改ざん検知・侵入検知ソリューション:Tripwire Enterprise
改ざん検知とは
管理者による「更新」なのか、攻撃者による「改ざん」なのかを見極める
サイバー攻撃は、システムの脆弱性をついて標的のコンピュータやネットワークに侵入し、遠隔操作やデータの搾取や破壊などを行います。
アカウントの乗っ取りであったり、直接的に情報を搾取するためであったりと、攻撃者の目的は様々ですが、どの場合も必ずシステムに対して「変更」を加えます。
そのため、システムに対する不正な変更をいち早く検知して防御策をとることが、何よりものセキュリティ対策に繋がるのです。
また、改ざん検知をすることは「PCI DSS」などセキュリティスタンダードへの準拠に必要不可欠となっています。
「Tripwire Enterprise」は、改ざん検知の他に、PCI DSSに対してもファイル整合性監視(変更監査)と、コンプライアンスの達成と維持(コンフィグレーション・アセスメント)を実現します。
Tripwire Enterpriseとは
システムの変更を迅速に検知し、自動で通知や修復を行う
「Tripwire Enterprise」は対象ファイルやディレクトリなどのハッシュ値だけを追うのではなく、OSが持つ監査システムと連携し、変更日時、変更者、ファイルサイズ、書き込み権限など多角的に対象を監視します。「いつ?」「誰が?」「何を?」変更したのかを検知することで、システム上の正当な変更と攻撃者による不正な改ざんを迅速に見極めることができるのです。
「Tripwire Enterprise」は不正に改ざんされた痕跡を発見するだけではなく、通知・修復などを自動で行います。
システムへの徹底した変更管理でセキュリティを可視化し、改ざん検知、情報漏洩(漏えい)・標的型攻撃対策を強力にサポートします。
環境構成
広範囲にわたって不正な操作やオペレーションミスによる変更を検知
Tripwire Enterprise を環境構成には、監視対象からの情報を管理するためのマネージャ・プロセス Tripwire Enterprise / Server が必要となります。
監視対象のサーバには、エージェント と呼ばれるプロセスが常駐し、ほぼリアルタイムで監視を行います。※対応OSのみ
Tripwire Enterprise / Serverだけでなく、エージェントもベースラインを持ち、変更の検知を行います。変更が発生した情報のみ、Tripwire Enterprise / Server へ送信されるため、極力ネットワークに負荷を掛けないアーキテクチャとなっています。
監視方法
ベースラインと比較して変更を検知
「Tripwire Enterprise 」は2つのスナップショットを比較することにより、変更を検知します。
スナップショットとは、監視対象のファイルの属性の集まりです。
正しい状態(承認された状態)のスナップショットをベースラインと呼び、変更の検知は、ベースラインとの比較で取得します。
※ サイズ、日時、ハッシュ値など、監視属性は設定で変更することができます
変更は更に、「変更」、「追加」、「削除」に分類されます。
- 変更 : ベースラインとの間に、監視属性の値の差異が認められた状態。
- 追加 : ベースラインがない、新しく作成された状態。
- 削除 : スナップショットを取得できなかった、削除された状態。
変更の可視化
検知された変更は、様々な方法で確認することができます。変更を検知したら、すぐにメールで知らせるか、あるいは、決まった時間にレポートを作成し、メールに添付して送ることも可能です。
Tripwire Enterpriseのコンソール上ではどのような変更が発生しているかを、ベースラインと検知された変更を比較して表示します
特長
豊富な監視テンプレートが用意されています
多彩な監視テンプレートで、WebコンテンツにとどまらずOSのシステムファイルの変更も監視します。
導入されているOSに合わせて監視テンプレートの選択が可能です。
カスタマイズ可能なレポートテンプレートが用意されています
IT パフォーマンスの測定、コンプライアンス遵守状況の証明、未承認の変更や改ざんの証拠としてなど、IT 環境を把握するための多角的な情報をレポートとして管理することができます。
レポートは環境に応じたカスタマイズで変更状況や変更履歴の確認を容易に行えます。
コンプライアンス監査にもご活用いただけます
PCI、CIS、NIST各コンプライアンスに応じた専用ポリシーセットが備わっているため、管理下のシステムが条項に合致しているかチェックし、レポートを自動作成します。
