今回は、WEBサイトの改ざん検知機能を検討している方々に向けて、対策や製品選択に必要なチェックポイントをご紹介します。
改ざん検知は社内のシステムやファイルに加えられた変更を検知するための機能あるいはシステムです。そのため、WEBサイト改ざんやネットワーク内に侵入するサイバー攻撃などに効力を発揮します。
WEBサイトの改ざんにおいては企業独自に取れる対策がいくつかあるものの、完璧ではないのが難点です。多様かつ高度なサイバー攻撃によって改ざんを許してしまう可能性は大いにあるため、改ざん検知が必要になります。
それではさっそくチェックポイントを紹介していきます。
改ざん検知を実行する場所に注意する
改ざん検知によるシステムやファイルの監視は、大きく分けて2種類の場所から行われます。一つがWEBサーバ上での監視で、もう一つが遠隔での監視です。
WEBサーバ上の監視
WEBサーバ上のOSで改ざん検知が実行されることで、リアルタイムな検出ができます。ただし、WEBサーバのリソースに負荷がかかったり、OSのアップデート時に影響を受けたりと制約が多くなる難点があります。
遠隔での監視
遠隔監視によって改ざん検知を実行すると、WEBサーバのリソースを使わないため負荷が少ないのが利点です。ただし、前者の監視方法に対してリアルタイムさに欠ける難点があります。
セキュリティを高めるためにも、改ざん検知は攻撃を検出するスピードが大切です。ただし、必ずしもWEBサーバ上での監視がベストとは限らないため、現状を考慮した上での選択が大切です。
改ざん検知の方法を検討する
一口に改ざん検知といっても、その方法は様々です。WEBサイトに頻発しているサイバー攻撃を理解した上で、最適な検知方法を選択しましょう。
スナップショット型
スナップショットとはある時点でのデータベースやファイル、ソースコード、ディレクトリなどを切り取ったもので、データバックアップにも使用される技術です。このスナップショットを定期的に行い、切り取ったスナップショットとシステムを比較することで、改ざんを検知します。リアルタイムかつ検知能力の高いタイプです。
振る舞い分析型
仮想的に作られたPCから監視対象となるWEBサイトを訪問して、不正な振る舞いがないかを検知します。振る舞い分析型はユーザーが体感しているWEBサイトの挙動をもとに改ざんを検知できるため、検知能力が高いタイプです。ただし、システムやファイルが改ざんされた場所までは特定できません。
シグネチャマッチ型
シグネチャとは複数の攻撃パターンが登録されたファイルのことで、WEBサイト通信とマッチングして改ざんを検知します。既存の攻撃に対しては有効なものの、未知の攻撃に対しては弱い傾向にあります。
ハッシュリスト型
監視対象となるWEBサーバ上にあるファイルのハッシュを定期的に計算し、前回作成したハッシュリストと比較することで改ざんを検知する仕組みです。システムが不正改ざんを自動で検知できないため、正常な変更か改ざんかは運営が監視し判断します。
このように、改ざん検知の方法は多様です。リアルタイムさや検知能力が高い検知方法を選択しましょう。
すでにWEBサイト改ざんの被害に遭っていないか
実は、サイバー攻撃の多くに企業が気付けていないことをご存知でしょうか?一説には9割以上の企業が、外部からの報告によってサイバー攻撃の潜伏を知るといいます。従って、自社のWEBサイトでもすでに改ざんの被害に遭っているかもしれません。
そこで改ざん検知を導入する前に、WEBサイトセキュリティの診断をおすすめします。WEBサイト診断を行うと現状サイバー攻撃を受けているかどうか、あるいは脆弱性(セキュリティ上の弱点)が潜んでいないかが分かります。
この他、攻撃傾向などもわかるので、改ざん検知を導入する際の基準の一つになるでしょう。
改ざん検知の範囲を決める
近年のサイバー攻撃は非常に高度なため、単一でのセキュリティ対策では対処し切れない可能性が大いにあります。たとえば、WEBサーバへの改ざん検知によってサイバー攻撃を防いだと思いきや、実はすでに内部ネットワークに侵入していて業務システムから情報が抜き取られていた、といったケースも考えられます。
そのため、改ざん検知の範囲を考慮した上での製品選択が大切です。
改ざん検知のパイオニアでもあるTripwireは、WEBサイトだけでなく社内システム全体の改ざんを検知するセキュリティ製品です。Tripwire Enterpriseではサーバを始め、デスクトップ、アプリケーション、ネットワークデバイス、データベース、ディレクトリサービス、ハイパーバイザ(仮想化ソフトウェア)の改ざん検知に対応しております。
社内システム全体を監視できることで、WEBサイトを越えて内部ネットワークに侵入したサイバー攻撃にも有効です。
オープンソースソフトウェア(OSS)はなるべく避ける
OSSとはライセンス不要で導入できるソフトウェアのことで、無償での利用および改修や再配布ができます。OSSには「コストがかからない」という大きなメリットがあるものの、製品自体の保証がなかったり、運用サポートがなかったりと基本的には「自己責任型」のソフトウェアです。
WEBサイトを制作するためのWEBアプリケーションや、顧客システムなどの業務アプリケーションでOSSが使用されることは多くあります。しかし、セキュリティシステムにまでOSSを適用することはおすすめしません。
なぜなら、セキュリティ対策を取るためのシステム自体に脆弱性が隠れている可能性が高いからです。OSSは無償で利用できるものの、セキュリティ上問題の多いソフトウェアが多数存在します。
社内にセキュリティ技術に明るい社員がいて、自信のある企業以外はOSSの使用は避けるべきです。
セキュリティ以外の特長にも注目する
改ざん検知を導入する第一の目的はやはり「セキュリティ」です。ただし、製品によってはセキュリティ以外の特長を持つ場合があります。たとえばTripwireの場合、PCI DSSという国際標準への準拠に最適です。
PCI DSSは国際クレジットカードブランド5社(American Express、Master Card、JCB、VISA、Descover)が共同策定したセキュリティ標準です。現時点での日本では、クレジットカード会社や加盟店におけるPCI DSS準拠の義務化が進められています。
そのためTripwire Enterpriseは、クレジットカードセキュリティのコンプライアンスに対応するために事実上必須のセキュリティ製品です。
改ざん検知でより高度なセキュリティを
WEBサイトに限らず様々なサイバー攻撃から社内システムを守るためには、複数のセキュリティシステムが求められます。改ざん検知はその中でも重要なセキュリティ製品の一つであり、WEBサイトおよび社内システム全体のセキュリティを向上するための必要です。現在、改ざん検知機能および製品を今後導入する方は、今回紹介したチェックポイントをぜひ参考にしてください。
