ファイル整合性監視

English -> Visit BeyondTrust Original Page

ファイル整合性監視の定義

ファイル整合性監視 (File integrity monitoring – FIM) とは、オペレーティング システム (OS)、データベース、アプリケーション ソフトウェア ファイルをテストおよびチェックして、改ざんまたは破損していないかを判断する IT セキュリティ プロセスおよびテクノロジを指します。変更監査の一種である FIM は、これらのファイルの最新バージョンを既知の信頼できる「ベースライン」と比較することで、これらのファイルを検証および検証します。FIM がファイルの変更、更新、または侵害を検出した場合、テクノロジはアラートを生成して、さらに調査を行い、必要に応じて修復を行うことができます。ファイル整合性監視には、リアクティブ (フォレンジック) 監査と、プロアクティブでルールベースのアクティブ監視の両方が含まれます。

ファイル整合性監視が重要な理由

FIM ソフトウェアは、IT 環境内の重要なファイルに対する予期しない変更をスキャン、分析し、レポートします。これにより、ファイル整合性監視は、ファイル、データ、およびアプリケーションのセキュリティの重要なレイヤーを提供し、インシデント対応の迅速化にも役立ちます。ファイル整合性監視の主な 4 つの使用例は次のとおりです。

  • 違法行為の検出
    サイバー攻撃者が IT 環境に侵入した場合、オペレーティング システムやアプリケーションにとって重要なファイルを変更しようとしたかどうかを知る必要があります。ログ ファイルやその他の検出システムが回避または変更された場合でも、FIM は IT エコシステムの重要な部分の変更を検出できます。FIM を導入すると、ファイル、アプリケーション、オペレーティング システム、データのセキュリティを監視して保護できます。
  • 意図しない変更を特定する
    多くの場合、ファイルの変更は管理者や他の従業員によって不注意に行われます。これらの変更の影響は小さく、見過ごされることがあります。また、セキュリティのバックドアを作成したり、業務や継続性に支障をきたしたりすることもあります。ファイル整合性監視は、誤った変更に焦点を絞ってロールバックしたり、その他の修復を行ったりできるようにすることで、フォレンジックを簡素化します。
  • 更新ステータスの確認とシステム状態の監視
    パッチ適用後のチェックサムを使用して、複数の場所とマシンにインストールされているバージョンをスキャンすることで、ファイルが最新バージョンにパッチされているかどうかを確認できます。
  • コンプライアンス要件の遵守
    GLBA、SOX、HIPAA、PCI DSS などの規制要件に準拠するには、変更を監査し、特定の種類のアクティビティを監視および報告する機能が必要です。

システムハーデニングのための FIM

システムハーデニング(強化)  (BeyondTrustサイト 英語) とは、テクノロジ アプリケーション、システム、インフラストラクチャ、ファームウェア、およびその他の領域における脆弱性を軽減するためのツール、テクニック、およびベスト プラクティスの集合です。システム強化の目標は、潜在的な攻撃ベクトルを排除し、システムの攻撃対象領域を縮小することで、セキュリティ リスクを軽減することです。

システム強化プロセスの主要コンポーネントとして、FIM はオペレーティング システム、ソフトウェア、およびその他のデータベース環境の脆弱性を検出するために使用されます。これにより、脆弱性が発生するとすぐにパッチを適用できるため、攻撃対象領域と攻撃の機会が大幅に縮小されます。

ファイル整合性監視: Windows と Linux および Unix の比較

FIM は、Windows ベースの環境だけでなく、Linux および Unix システムにとっても重要です。

Windows では、その構成のほとんどにレジストリが使用され、厳重に管理され制限されている領域である Win32 API と組み合わせて使用​​されます。ファイル整合性の監視は、Windows 監査  (BeyondTrustサイト 英語) (Windows ベースのコンピュータ システムで発生するイベントを追跡、分析、および理解するプロセス) の主要コンポーネントです。Windows 監査では、システム イベントの誰が、何を、いつ、どこで行ったかに関する重要なコンテキスト情報を明らかにできます。

Linux および Unix 環境では、構成はファイル システム全体の一部としてより露出されています。このため、Linux および Unix は直接攻撃やハッキングされたバイナリ実行ファイルに対してより脆弱です。Linux または Unix のコア ファイルを更新および置換すると、攻撃者は悪意のあるコードを簡単に挿入できます。

監視および保護すべき最も重要なファイル

理想的には、FIM は OS、データベース、ディレクトリ、アプリケーション、および重要なビジネス ファイルへの変更を追跡し、機密性や疑わしい可能性のある変更があれば警告する必要があります。変更管理を監査する主な領域には、次のものがあります。

  • Windows
    OS、ブートアップ/スタートアップ、パスワード、Active Directory、Exchange SQL など。
  • Linux/Unix
    ブートローダー、カーネルパラメータ、デーモンとサービス、実行コマンド、cron ジョブ、プロファイル、ホストなど。

ファイル整合性監視のベストプラクティス

ファイル整合性監視では、ファイルのさまざまな側面を検査して「デジタル フィンガープリント」を作成します。次に、このフィンガープリントを既知の良好なベースライン フィンガープリントと比較します。ネイティブ監査ツールは存在しますが、これらのツールには通常、複数のドメイン コントローラーからのセキュリティ ログが分散して保存される、ログ エントリ内に古い設定に関する情報が欠落している、監査ログからオブジェクト/構成を復元できないなど、いくつかの欠点があります。これらの理由から、中程度から高度に複雑な IT 環境を持つ組織は、通常、実績のあるエンタープライズ ソリューションに依存しています。

高品質のエンタープライズ FIM ソフトウェアは、次のようなファイルのさまざまな側面を考慮します。

  • 設定と権限を作成、変更、アクセス
  • セキュリティと権限の設定
  • ファイルの内容
  • コア属性とサイズ
  • ファイルの内容に基づくハッシュ値
  • 設定値
  • 資格

FIM は継続的、スナップショット、または定期的に実行できます。ランダムに実行することも、セキュリティ チームが設定したその他のルールに従って実行することもできます。

優れた FIM ツールは、以下を含む IT 環境のすべてのコンポーネントを監視します。

  • ネットワークデバイスとサーバー
  • ワークステーションとリモートデバイス
  • データベース、ディレクトリ、OS、ミドルウェア
  • クラウドベースのサービス
  • ハイパーバイザー構成とActive Directory

ファイル整合性監視は、あらゆる企業にとって不可欠な要素です (Endpoint セキュリティ )。スタンドアロンの FIM ツールも存在しますが、エンドポイント権限管理 / PAM 製品などにより効果的に対応することが可能になります。

エンタープライズ ソリューションは、少なくとも、変更管理、リアルタイム ログ、集中ログとレポート、アラートを提供する必要があります。多くの場合、ファイル整合性監視は、変更を以前の信頼できる状態に自動的にロールバックする機能も含まれる、より広範な監査およびセキュリティ ソリューションの一部です。理想的なソリューションは、すべてのアクセスおよび変更イベントについて、誰が、何を、どこで、いつ行ったかという明確で迅速な情報を提供します。