ファイル整合性​監視 (FIM) とは？

ファイル整合性監視 (FIM) は、ファイル整合性管理とも呼ばれ、ファイルシステム、ディレクトリ、データベース、ネットワークデバイス、オペレーティングシステム (OS)、OSコンポーネント、ソフトウェアアプリケーションなどの重要なアセットの整合性をモニタリングおよび分析し、サイバー攻撃が疑われる改ざんや破損の兆候を探すセキュリティプロセスです。

FIMツールは、2つの異なる検証方法に依存して、重要なファイルシステムやその他のアセットの整合性を検証します（リアクティブまたはフォレンジック監査、およびプロアクティブまたはルールベースのモニタリング）。どちらの場合も、FIMツールは現在のファイルとベースラインを比較し、あらかじめ定義された会社のセキュリティポリシーに違反してファイルが変更または更新された場合にアラートをトリガーします。

ファイル整合性​監視が重要な理由

近年、サイバー犯罪者は、マルウェアやその他の手法を使用して、重要なシステムファイル、フォルダー、レジストリー、およびデータエンドエンドポイントを改ざんし、巧妙なサイバー攻撃を実行するようになっています。これらのハッカーは、検知されないままにしておくと、データ、IP、顧客情報を盗んだり、業務を妨害したりする可能性があります。

COVID-19のパンデミックによるリモートワークの急速な促進とIoTデバイスの爆発的な増加により、サイバー犯罪者の攻撃対象領域が劇的に拡大したため、これらのアクターは多くのアクセスポイントを手にしています。

FIMは、機密性の高いファイル、データ、アプリケーション、デバイスを定期的にスキャンしてモニタリングし、それらのアセットの整合性を検証する方法で、ファイル、データ、アプリケーション、デバイスを保護する重要なレイヤーを提供します。また、潜在的なセキュリティ問題のより迅速な特定や、インシデント対応チームによる修復作業の精度向上にも役立ちます。

ファイル整合性監視のユースケース

ファイル整合性管理ツールの一般的なユースケースを以下に示します。

サイバー攻撃の検知

複雑なサイバー攻撃の初期段階で、サイバー犯罪者は、OSやアプリケーションに関連する重要なファイルを変更する必要があるかもしれません。非常に巧妙な攻撃者は、自分のアクティビティを隠蔽するために、ログファイルを改ざんすることさえあります。ただし、FIMツールは、単にファイルログを確認するのではなく、ベースラインに照らして現在のファイルを確認するため、このような変更を検知できます。

脅威の検知、対応、修復の迅速化

サイバーキルチェーンの早い段階で脅威を検知することで、重大な損害やコストのかかる被害が発生する前に侵害を阻止できる可能性が高くなります。FIMは、他のセキュリティ対策では見逃される可能性のある攻撃を組織が検知する能力を大幅に強化します。

ITインフラストラクチャ内の弱点の特定

管理者や従業員によって行われた変更の中には、本質的に悪意がなくても、組織を意図せずにリスクにさらすものがあります。FIMは、これらの脆弱性を特定し、攻撃者によって悪用される前に修正するのに役立ちます。

コンプライアンスの取り組みの効率化

組織が直面する規制環境は複雑さを増しています。ほぼすべての業界で、企業はIT環境をモニタリングし、選択されたアクティビティをレポートして、HIPAA（医療保険の相互運用性と説明責任に関する法律）、GDPR（EU一般データ保護規則）、ISO 17799、PCI DSS（ペイメントカード業界データセキュリティ基準） などの主要な規制へのコンプライアンスを維持する義務があります。

ファイル整合性​監視の仕組み

ファイル整合性​監視プロセスを成功させるために組織が実行する、6つの主なステップを以下に示します。

ファイル整合性ポリシーの定義：FIMツールを展開する前に、組織はまず、​監視するアセットと、検知する変更の種類を指定する必要があります。

ベースラインの確立：FIMツールは、将来のすべてのアクティビティの比較の基準点として機能する初期ベースラインを作成します。これには、ファイルサイズ、コンテンツ、アクセス設定、権限、認証情報、設定値など、すべてのファイル属性が含まれます。

暗号化ハッシュ署名の適用：ベースラインの展開の一環として、ITチームは、変更できない暗号化ハッシュ署名を各ファイルに適用します。許可されているかどうかにかかわらず、ファイルを変更するとファイルのハッシュ値も変更されるため、ファイルの更新や変更を簡単に検知できます。

ファイル整合性の​監視、分析、検証：FIMツールは、ファイルのハッシュ値を比較して、異常な変更を迅速かつ明確に検知します。このプロセスの一環として、ITチームは、特定の変更をモニタリングから除外して、計画された変更や更新のアラートがトリガーされないようにすることもできます。

アラートの発行：さらに、予期しない変更や未承認の変更が行われた場合、FIMツールは、さらなる調査の必要性と可能な修復について情報セキュリティ（InfoSec）チームに警告します。

レポート作成と企業コンプライアンス：一部のケースでは、法律の規定に従って、組織が関係当局に違反を報告する必要があります。FIMツールは、規制関連業務のチームがレポート作成目的で必要な情報をまとめる際に役立ちます。

適切なFIMツールの選択方法

FIMはサイバーセキュリティチームにとって重要な機能ですが、多くのツールは、企業が必要とするカスタマイズ、設定、統合、機能を提供していません。

ファイル整合性​監視ツールを評価する際には、以下の質問を考慮する必要があります。

互換性

• このファイル整合性​監視ソリューションは、組織の既存のサイバーセキュリティアーキテクチャーにおける他のすべての側面と互換性がありますか？
• このFIMツールは、会社の既存のファイル整合性ポリシーをサポートできますか？

カスタマイズ

• FIMツールは、企業によって識別された特定の脅威検知と修復のユースケースをサポートするようにカスタマイズできますか？
• このファイル整合性​監視ソフトウェアは、組織固有の企業コンプライアンスの取り組みを自動化および合理化する際に役立ちますか？
• FIMソリューションは、将来企業が必要とする可能性のある追加機能をサポートできますか？

設定

• ベンダーは、設定プロセス中の「ノイズ」低減や、実際の脅威とフォールスポジティブの判別のために、どのようなサポートを提供しますか？
• FIMソフトウェアはどのくらいの期間で更新できますか？既存のすべての設定が正しく機能することを確認するためのQAテストプロセスはどのようなものですか？

使いやすさ

• ファイル分析のうち、どの程度がFIMツールによって自動化されますか？
• FIMソリューションのセキュリティコントロールは、簡単にオンとオフを切り替えたり、必要に応じて更新したりできますか？
• モニタリングツールからのアラートはどのようにITチームに提供されますか？
• アラートデータは、その情報を確実に実用的なものにするために、どのような形式で表示されますか？

統合

• FIMツールは、SIEMなどの組織の既存のサイバーセキュリティアーキテクチャーにどのように統合されますか？
• ベンダーは、FIMツールが他のツールやテクノロジーと適切に統合するために、どのようなサポートを提供しますか？