不正アクセスの最後の砦「Tripwire」の導入

最近のインターネット常時接続環境の進行の代償に不正アクセスに晒されるリスクが増加している。不正アクセスによりファイルが改竄された場合、WindowsやUNIX上の無編成ファイルから改竄された箇所を探し出すにはシステムが破壊された場合と比較して相当の時間と労力がかかる。

不正アクセスの70~80%を占める社内の不正アクセスに対しては気がつかないまま放置されることが多い。その結果、企業の致命的信用失墜につながることになる。

東芝情報システムはデータ改竄を自動検知して通知するために、米国トリップワイヤ社の製品である「Tripwire」の導入を勧めている。サーバーに格納されたファイルやレジストリの状態を常時監視。その整合性をチェックすることで悪意ある不正アクセスやファイル操作のオペレーションミスなどを迅速に検知。特にファイアウォールをはじめとする他のセキュリティ機構をかいくぐってきた不正アクセスに対しては、最終的な防衛手段として有効に機能する。監視中に異常と思われる事態を発見した場合には、素早くメールでシステム管理者に通知。万一ファイルが改竄された場合も、元のファイルに置き換えることで迅速な復旧が実現できる。

ファイルが書き換えられたかどうかは、通常、ファイルのタイムスタンプで判断するがハッカーはタイムスタンプを書き換えない。したがって、改竄の発見が遅れ、深刻な事態に発展する。

「Tripwire」は、全データをビット信号に置き換え、1ヶ所でも変更されたら検知する「ハッシュ技術」を採用。ファイルの破壊、改竄、書換え、アナライザなどの不正設置、レジストリの破壊、あるいはオペレーションミスによる修正、削除、機能停止などを、漏れなく検知する。検知結果は、一覧表形式で表示され、異常事態が発生したときには、指定したメールアドレスへ自動通知することもできる。さらに、詳細情報を追跡して、改竄された箇所を漏れなく、正確に突き止めることも容易にできる。

インターネットにつながる可能性のあるサーバーは、企業の全社レベルでは、相当数、規模になる。複数のサーバーに導入した「Tripwire」を、一元的に管理するために「THQマネージャ」が用意されている。「THQマネージャ」は、管理コンソールとエージェントで構成、複数サーバに導入された「Tripwire」をエージェントが機能させ、検知結果をコンソールに配信して、集中管理を可能にする。エージェントによるチェックのスケジュールは、ポリシーベースで設定できる。

総合的なセキュリティ・システムの構築にあたっては、システムの堅牢性を高めると同時に不正なアクセスをいかに素早く検知するかが重要である。ファイアウォールなどの過信から適切なセキュリティ運用がなされず不正アクセスを招いた場合に対する最後の砦として、「Tripwire」は有効性を発揮する。

■関連記事
  アンダーグランド界の状況
      

おすすめ記事