クラウドコンピューティングの普及により、インフラを持たない企業が増えています。必要なときに必要なリソースだけを確保できるクラウドは、コスト適正化と運用いらずで中小企業を始め、大企業でも導入が拡大しているサービスです。
そんなクラウドの中でも高いシェアを持つのがAWS(Aamzon Web Service)。ネットショッピングでお馴染みのAmazon.comが運営するクラウドサービスです。
WEBサイトを構築するためのインフラとしても利用されるAWSでは、検知機能としてAIDEという改ざん検知が設定によって使用できます。本稿では、このAWS AIDEがどんな効果を持っているのか、などをご紹介します。
AWS AIDEの利用効果
そもそも改ざん検知とは、システム内のファイルやレポジトリ、あるいはソースコードなどが変更された際に管理者に通知するためのセキュリティシステムです。IDS(Intrusion Detection System:不正侵入検知システム)と同一視されることもあります。
改ざん検知を導入する効果は高度なセキュリティの実現です。サイバー攻撃者は内部ネットワークの侵入に成功すると、ファイルを変更したり削除したりすることで、情報の搾取や破損を狙います。
そのため、ファイルなどが不正に変更されていないかを監視することで、効率良く不正を検知し、すぐに管理者に知らせられます。
AWS AIDEはそんな改ざん検知を提供する製品の一つです。もともとはオープンソースソフトウェア(OSS)で提供されているもので、AWSには標準装備されています。
ちょっとした設定変更でインストール可能なので、AWSを利用していてセキュリティ技術を持つ企業では、一度インストールしてみるのもいいでしょう。AWS AIDEのインストール方法については、参考になる文献を次に記載しておきます。
参考:ナレコムAWSレシピ「AWS AIDEを使って改ざん検知をしてみた」
AIDEの改ざん検知性能としては優れています。改ざんがあると、どのファイルが改ざんされたかまで特定できるため、WEBサイト改ざんや内部ネットワークへ侵入して際のシステム改ざんなどに有効です。
ただし、あくまで「改ざん検知」に特化した機能なので、改ざんをブロックしたりファイルを修正するようなプログラムはありません。ファイルなどの改ざんに対して確実なセキュリティを施行したのであれば、やはり検知だけに終わらない改ざん検知製品の導入が必要でしょう。
改ざん検知に求める機能とは
AWS AIDEは標準装備されているので、簡易的に改ざん検知を実施したい場合は素晴らしい機能です。ただし、ファイルの修復やアクセスのブロックなど、より高度なセキュリティを求める場合はAWS AIDEではない改ざん検知が必要です。では、改ざん検知に求められる機能とは何でしょうか?
検知する頻度を設定できる
改ざん検知行う頻度は非常に重要です。たとえば2時間おきにファイルの改ざんをチェックした場合、その間の時間に改ざんが起きてしまえば重大なセキュリティ事件につながる可能性が大いにあります。そのため、改ざん検知にはユーザーの自由に検知スケジュールを組める機能が必要です。
可能ならば、リアルタイムにファイルを監視できる機能があるとベストです。ただしそうした場合、改ざん検知をホストしたサーバやファイル監視対象となっているサーバに負荷がかかり、パフォーマンスが低下する恐れがあります。
検知だけでなく改ざんされたファイルの修復もできる
改ざん検知は、それだけではサイバー攻撃による被害を食い止めることはできません。不正なファイル変更を迅速に検知したとしても、さらに迅速にその不正に対応しなければならないためです。そのため不正なファイル変更を検知した際に、ファイルを自動で修復する機能が必要です。
あるいは、そうした機能がない改ざん検知でもIPS(侵入防御システム)と併用することで、セキュリティを強化できます。
社内システム全体をカバーできる
「改ざん」と聞くとWEBサイトの改ざんをイメージする方が多いかもしれません。WEBサイト改ざんは現在深刻なサイバー攻撃の一つであり、情報漏えいやウイルスばら撒きといった甚大な被害につながります。
しかし、サイバー攻撃によって改ざんされてしまう可能性のあるファイルは、何もWEBサイトだけではないのです。業務アプリケーションや基幹システム、ネットワークデバイスやサーバOS、あるいはハイパーバイザ(仮想化ソフトウェア)など改ざんの危険性はかなり広範囲に潜んでいます。
このため企業は、改ざんが起こりうる場所を広範囲にカバーする改ざん検知を選ぶことが大切です。あるいは、複数のセキュリティ製品でカバー範囲を広げる方法もあります。
脆弱性を診断できる
脆弱性とはシステム内に存在する、セキュリティ上の欠点のことです。多くの場合、システムを構築したり改修する際に、セキュリティを意識していないコーディングによって脆弱性が発生してしまいます。
種類を問わず、社内システムには必ず脆弱性が潜んでいる可能性があります。従って改ざん検知には、定期的な脆弱性診断によって、社内システムのセキュリティ状況を把握できる機能も必要です。
Tripwire Enterpriseの改ざん検知とは
ここで、改ざん検知のパイオニアであるTripwireが提供するセキュリティソリューション、Tripwire Enterpriseについて少しご紹介します。
Tripwireは1997年から商用ソフトウェアとしての改ざん検知を提供し、20年以上にわたって企業の堅牢なセキュリティ構築を支援しています。さらに遡れば、1992年にオープンソースソフトウェアとしてのTripwireが開発され、当時のソフトウェアは現在も入手可能です。
そんなTripwireが提供する高度な改ざん検知製品が、Tripwire Enterpriseです。
特長としてはまず、社内システム全体を広範囲にわたってカバーできます。その範囲はWebサーバやアプリケーションはもちろんのこと、デスクトップやノートPCなどのデバイス、ルーターなどのネットワーク機器、データベースシステム、ディレクトリサービス、ハイパーバイザ(仮想化ソフトウェア)などに及び、まさに企業全体のセキュリティを確保するためのセキュリティソリューションです。
もう一つ突出した特長はというと、改ざんされたファイルの自動修正プログラムです。ファイルが不正に変更された際に、自動で修正されるようプログラムを設定しておくと、Tripwire Enterpriseが改ざんの検知からファイルの修正まですべて自動的に行ってくれるため、改ざんへ迅速な対処が可能です。
現在では、高度なセキュリティを必要とするPCI DSS(クレジットカード情報セキュリティの世界基準)へ準拠するために、事実上不可欠なシステムとして位置づけられています。
より高度な改ざん検知で、堅牢なセキュリティを
横行するサイバー攻撃に対して改ざん検知は非常に有効な対策です。しかし、それだけではやはり不十分で、Tripwire Enterpriseのように高度な改ざん検知ソリューションを導入するか、複数のセキュリティ製品で対応する必要があります。セキュリティ事件を起こし被害が出てからでは遅いので、早めの段階で改ざん検知の導入をご検討ください。
