SCEP の定義更新間隔について

  • Article

こんにちは、日本マイクロソフト System Center Support Team です。

本ブログ記事では、System Center 2012 (R2) Endpoint Protection (以下 SCEP) の定義ファイルの更新間隔の既定値について、ご説明いたします。

SCEP は原則として System Center  2012 (R2) Configuration Manager (以下 SCCM) で設定し、管理することを前提とした製品です。
SCCM 管理コンソールにて SCEP を管理対象として構成し、SCCM クライアントに SCEP をインストールしますと、インストール 完了時点での SCEP の定義更新確認の間隔は、[既定のマルウェア対策ポリシー] の設定値に従い、既定で 8 時間になります。

定義更新確認の間隔の推奨値については、これまでに何度かお問い合わせをいただいておりました。
弊社では、特に推奨値としての公式情報は提示しておりませんが、既定の値である 8 時間あるいは 4 時間に設定してご利用いただいているお客様が多いといえます。

なお、プログラムの内部的には、定義の更新確認の間隔として、 4 時間という値を有しております。
この 4 時間という値の理由について、以下に説明いたします。
 
定義更新ソースとして WSUS/Microsoft Update をご利用いただく場合、現時点 (2015年 4 月) における弊社からの既定の定義更新のリリース間隔は、およそ 8 時間です。
マルウェア対策ポリシーにおける、SCEP の定義更新確認の間隔の既定値である 8 時間は、これにマッチした値です。
既定値でお使いいただきますと、ご利用環境においても弊社定義のリリース間隔に合わせて、定義が 8 時間間隔で更新されることになります。

この定義の更新間隔を、8 時間より短く設定しますと、新しくリリースされた定義をより早期にクライアントに適用させることが可能となります。
しかしその場合、既にクライアントの定義が最新の状態である場合に、定義の更新を伴わない更新の確認が必ず発生します。
組織内にクライアントが数千台など多数存在する場合、クライアントの定義が最新の状態であり、定義の更新を伴わない更新の確認の回数が多ければその分、サーバーには余計な負荷がかかります。
 
このため、クライアントからの余計な更新の確認回数を最小にし、かつできるだけ新しい定義をクライアントに適用する更新の確認間隔として、クライアントは内部的に 4 時間という既定値を保持しております。

こちら、具体例にて説明いたします。
 
例えば、0:00 AM に、弊社が新しい定義をリリースし、クライアントが 0:30 AM に定義の更新を確認したとします。
これにより、クライアントには、0:00 AM 版の定義がインストールされます。
次に、クライアントが 4:30 AM に定義の更新を確認したとします。
次回の最新版の定義は 8:00 AM にリリース予定であるため、この時点では定義が更新されません。
次に、クライアントが、8:30 AM に更新を確認します。このとき、8:00 AM にリリースされた定義がインストールされます。
これは、リリースされてから 30分後となります。

定義のリリース間隔が 8 時間である以上、クライアントが 4 時間の間隔で更新の確認を行えば、上記のパターンにより、常にリリースから 4 時間以内にクライアントの定義が更新され、かつ定義の更新を伴わない更新の確認は 1 回に抑えることができます。

間隔を 4 時間より短くすると、8時間のリリース間隔のうち、定義の更新を伴わない更新の確認は2回以上発生することとなります。
一方、間隔を 4 時間より長くすると、リリースから定義適用までの経過時間が長くなり、より古い定義を使用することとなります。
つまり 4 時間は、定義のリリース間隔が 8時間の場合、更新の確認回数が最も少なくかつ、最も新しい更新を導入できる確認間隔であるといえます。

このように、SCCM 管理コンソールのマルウェア対策ポリシーを利用して、定義更新確認の間隔を 8 時間あるいは 4 時間に設定していただきますと、弊社の定義更新のリリース間隔に合わせた定義確認が可能となります。
上記の値を基準に、お客様環境のクライアント数や、定義の配布を行うサーバーのパフォーマンスなどから、最適な更新の確認間隔をご検討いただけますと幸いです。

How to Create and Deploy Antimalware Policies for Endpoint Protection in Configuration Manager
https://technet.microsoft.com/en-us/library/hh508785.aspx
(機械翻訳)
https://technet.microsoft.com/ja-jp/library/hh508785.aspx