で変更することも 管理コンソールから変更することもできる 両製品に共通する主な制限 どちらの製品も Exchange Server 2007 のクライアントアクセスサーバ (CAS) の役割をサポートしていない どちらの製品も Exchange Server 2007 のユニファイドメッセージング (UM) の役割をサポートしていない 13
結論 このテストの結果に基づいて 以下のようにあらゆる Microsoft Exchange メッセージングソリューションに対してウイルス対策保護機能を導入し ウイルスの攻撃による被害を防止することをお勧めします Exchange ハブトランスポートサーバ上にプロアクティブなウイルス保護機能を実装し Exchange メールボックスサーバ上でプロアクティブとリアクティブ両方の保護機能を実装する ウイルス対策保護機能を実装した場合は CPU のオーバーヘッドが増加することを計画に入れる ウイルス対策保護機能がない場合は ハブトランスポートサーバで測定されたベースライン CPU 動作は 5% だった ウイルス対策保護機能を実装した場合は CPU 動作の 9%~16% の増加が見られた ウイルス対策保護機能を動作させるために Exchange ハブトランスポートサーバに追加の RAM を準備する必要はなかった 追加しても パフォーマンスは向上しない このテストで使用したどちらの製品も 現時点では Exchange Server 2007 のクライアントアクセスサーバ (CAS) の役割や ユニファイドメッセージング (UM) をサポートしていませんが 重要なのはトータルメッセージングソリューション全体の計画の中にウイルス対策保護機能を組み込むことです プロアクティブな対策を実施することにより 重要なリソースを ウイルスによる攻撃がもたらす深刻な被害から保護することができます ウイルス対策保護機能を実装することにより メッセージングデータの損失 パフォーマンスの低下 Microsoft Exchange Server 2007 データベースの破壊を防止できます 14
参照先 この項では 参考情報とその URL を示します HP のソリューションとホワイトペーパー HP カスタマフォーカステスト http://www.hp.com/go/hpcft( 英語 ) Microsoft Exchange Server 2007 環境における HP 製サーバと HP StorageWorks EVA8000 のベストプラクティス http://h50146.www5.hp.com/products/storage/whitepaper/pdfs/4aa1-4704jap_pd.pdf( 日本語 ) Microsoft Exchange Server 2007 および iscsi 環境における HP 製サーバと HP Enterprise Virtual Array 8000 用のベストプラクティス http://h50146.www5.hp.com/products/storage/whitepaper/pdfs/4aa1-4703jap_jp.pdf( 日本語 ) Symantec Symantec 製品情報 http://www.symantec.com/business/products/overview.jsp?pcid=2242&pvid=846_1 Trend Micro Trend Micro 製品情報 http://www.trendmicro.com/ftp/documentation/guides/smexv8.0_b1181_scanmailgsg.pdf 2007 Hewlett-Packard Development Company, L.P. 本書の内容は 将来予告なしに変更されることがあります Hewlett-Packard Company 製品およびサービスに対する保証については 当該製品およびサービスの保証規定書に記載されています 本書のいかなる内容も 新たな保証を追加するものではありません 本書の内容につきましては万全を期しておりますが 本書の技術的あるいは校正上の誤り 省略に対しては責任を負いかねますのでご了承ください インテル Intel および Xeon は 米国およびその他の国における Intel Corporation の商標または登録商標です Microsoft は 米国における Microsoft Corporation の登録商標です 4AA1-6193JAP 2007 年 11 月 15