皆さんは「改ざん検知」というセキュリティソリューションをご存知でしょうか?その名の通り、第三者による不正改ざんを検知してシステムのセキュリティ性を高めるためのものです。
現在では「PCI DSS」や「J-SOX」などセキュリティスタンダードへの準拠に必要な不可欠なソリューションであり、世界中で政府組織や多くの企業に導入されています。
そんな改ざん検知のリーディングカンパニーでもある「Tripwire(トリップワイヤ)」。
今回はこのTripwireが提供する「Tripwire® Enterprise」とはどのようなものなのか?その全容を理解するため7つのポイントで解説していきます。
Tripwireは約20年間に渡り改ざん検知を提供している
Tripwireの歴史は長く、一番初めに開発されたのは1992年にまでさかのぼります。当時米国のパテュー大学に在学中であったジーン・キム(後のTripwire共同創設者)によってオープンソース版が開発されました。
ちなみに現在でも「Open Source Tripwire®」として入手することができます。
それから5年後の1997年にTripwire,Incが創設され、商用向け改ざん検知システムの開発と提供が開始されました。
このようにTripwireは約20年に渡り改ざん検知を提供し、業界でも最古参のベンダーです。
従って改ざん検知としてのノウハウを多く蓄積しておりその他のサービスでは提供できない領域をカバーしています。
Tripwire Enterpriseなら“リアルタイム”で改ざん検知できる
改ざん検知において重要なのは、変更されたファイルやディレクトリをいち早く検知・警告することです。
そのためには常に監視を続ける他ありません。
しかし多くのサービスとして提供される改ざん検知の場合、1日に数回程度の監視であるため、改ざん検知による被害をすべて防ぐことはできないのです。そのため監視と監視の間にファイルやディレクトリが不正改ざんされ、情報を搾取される可能性が十分にあり得ます。
一方、Tripwire EnterpriseではOSの監査システムと連携し、監査ログから提供される操作情報からほぼ“リアルタイム”で監視することができます。
これによりどんなに細かい不正改ざんも見逃すことはありません。
Tripwire Enterpriseは多角面から不正改ざんを検知する
一般的な改ざん検知サービスでは「ハッシュ値」と呼ばれる各データに付与された不正改ざんを検知するための数値を確認します。
つまり、以前のハッシュ値から変更されていたら不正改ざんを検知するという仕組みです。
しかし、年々多様化するサイバー攻撃では“ハッシュ値”を変更しないままデータを不正改ざんするといった技術が存在します。
このためハッシュ値を確認するだけでは改ざん検知として不十分なのです。
ではTripwire Enterpriseならばどうか?ハッシュ値に加えファイルサイズ、所有者、変更者、変更日時、グループ、権限属性、書込権限、代替データストリームなどから不正改ざんを検知します。
つまり一つ一つのデータに対してあらゆる角度から整合性をチェックしてくれるため、ハッシュ値を変更しない不正改ざんも検知することができるのです。
Tripwire Enterpriseなら圧倒的速度で不正改ざんに対処できる
改ざん検知システムにおいて検知精度はもちろんのこと、検知後の対応速度も非常に重要なポイントです。
不正改ざんを検知できたとしてもその後の対応が遅れれば情報を搾取されてしまう可能性があります。
ですので検知・警告するだけで対処はユーザー任せというシステムでは、セキュリティ性を確保することができません。
そこでTripwire Enterpriseは不正改ざん検知後の対処を予め設定しておくことができます。
例えばいち早くシステムを復旧できるようコマンド実行を設定しておけば、検知後即座に対処することが可能です。
こうした対処の自動化こそ改ざん検知としての強みと言えるでしょう。
Tripwire Enterpriseなら4大設定ポイントでシステム操作を簡素化
多くの企業がセキュリティソリューションに対して「操作が難しい」というイメージを持っています。
確かに多層防御システムやIDS/IPS(不正侵入検知システム)はシステムとして複雑な面が多く、セキュリティ専門家以外が操作するのは難しいでしょう。
その点Tripwire Enterpriseはシンプルに操作できるよう設計されているので「多機能でも使いやすい」を実現しています。
ユーザーは「ノード:どのデバイスを対象に?」「ルール:どのオブジェクトを対象に?」「タスク:どのスケジュールで?」「アクション:検知後の対処は?」の4
大設定ポイントを押さえれば、簡単に強力なセキュリティを敷くことができます。
Tripwire Enterpriseなら企業システム全体を守れる
「改ざん検知」と聞いてWeb改ざん検知サービスを思い浮かべる方は少なくないと思います。
近年Webサイトの不正改ざんによる被害が深刻化していることから、Webサイト運営をしている企業なら誰もが導入すべきサービスですね。
しかしWebサイトの不正改ざんというのはあくまで“足掛かり”にしか過ぎません。攻撃者は不正改ざんしてWebサイトを踏み出しにして、組織ネットワークへと侵入していくのです。
となれば改ざん検知としてカバーする領域はWebサイトだけでは不十分です。
Tripwire EnterpriseはWebサーバやアプリケーションはもちろんのこと、デスクトップやノートPCなどのデバイス、ルーターなどのネットワーク機器、データベースシステム、ディレクトリサービス、ハイパーバイザーなど、企業システム全体の不正改ざんを検知することができます。
つまりTripwire Enterprise一つで企業システム全体のセキュリティ対策を取ることができるのです。
Tripwire Enterpriseはコンプライアンス監査を自動化できる
クレジットカードに関するセキュリティ基準を策定したPCI DSS、SOXやJ-SOXへの準拠は多くの企業にとってコストのかかる対策となっています。
並大抵のことでは準拠が難しいため、企業にとってかなりの負担になっていることは間違いないでしょう。
そこでTripwire Enterpriseでは整合性監視とポリシー機能でコンプライアンス監査を自動化できます。
事実、世界中の企業がTripwire Enterpriseの導入により準拠を成功させ、かつ自動化により本来業務へ注力できるというメリットを享受しているのです。
ちなみにPCI DSSの要件11.5では「ファイル整合性を保つためのセキュリティソリューション導入」という項目があり、Tripwire Enterpriseは準拠のために事実上不可欠なソリューションとであるといえます。(実際、PCI DSS v1.0では、要件の中に“Tripwire”の文字も記載されていました)
さいごに
数あるセキュリティソリューションの中でなぜ改ざん検知が注目されているのか?それは、いかなるサイバー攻撃にも内部犯罪にも必ず何かしらの“改ざん”が発生するからです。
サイバー攻撃者はあの手この手で組織ネットワークへと侵入しますが、結局のところ行き着くのはファイルやシステムなどの改ざんをともなっての情報搾取です。
従って侵入をブロックするよりも、不正改ざんをいち早く察知し迅速に対処することの方が確実に情報流出を防げます。
いかがでしょうか?改ざん検知として業界リーダーでもあるTripwireは、幅広い範囲で企業システム全体を守備することが可能です。
なおも深刻化するサイバー攻撃の脅威に対し、皆さんの機密情報を守るため環境にマッチしたセキュリティソリューションはTripwire Enterpriseかもしれません。
