FIM(ファイル整合性監視)とは何か?

avatar

 2020.01.07  Japanブログ編集部

企業のIT環境では、非常に頻繁に変更が発生するために、ファイル整合性監視(FIM)機能が存在します。ハードウェア資産の変更、ソフトウェアプログラムの変更、構成状況の変更。このような変更は、パッチサイクルの間に発生したものであれば認められるものもあります。しかし、予期できない性質を持つ変更は懸念材料となります。

そのような変化に対し、企業は主に資産の検出とセキュアな構成管理(SCM)に投資することで対処しています。それらの基本的なコントロールを実施することで、企業は自社のデバイスを把握し、それらの製品の構成を監視できます。それでも、「重要なファイル内の変更の調整」という重大な課題が残ります。そのような課題を克服するために、企業がよりどころにするのがFIMです。

FIMとは具体的にどういうものか?

FIMの一部は、Tripwireの創設者であるGene Kimにより発明されました。後に、多くの企業がこれをセキュリティコントロールの中心に据えてサイバーセキュリティプログラムを構築しています。「ファイル整合性監視」という用語は、PCI標準規格によって広く知られるようになりました。

FIMは、サイバー攻撃の存在を示唆する可能性のあるファイルの変更を監視して検出するテクノロジーです。残念なことに、多くの企業にとって、FIMはノイズとなります。変更があまりに多く発生し、それらの背景情報がわからないうえに、変更が実際にリスクとなり得るのかについての知見に乏しいのが実情です。FIMは重要なセキュリティ対策の1つです。ただし、十分な知見と実用的なインテリジェンスを提供する必要があります。

変更監視機能とも呼ばれるFIMは、ファイルを監視して、変更の有無を調べるとともに、誰がいつ、どのように変更を行ったか、また変更が許可されたものでない場合に、それらのファイルを復元するにはどうするかを知るための機能です。

企業は、このコントロールを活用して静的ファイルを監視し、IPスタックや電子メールクライアント構成への変更などの不審な変更がないかを確認できます。そのため、FIMはマルウェアの検出だけでなく、PCIデータセキュリティ基準(PCI DSS)などの規制への準拠を実現するのにも役立ちます。

ファイル整合性監視プログラムの適切な実行で得られる3つの利点

ITインフラストラクチャーの保護:FIMソリューションは、サーバー、データベース、ネットワークデバイス、ディレクトリサーバー、アプリケーション、クラウド環境、仮想イメージ上のファイルの変更を監視し、不正な変更が発生した場合には警告します。

ノイズの低減:強力なFIMソリューションは、変更インテリジェンスを使用して、必要な場合にのみ通知を行います。その際、ビジネスコンテキストと修復手順も提供します。ご利用のFIMソリューションで使用するセキュリティメトリクスの詳細とダッシュボードを確認してみましょう。

コンプライアンス体制の維持:FIMは、PCI-DSS、NERC CIP、FISMA、SOX、NISTおよびHIPAAなどの規制基準、およびCISセキュリティベンチマークなどのベストプラクティスフレームワークを満たすうえで役立ちます。

ファイル整合性監視の機能(5つのステップ)

ファイル整合性監視は次の5つのステップで機能します。

ポリシーの設定:FIMはユーザー企業が適切なポリシーを定義することから始まります。このステップでは、どのコンピューター上のどのファイルを監視する必要があるかを特定します。

ファイルのベースラインの作成:ファイルの変更を能動的に監視できるようにするには、変更を検出する際の比較基準となる参照点を設定する必要があります。したがって企業は、FIMポリシーに適合するように、ファイルのベースライン(既知の正常な状態)を決定し、文書化しなければなりません。この基準には、バージョン、作成日、変更日付など、ITプロフェッショナルがファイルが正当なものであることを保証するのに役立つデータを考慮に入れるようにします。

変更の監視:詳細なベースラインを設定したら、指定したすべてのファイルの変更監視を始めることができます。予想される変更を自動処理することにより監視プロセスを強化して、誤検出を最小限に抑えることができます。

アラートの送信:ファイル整合性監視ソリューションが、不正な変更を検出したら、プロセスの責任者は、問題解決を行うことのできる適切な人員にアラートを送信しなければなりません。

結果レポートの作成:企業がPCI DSSのコンプライアンスを確保するためにFIMツールを利用する場合もあります。そのような場合には、企業はファイル整合性監視の判定が実行されていることを実証するために、監査用のレポートを生成しておく必要があります。

ファイル整合性監視ツールの評価にあたり検討すべき4つのこと

上記のステップを補完するために、企業はファイル整合性監視ソリューションが提供する追加機能を確認する必要があります。たとえば、「オン」と「オフ」で機能を切り替えることができたり、必要に応じて追加機能を提供できる軽量のエージェントが含まれるとよいでしょう。また、FIMポリシーを完全に制御する機能も必要です。そのためには、次のような機能を備える必要があります。

  • 管理:革新的なポリシーのカスタマイズ機能。
  • きめ細かな対応:デバイスタイプに応じて異なるポリシーをサポートできる能力。
  • 編集機能:企業の個々の要件に応じて、ポリシーを見直すことのできる機能。
  • 更新:コンテンツのダウンロード機能を介して、すべてのシステムを迅速に更新する機能。

Tripwireのファイル整合性監視ソリューション

Tripwireのファイル整合性監視ソリューションは、企業の環境内で発生するすべての変更に関するデータにビジネスコンテキストを付加することに重点を置いています。ITチームとセキュリティチームは、同ソリューションが提供するリアルタイムのインテリジェンスを使用することで、真に懸念すべきインシデントを特定できます。また担当者は、誰が何の変更をいつどのように行ったかを把握し、そのデータを計画された変更の検証に役立てることができます。

ファイル整合性監視は、企業が新しいソリューションを購入する際に検討すべき基本的なコントロールの1つにすぎません。FIMソリューションの中核となる3つのコンポーネントを次に挙げます。

変更検知

すべてのセキュリティ侵害は1つの変更から始まります。1つのファイルへの小さな変更が、御社のネットワーク全体を潜在的な攻撃に晒す糸口になります。ファイル整合性監視を最も簡単に説明するならば、「設定したベースラインからの変更を追跡し、セキュリティ上のリスクや規制順守違反につながる可能性のある予期せぬ変更が発生した場合に警告すること」となるでしょう。フィッシング詐欺、DDoS攻撃、マルウェア、ランサムウェア、または組織内部の脅威のいずれの場合でも、FIMソリューションは、サイバー犯罪者がシステムに侵入した時には、ただちに警告を発する必要があります。

セキュアなベースラインとの比較

ファイルへの変更が組織のセキュリティに影響するものであるかを知るためには、まず信頼できるデータ整合性のベースラインを作成する必要があります。Tripwire®File Integrity ManagerなどのFIMソリューションは、システムの構成ベースラインをキャプチャし、ファイルの各変更に関する「誰が、何を、いつ」といった詳細情報を提供します。その際、通常の変更に関する通知に煩わされることがありません。

修復のための自動化されたガイダンス

FIMソリューションは、不審な変更が特定されたときに、実行すべき手順を明確に伝えることができてこそ役に立つものです。FIMソリューションが、設定したセキュリティベースラインからの不審な変更について警告を発するときには、修復に向けた緊急対応手順を示す必要があります。自動化されたFIMソリューションは、設定したベースラインに速やかに戻すための手伝いをします。高度なFIM製品は、ログ管理脆弱性管理セキュリティ構成管理(SCM)、およびDevOpsツールなどの他のセキュリティソリューションとも統合できます。

他の重要なセキュリティ対策に関する情報については、ホワイトペーパー『FIM Isn’t Just for Files Anymore』をダウンロードしてご一読ください。

ビデオ:ファイル整合性監視ツールを操作している様子を確認できます。


トリップワイヤ・ジャパンでは脆弱性管理、法規制遵守、インシデント対応やサイバーセキュリティに関する有益な情報をお届けしております。すべてのカタログ、セキュリティに関する情報はこちらからダウンロードいただけます。Tripwireセキュリティ リソース

TRIPWIRE ENTERPRISE データシート

RECOMMEND関連記事


RECENT POST「ファイル整合性監視」の最新記事


この記事が気に入ったらいいねしよう!