アットマーク・アイティ @IT@IT自分戦略研究所QA@ITイベントカレンダー+ログ
この記事でご紹介するトリップワイヤ・ジャパン株式会社の
「Tripwire for Servers 4.5 日本語版」および
「Tripwire Manager 4.5 日本語版」の評価版ダウンロードは
こちらのページから可能です
 @IT > サーバの改ざんを見逃さない! Tripwire 4.5 日本語版の上手な使い方
 
@IT[FYI] 企画:アットマーク・アイティ 営業企画局
制作:アットマーク・アイティ 編集局
掲載内容有効期限:2005年2月10日

 

サーバの改ざんを見逃さない!
Tripwire 4.5 日本語版の上手な使い方

 「Tripwire」は、サーバ上のデータに何らかの変更が加えられたことを検知するソリューションである。何らかの変更には、管理者の意図する変更だけでなく、外部あるいは内部からの悪意のある改ざんも含まれる。

 Tripwireといえば、UNIX/Linux系のサーバを管理するセキュリティ技術者にとって、ホスト型のオープンソースIDSとしておなじみだろう。しかし、今回紹介する「Tripwire for Servers 4.5 日本語版」および「Tripwire Manager 4.5 日本語版」は、生まれは同じながらも単なるIDSという枠に収まりきれないさまざまな機能が提供される。例えば、詳細な変更・改ざん検知とリカバリーだけでなく、パッチの適用が確実に実施されたかどうかを確認するための運用管理ツールとしての側面も持ち合わせている。

 商用版のTripwireは、ダウンタイムの発生に伴う収益の減少、顧客関係の悪化、ブランドイメージの低下といった損害を軽減する。Tripwire for ServersとTripwire Managerの機能や利用法などについては、次章以降で紹介したい。なお、トリップワイヤ・ジャパンでは30日間無償で利用できる評価版をWeb上で公開している。興味を持った読者には、ぜひ評価版で実際のオペレーションを体験していただきたい。

   
 Tripwire商用版の強み〜オープンソース版との徹底比較

 Tripwireの基本的な動作は、サーバが安定している状態(つまり管理者が意図している状態)をベースラインスナップショットとして記録しておく。このベースラインとサーバの稼動状況を比較することで、変更・改ざんを検知する。これを整合性チェックと呼ぶ。なお、ベースラインは1024ビットの暗号アルゴリズムで署名されており、ベースラインそのものが改ざんされることを防いでいる。

 例えば、公開Webサーバ上のデータが悪意のある者によって書き換えられたとする。Tripwireを使うことで管理者はどのファイルが改ざんされたかをすばやく把握できるだけでなく、元の状態へと復旧させることも可能だ。また、管理者が意図する変更、つまりパッチファイルの適用やソフトウェアのアップデートなどについても、「管理者の意図通りの変更がきちんとなされたかどうか」を確認できる。

Tripwireの基本的な機能

 それでは、商用版Tripwireとオープンソース版Tripwireの違いについて見てみよう。まず、対応OS。オープンソース版のTripwireはRed Hat 5.x-6.2x/7.x用のRPMのみが存在している。一方、Tripwire for Servers 4.5では、Windows NT/2000/2003/XP Pro、Solaris、HP-UX、IBM AIX、Linux(Red Hat Linux 7.2/7.3/8/9、Red Hat Enterprise Linux Version 2.1/3、Turbo Linux 8 Workstation/8 Server)と幅広くサーバOSに対応している。また、Tripwire for Serversの外部コンソールであるTripwire Manager 4.5は、Windows NT/2000/2003/XP ProとSolarisに対応している。

 商用版とオープンソース版の決定的な違いを挙げるとしたら、日本語化されているという点に尽きるかもしれない。もちろん、商用版にはオープンソース版にない機能が加えられているが(これについては後述する)、それらを使いこなすためにも母国語化されているというのはありがたいことだ。

 まず、インターフェイスが日本語であること。操作は容易になるし、アラートの把握もスムーズになる。マニュアルも日本語化されているので、運用面で困ったことが発生しても問題解決はたやすい。オープンソース版では、リファレンスが充実しているといっても英語で書かれたものが多く、また自力で資料を探す必要があった。商用版では、サポートも日本語で受けられるという利点がある。トリップワイヤ・ジャパンでは、Tripwire認定技術者資格を得られるトレーニングも提供している。

   
 変更・改ざん検知だけに留まらないパワフルな商用版

 次に、Tripwireの基本機能である変更・改ざん検知の部分に注目してみたい。オープンソース版の機能は変更を検知するだけだ。あとは、管理者がレポートファイルに目を通して、それぞれに対応しなければならない。商用版では、「いつ」「どこが」「どのように」「だれによって(*1)」変更されたかを検知する。ファイルがだれによって変更されたのかという記録は、IT監査や法的監査に必要な情報を提供できるだろう。

*1
「だれによって」については、Linux版では対応していない

 「何が変更されたのか」という点についても詳細なデータが提出される。Windows版では、ファイルの内容だけでなく29のNTFSファイルシステムの属性と21のレジストリの属性を監視する。UNIX版では21のファイル属性を監視する。

 ところで、ウイルス被害への対策は非常に重視されている分野である。ウイルス対策製品の導入は当たり前のことになっているが、ウイルス技術の向上を考えるとそのような対策製品の対応速度を超えるウイルス(ゼロデイアタック)が出現することは間違いないだろう。また、直接ネットワーク内部に持ち込まれたモバイル端末やメディアからウイルスがまん延することもある。ウイルスの多くはレジストリを書き換える。Tripwireでは、Windowsのレジストリキーへの変更を検知するため、万が一、未知のウイルスに感染したとしても異常を早期に発見できる。

 応用例だが、サーバ上にバックドアが仕掛けられたとしても発見することが可能だ。また、トンネリングソフトなどを社内の人間が不正にインストールして機密情報を盗み出そうと考えても、管理者の意図しないソフトがインストールされた時点で検知されてしまう。

整合性チェックの結果を表示拡大画像

 整合性チェックの特定の結果によって、あらかじめ設定したコマンドを実行する機能もある。統合コマンド実行機能ICE:Integrated Command Execution)は、ポリシーファイル内の各ルールへ、ルール違反があった場合に実行する任意の1システムコマンドを割り当てられる機能だ。ICEを使えば、「公開Webサーバ上のHTMLデータが改ざんされたことを検知したら、自動的にバックアップファイルに書き戻す」といった解決策を準備しておくことができる。企業の公式サイトがクラッキングされたまま放置されてしまうと、企業イメージが大きく損なわれる。eコマースサイトであれば、ダウンタイムが莫大な損害を生み出してしまうだろう。

 整合性チェックの頻度についてだが、これは監視対象となるデータの重要度により異なるはずだ。重要度の高いファイルに対しては1時間に1回、重要度の低いものであれば1日に1回チェックをするといった設定が可能だ。

   
 Tripwire Managerが管理者の負担を削減する

 レポーティング機能面でも、商用版はオープンソース版よりも優れている。オープンソース版では、テキストファイルによるレポートの書き出しとメールでの送信にしか対応していないが、商用版ではテキストに加えてHTML、XMLでも書き出しが可能だ。レポートは、メール、システムログまたはSNMPトラップを介して送信される。HTMLで出力されたレポートは当然Webブラウザで閲覧できる。

 また、Tripwire Managerと連携すると、色分けしたアイコンによって変更の重要度をビジュアル的・直感的に把握できたり、グラフを使った要約を作成できたりする。社内向けの報告レポートの作成に費やす時間を減らせることからも、管理者の負担減に貢献する機能だろう。

 管理者の負担という視点から商用版がもっとも評価できるのは、ポリシーファイルの作成が圧倒的に楽になったということだろう。オープンソース版では、テンプレートが用意されているもののテキストファイルをカスタマイズしてポリシーを作成する必要があった。これは、正直なところ骨の折れる作業なのだが、「最初に1回だけポリシーを書けば、あとはなんとかなるからがんばろう」と自分を納得させる管理者は多かったのではないだろうか?

 商用版にも、各OSにあわせたデフォルトポリシーファイルが最初から用意されている。さらにTripwire Managerを使えば、GUIを使ってポリシーを編集することができる。必要に応じて監視対象のファイルやディレクトリのチェックオプションを設定し、柔軟なサーバ運用ができる。また、実際にサーバを運用してみて初めて分かる意図しない「ポリシー違反」をチューニングする場合にも、ポリシーファイルの必要な部分だけを更新することが可能だ。

 さらに、ワイルドカードを使うこともできる。例えば、「*.dll」と記述することで、特定のフォルダやディレクトリにあるすべてのdllファイルを監視の対象にすることが可能だ。ワイルドカードは包含検索と除外検索の両方に対応しているので、監視対象からすべて外すという使い方もできる。

GUIによる柔軟なポリシー管理拡大画像

 ちなみにTripwire Manager1台で最大2500台のTripwire for Serversをリモート管理することができる。サーバ機能を物理的に複数のサーバマシンに分散して運用している場合、それぞれのサーバの完全な同期が必要になる。Tripwireを使えば、同じポリシーやベースラインを配布することが可能である。なお、Tripwire ManagerとTripwire for Servers間の通信はSSLで保護された認証と暗号化が施されている。

   
 新バージョン4.5 日本語版の上手な使い方

 以上、商用版でできて、オープンソース版でできない部分を中心にTripwireの機能を解説してきた。それでは、新バージョンである4.5 日本語版を使った応用例をいくつか紹介したい。

 まず、Tripwire Manager 4.5の新機能である外部アプリケーションとの連携を見てみよう。これは、Tripwire Managerに集められたサーバの情報を任意の外部アプリケーションへ渡したり、逆に外部のアプリケーションからのコマンドによってTripwire Managerの機能を実行させたりするものだ。前者の場合、ある特定のアラートが検出された場合、Pingコマンドを起動してサーバの稼動状況を確認するといった使い方が考えられる。また、HP OpenView Service DeskやRemedy AR Systemといった変更チケッティングシステムと連携させる事例もあるという。

 次にTripwire for Servers 4.5の新機能に注目してみよう。特徴的なのは「テンプレートによる承認機能」だろう。管理者にとって、パッチの適用やソフトウェアのアップデートは手間のかかる作業の1つである。特に、複数のサーバを運用しているのであれば、なおさらだ。テンプレートによる承認機能では、このような意図的な変更を事前にテストマシンで検証し、それを元に作られた“変更計画表”を使って、実際のサーバマシンの変更が意図通りに実行されたかどうかをチェックできる。管理者はサーバマシンを逐一見て回り「ソフトウェアのアップデートは予定通り行われたのか」「関係ないパッチが適用されていたり、正しいパッチが抜けていたりしないか」というチェックの時間を削減できるだろう。

 もう1つ追加された機能が「重要度による承認機能」だ。整合性チェックを行い把握した変更点に重要度をつけるものである。この機能により、管理者は重要度の高い変更に優先的に対応し、重要度が低い変更についてはあとで一括アップデートをするといった順序付けをすることができる。一度に大量の変更が検知されても、「どこから対応すればいいのか」とレポートとにらめっこになっている間、致命的な改ざんを放置してしまうような事態を回避できるだろう。

   
 抑止、検知、回復といったサイクルが重要

 以上、Tripwireの機能や使い方を紹介した。最後にTripwireを導入することで、セキュリティ面で何が期待できるのかについて触れておきたい。

 まず、抑止。Tripwireはサーバ上のデータに変更があれば、それを検知するツールである。企業の情報漏えい事故が問題になっているが、その多くは内部の人間の犯行だ。Tripwireによって、データの変更が「いつ」「だれによって」行われたかが把握できるという事実を公表しておくことで、悪意のある人間に対して心理的な圧力をかけ、事故を未然に防ぐことができるだろう。

 次に、検知。IDCの調査(2001年)によれば、従業員が1000人以上いる企業のネットワークのダウンが引き起こされる原因の78%がオペレーションミスやアプリケーションエラーである。また、悪意のあるイベントも3%ほど存在する。環境に起因する障害は19%だそうだ。万が一、人為的なミスや外部・内部からの攻撃にあってしまっても、Tripwireでそれを検知し回復作業の手がかりを収集できれば、ダウンタイムを減らすことができるだろう。

 そして、回復。何が変更されたのか分かっていれば、どこから手をつければいいか分かるはずだ。また、ICEによって、自動的にバックアップから元の状態へと戻すことも可能だ。

 冒頭にも言及したがTripwire for Servers 4.5 日本語版、およびTripwire Manager 4.5 日本語版の評価版をトリップワイヤ・ジャパンのWebサイトよりダウンロードできる。ぜひご自分の目で、その実力を確かめていただきたい。

評価版(30日無償)をダウンロードして
Tripwire 4.5 日本語版の実力をお確かめください

https://www.tripwire.com/downloads/ja/tfstm/

Tripwire for Servers 4.5 日本語版
  対応OS:
   AIX / HPUX / Windows / Solaris / Linux

Tripwire Manager 4.5 日本語版
 対応OS:
   Windows / Solaris

 

関連リンク集
Tripwire for Servers紹介ページ

Tripwire Manager紹介ページ

「Tripwire Manager 4.5 日本語版」、「Tripwire for Servers 4.5 日本語版」新バージョンを発表

販売パートナー一覧


Tripwire Overviewオンラインデモ(要Flash)

Tripwire for Servers/Tripwire Managerオンラインデモ(要Flash)

 


</comment> <tr> <td bgcolor="#EEEEEE"><font size="2"><a href="javascript:KeepIt();"> <img src="/club/keepoint/images/ico_kpt.gif" alt="kee&lt;p&gt;oint保存" border="0" align="absmiddle" width="24" height="18">kee&lt;p&gt;ointで保存</a></font></td> </tr> <comment>

 
@ITトップ@IT Special インデックス会議室利用規約プライバシーポリシーサイトマップ