Linuxはオープンソースで開発されたサーバOSです。ソースコードが開示されているため、無償でのインストールや独自の改修、再配布などができます。Linuxは企業において広く導入されているサーバOSであり、なんとここ数年ではWindows OSを抜き、インストールベースで高いシェアを獲得しています。
参考:NECマネジメントパートナー「BOSS-CON JAPANに聴いてみた 国内サーバOSシェアに異変!Linuxサーバ急拡大」
理由はやはりその手軽さにあるでしょう。無償でインストールできる上に、仮想環境などにおいてもボタン一つでクローンの作成が可能です。Windows OSではライセンス取得の手間とコストがあるため、Linuxの利点がより際立っているのだと考えられます。
ただし、Linuxサーバはオープンソース故のセキュリティの弱さがあります。商用ソフトウェアとして提供されているWindows OSに対し、ベンダーサポートもないためセキュリティに大きな不安が残るのは確かです。
そこでLinuxサーバには独自のセキュリティが必要であり、それを運用するための技術も大切です。本稿では、そんなLinuxサーバで利用可能な改ざん検知ツールを紹介すると共に、Tripwire Enterpriseの特長についてご紹介します。
なぜ、改ざん検知が重要なのか?
情報セキュリティ界隈でよく言われているのが「セキュリティ対策に100%はない」ということです。どんなに堅牢なセキュリティ対策を講じたとしても、たった一つの脆弱性からシステムへの侵入を許してしまったり、高度なサイバー攻撃の被害に遭うことがあります。
そこで、社内システムに侵入されたりサイバー攻撃を許してしまったことを想定した対策が必要です。その対策こそが改ざん検知であり、社内システムをあらゆるサイバー攻撃から守るために欠かせないセキュリティソリューションです。
改ざん検知は主にファイルの整合性を監視します。整合性とは、簡単に言えば「つじつまが合っていること」です。このためファイルの整合性が合ってきないと、第三者によって不正に改ざんされた可能性があります。
どのようにファイルの整合性を監視するかというと、たとえばTripwire Enterpriseならスナップショットを取得し、現状と過去のスナップショットを比較することで不正な変更を検知します。
サイバー攻撃というのはファイルの改ざんから始まります。攻撃の入り口となるバックドアを仕掛けるのも、情報搾取のために秘密裏にファイルを作成するのもつまるところ改ざんです。そうした改ざんを迅速に検知できれば、たとえ内部ネットワークへの侵入を許してしまっても、サイバー攻撃による被害を食い止めることができます。
Linuxサーバで利用できる改ざん検知
Auditd
日本語で「監査」という名称が付いているAuditdは、SELinuxのAVC拒否、システムログイン、アカウント変更、sudoなどを使った認証結果などを監査できる改ざん検知です。AuditdはLinuxカーネルでシステムコールを記録して、特定の条件にマッチする操作をログとして出力します。通常の改ざん検知とは保護範囲が異なるものの、システムコールを記録することでもファイル変更の監視はできます。
具体的な実装方法に関しては次の参考サイトをご覧ください。
参考:Red Hat Customer Portal「第5章 システム監査」
AIDE
AIDE(Advanced Intrusion Detection Environment)はLinuxと同じく、オープンソースソフトウェアとして開発された改ざん検知です。先述のAuditdよりも改ざん検知機能を多数備えており、不正なファイル変更を検知してくれます。
AIDEは手動でコマンド実行する改ざん検知です。ただし、独自にスクリプトを作成すれば定期的に検知を実行するよう設定できます。
難点は、あくまで改ざん検知のみに特化した機能です。ファイルが変更された、追加された、あるいは削除されたといった変更内容は検知するものの、その後のファイル修復などは行われません。
そのため、AIDEだけを導入するのではなく、IPS(侵入防御システム)など不正をブロックするためのセキュリティソリューションも必要になります。
AIDEの実装方法に関しては次の参考サイトをご覧ください。
参考:Webセキュリティの小部屋「オープンソースの IDS である AIDE を CentOS にインストールする」
inotifyはLinuxサーバのバージョン2.6.13からリリースされた改ざん検知機能のAPIです。APIとは、既に存在するプログラムを呼び出して使う機能のことで、inotifyをAPIとして組み込むことで改ざん検知が可能になります。監視対象となるファイルが変更や追加または削除された場合にアラートし、改ざんされたファイルを教えてくれます。
LinuxサーバだけでなくWindowsサーバやその他の製品でも使用できるため、技術があればこちらも有効な選択肢になります。
参考サイト:「inotify」
Tripwire Enterpriseが改ざん検知として他製品よりも優れているポイント
Tripwire Enterpriseは、ソフトウェアをホストしたサーバだけでなく、社内システム全体を監視できる改ざん検知です。サーバを始めデスクトップ、アプリケーション、ネットワークデバイス、データベース、ディレクトリサービス、ハイパーバイザなど広範囲に監視し、ファイルやソースコードの不整合を検知します。
改ざん検知を社内システム全体に適用できるため、万が一内部ネットワークに侵入されてもサイバー攻撃の兆候を見逃しません。
さらに、ファイルやソースコードの改ざんを検知したのち、自動プログラムによって変更を修復します。そのため、検知と同時にサイバー攻撃のブロックができる改ざん検知ソリューションです。
この他にも、脆弱性診断など多彩な機能を備えているため、社内システムのセキュリティを大幅に強化していただけます。
Linuxサーバに改ざん検知を
Linuxサーバはオープンソースであるがゆえに、脆弱性も多いのが実情です。これは、定期的なセキュリティアップデートだけで対応し切れるものではなく、やはりセキュリティシステムによる保護の強化が必要となります。Tripwire Enterpriseはサーバを含め社内システムのあらゆるソフトウェアやデバイスを単一管理画面でコントロールできるので、Linuxサーバの改ざん検知導入の際にはぜひご検討ください。
