概要
この文書では、システムの恒常性を監視し、意図しないシステムへの変更がないことを担保することで、システム自体の安全性をより高めるための手法と具体的な例について紹介します。
詳細
システムの恒常性を担保するということは、セキュリティリスクを低減させるという意味において、非常に大切な要因です。
例えば、オペレーティングシステムの主要なシステムファイルが侵害されていないこと、オペレーティングシステムやアプリケーションの構成ファイル、設定情報が意図せずに変更されていないこと、さらには未確認のネットワークポートが開かないことなどを担保することで、管理者はシステムが安全に稼動しており、外部からの不適切な侵入を許していないこと、未知の悪意のあるソフトウェアが侵入してきていないことなどを、システマチックに確認することが可能となります。
Trend Micro Deep Security では、上記のようなセキュリティの完全性を担保するために、変更監視(Integrity Monitoring) と呼ばれる機能を提供しています。
変更監視機能を正しく構成して利用することで、管理者は以下のリスクに対して効率的に管理を行うことが出来るようになります。
1. システムファイル/インストール済みソフトウェアの恒常性
これにより不適切なシステムファイルが改変されることを監視し、万が一インシデントが発生したような場合には、迅速に対処することが出来るようになります。
また、未知の悪意あるプログラムなどが侵入してきた場合にも、管理者は容易に許可していないプログラムファイルが作成されたことを検知できるようになります。
2. プロセス/サービス稼動状態の監視
サービスの稼動状態を監視することはセキュリティ上、非常に有用な要因です。
仮にぜい弱性に対する攻撃がリモートから行われ、サービスが異常終了したような場合にも、管理者はサービスの停止を迅速に把握し、Trend Micro Deep Security が提供するその他の機能から報告されるイベントを併せて判断し、異常事態の内容を適切に判断することが容易になります。
3. ネットワークポート監視
リモートからの通信に対して開かれているポートを監視することで、管理者はバックドア型のウイルスプログラムなどを含む望ましくないプログラムがネットワークから通信を受け付ける状態になったことを迅速に把握し、適切な対処を施すことが出来るようになります。
システムファイルの恒常性を担保するとともに、ネットワークポートの監視を行うことで、より強力にシステムの恒常性維持を担保することが出来るようになります。
4. ユーザーアカウント/グループの監視
時として悪意ある攻撃者はぜい弱性などを利用しシステムに侵入した後、オペレーティングシステムを不正に操作するためのアカウントを作成する場合もあります。
システムに作成されるアカウントやグループの恒常性を担保することで、管理者はこのような攻撃に対しても迅速に情報を把握し、適切な初動を行うことが容易になります。
5. (Windows のみ) レジストリ監視
Windows オペレーティングシステムにおいて、レジストリに不適切な変更が加えられていないことを担保することは、セキュリティ上、非常に重要であり、かつ効率的にセキュリティを確保することに繋がります。
Trend Micro Deep Security が提供する変更監視機能では、任意のレジストリキーや値の恒常性を簡単に監視することが出来ます。
6. (Windows のみ) WMI 戻り値の監視
Windows オペレーティングシステムで提供される WMI (Windows Management Instrumentation) は非常に強力な管理ツールです。
Trend Micro Deep Security では、この WMI を通じて返される様々な状態情報が恒常的に変化しないことを監視し、万が一変化があった場合には管理者に知らせることで、セキュリティだけではなくオペレーティングシステム自体の可用性を担保することを支援します。
上記のようにサーバー上で稼動するオペレーティングシステムやアプリケーションの恒常性を幅広く監視することで、管理者は工数をかけることなく、効率的によりセキュアな環境を構築することが出来るようになります。
またシステム恒常性を担保する仕組みの中では、日々のオペレーションの定義に加え、インシデント発生時のレスポンス手法について、企業内で予め定義された基準を策定しておくことも非常に大切になります。
Deep Security の導入により、システム恒常性監視をご検討されているお客様で、設定提案等のコンサルティングサービスをご希望される場合には、お取引のある販売代理店様、もしくは弊社営業までご相談ください。
例えば、オペレーティングシステムの主要なシステムファイルが侵害されていないこと、オペレーティングシステムやアプリケーションの構成ファイル、設定情報が意図せずに変更されていないこと、さらには未確認のネットワークポートが開かないことなどを担保することで、管理者はシステムが安全に稼動しており、外部からの不適切な侵入を許していないこと、未知の悪意のあるソフトウェアが侵入してきていないことなどを、システマチックに確認することが可能となります。
Trend Micro Deep Security では、上記のようなセキュリティの完全性を担保するために、変更監視(Integrity Monitoring) と呼ばれる機能を提供しています。
変更監視機能を正しく構成して利用することで、管理者は以下のリスクに対して効率的に管理を行うことが出来るようになります。
1. システムファイル/インストール済みソフトウェアの恒常性
これにより不適切なシステムファイルが改変されることを監視し、万が一インシデントが発生したような場合には、迅速に対処することが出来るようになります。
また、未知の悪意あるプログラムなどが侵入してきた場合にも、管理者は容易に許可していないプログラムファイルが作成されたことを検知できるようになります。
2. プロセス/サービス稼動状態の監視
サービスの稼動状態を監視することはセキュリティ上、非常に有用な要因です。
仮にぜい弱性に対する攻撃がリモートから行われ、サービスが異常終了したような場合にも、管理者はサービスの停止を迅速に把握し、Trend Micro Deep Security が提供するその他の機能から報告されるイベントを併せて判断し、異常事態の内容を適切に判断することが容易になります。
3. ネットワークポート監視
リモートからの通信に対して開かれているポートを監視することで、管理者はバックドア型のウイルスプログラムなどを含む望ましくないプログラムがネットワークから通信を受け付ける状態になったことを迅速に把握し、適切な対処を施すことが出来るようになります。
システムファイルの恒常性を担保するとともに、ネットワークポートの監視を行うことで、より強力にシステムの恒常性維持を担保することが出来るようになります。
4. ユーザーアカウント/グループの監視
時として悪意ある攻撃者はぜい弱性などを利用しシステムに侵入した後、オペレーティングシステムを不正に操作するためのアカウントを作成する場合もあります。
システムに作成されるアカウントやグループの恒常性を担保することで、管理者はこのような攻撃に対しても迅速に情報を把握し、適切な初動を行うことが容易になります。
5. (Windows のみ) レジストリ監視
Windows オペレーティングシステムにおいて、レジストリに不適切な変更が加えられていないことを担保することは、セキュリティ上、非常に重要であり、かつ効率的にセキュリティを確保することに繋がります。
Trend Micro Deep Security が提供する変更監視機能では、任意のレジストリキーや値の恒常性を簡単に監視することが出来ます。
6. (Windows のみ) WMI 戻り値の監視
Windows オペレーティングシステムで提供される WMI (Windows Management Instrumentation) は非常に強力な管理ツールです。
Trend Micro Deep Security では、この WMI を通じて返される様々な状態情報が恒常的に変化しないことを監視し、万が一変化があった場合には管理者に知らせることで、セキュリティだけではなくオペレーティングシステム自体の可用性を担保することを支援します。
上記のようにサーバー上で稼動するオペレーティングシステムやアプリケーションの恒常性を幅広く監視することで、管理者は工数をかけることなく、効率的によりセキュアな環境を構築することが出来るようになります。
またシステム恒常性を担保する仕組みの中では、日々のオペレーションの定義に加え、インシデント発生時のレスポンス手法について、企業内で予め定義された基準を策定しておくことも非常に大切になります。
Deep Security の導入により、システム恒常性監視をご検討されているお客様で、設定提案等のコンサルティングサービスをご希望される場合には、お取引のある販売代理店様、もしくは弊社営業までご相談ください。
