ファイル整合性監視とは？

ファイル整合性監視（FIM）の定義

ファイル整合性監視（FIM）とは、ファイルシステム、データベース、ディレクトリ、アプリケーションファイル、オペレーティングシステムなどの重要なファイルに対する変更を継続的に監視・検知し、不審な挙動から潜在的なサイバー攻撃を発見するためのセキュリティプロセスです。

FIM（ファイル整合性管理と呼ばれることもあります）は、重要なファイルに加えられた変更を通じて、システムやアプリケーションの整合性を確認するのに役立ちます。これには、どのアカウントが変更を行ったのか、どのように変更されたのか、それが悪意ある行為かどうかといった情報が含まれます。

FIMは、サイバー攻撃の早期発見を支援するだけでなく、意図しないファイル変更によって生じたセキュリティギャップの特定と解消にも貢献します。さらに、インシデント発生後には、フォレンジック分析を行うための基盤として機能し、攻撃者がどこから侵入したのか、誰が関与した可能性があるのか、同様の攻撃を将来どのように防ぐべきかを理解する助けとなります。

従来のFIMには、エージェントベース型とエージェントレス型があります。エージェントベースのFIMは、エージェントをインストールすることでリアルタイムかつ詳細な可視性を提供しますが、その分リソース消費が大きくなります。一方、エージェントレスFIMはリソース負荷が少ない反面、スキャン時点のスナップショットしか取得できず、スキャン間に発生した変更への対応が遅れる可能性があります。

こうした課題を背景に、ランタイムで継続的に監視を行う高度なFIMソリューションが登場しています。最新のFIMツールは、コンテナやKubernetesを含む複雑なクラウド環境の監視にも適しています。

組織は単独のFIMツールを導入することもできますが、多くの場合、CSPM（クラウドセキュリティポスチャ管理）、CSPM機能を含むCNAPP（クラウドネイティブアプリケーション保護プラットフォーム）、ランタイムセキュリティソリューションなどのクラウドセキュリティ製品に、FIM機能が統合されています。

ファイル整合性監視（FIM）が重要な理由

ファイル整合性監視（FIM）が重要とされる理由は、重要なファイルが改ざんされた際にセキュリティチームへ即座に通知し、サイバー攻撃の兆候を把握できる点にあります。FIMは、攻撃を隠蔽するためにマルウェアが一時ファイルを利用するといった高度な攻撃手法の検知にも有効です。さらに、FIMによる検知結果は、攻撃やインシデント発生後のデジタルフォレンジック分析を可能にし、被害状況の調査や原因究明に役立ちます。

また、FIMは規制や業界標準への準拠を支援する技術でもあります。HIPAA、PCI DSS、GDPRなど多くの規制では、重要なファイルを保護し、その変更を検知できることが求められており、FIMは想定されたベースラインからの逸脱を検知してアラートを発します。

例えば、PCI DSSの要件11.5では、コンプライアンスを満たすために変更検知の仕組みとしてFIMの使用が明確に求められています。また、GDPRの第32条では、個人データの完全性を維持することが義務付けられており、FIMはその要件を満たすための重要な手段となります。

ファイル整合性監視（FIM）のメリット

サイバー攻撃をファイル変更から検知し、規制遵守を支援することに加えて、**ファイル整合性監視（FIM）**には次のようなメリットがあります。

• 攻撃対象領域の全体把握：クラウド環境が複雑化するにつれてセキュリティギャップが生まれやすくなりますが、FIMはファイルシステムの変更を通じて、そうしたギャップを可視化し、攻撃対象領域全体の把握を支援します。
• 監査可能な環境の構築：FIMソリューションは詳細な監査ログ（監査証跡）を生成し、関連する規制や基準への準拠を証明するために活用できます。
• 迅速な脅威検知：従来型のFIMが定期スキャンによるスナップショット取得に依存していたのに対し、最新のFIMはランタイムで継続的に監視を行うため、重要なファイルが想定外の挙動を示した瞬間に把握できます。

ファイル整合性監視（FIM）の課題

ファイル整合性監視ソリューションの導入には、セキュリティチームが対処すべきいくつかの課題があります。主なものは以下のとおりです。

• アラート疲れ：監視対象のファイルシステムが多く、検知条件が広すぎると、過剰なアラートが発生しやすくなります。その結果、重要なインシデントを見逃したり、不要な調査に時間を費やしたりする恐れがあります。
• リソース消費が大きい：従来型のFIMは、すべてを対象にスキャンするケースが多く、計算リソースの消費が大きくなりがちです。これは無駄が多いだけでなく、ITシステムのパフォーマンスに影響を与える可能性もあります。
• スナップショットベースの可視性：一部のFIMツールは定期スキャンによる変更検知のみを行うため、変更の前後関係や詳細な文脈が把握しづらくなります。また、スキャン間に行われた攻撃を見逃したり、痕跡を消されてしまうリスクもあります。
• スケーラビリティ：ファイル数の増加やIT環境の複雑化に伴い、FIMソリューションにも十分な拡張性が求められます。適切にスケールできない場合、重要なファイル変更を見逃す可能性があります。対策としては、リソースにエージェントを配置するエージェントベースFIMや、ランタイムFIMの活用が挙げられます。
• 内部脅威への対応：従来のFIMは未承認または不審な変更を主に検知するため、正規の権限を持つ内部の悪意あるユーザーによる変更は見逃される可能性があります。そのため、追加のFIMポリシーや制御の実装が必要になる場合があります。

ファイル整合性監視（FIM）のしくみ

まず最初に、セキュリティチームがFIMポリシーを定義し、どのファイルシステムを監視対象とするかを決定します。

次に、FIMツールは現在のファイル構成を基に初期ベースラインを作成します。このベースラインは、後続のスキャン時やランタイムでのファイルシステムイベント監視において、変更を比較するための基準となります。ベースラインインベントリの作成では、監視対象ファイルに対して暗号学的ハッシュが生成されます。ファイルに変更が加えられるとハッシュ値が変化するため、差分の検出が容易になります。

ベースラインが確立されると、FIMソリューションはファイルへの変更を監視します。一部のFIMツールは、定期的・スケジュール型のスキャンによって、保存されたベースラインのハッシュと現在のハッシュを比較します。一方、より高度なFIMソリューションでは、ランタイムで継続的にファイル変更を監視することが可能です。

未承認の変更が検知されると、FIMソリューションはセキュリティチームにアラートを生成し、調査や対応を促します。ツールによっては、変更が検知されたコンテナを一時停止、隔離、または強制終了するなどの自動対応機能を備えているものもあります。

最後に、FIMソリューションはレポートを生成し、関連する規制や基準に準拠していることを証明するための証跡として活用できます。

‍

ファイル整合性監視（FIM）のベストプラクティス

FIMを効果的に導入・運用するための主なベストプラクティスは以下のとおりです。

1. ベースラインと適切な権限を定義する：資産インベントリとあわせて期待される状態のベースラインを作成し、ファイルがベースラインから逸脱した場合や不審なアクセスを正確に判断できるようにします。
2. 自動アラートおよび自動対応を活用する：事前定義されたワークフローや自動化をランタイムポリシーに組み込み、FIMアラートが見落とされた場合でも攻撃を阻止できる体制を整えます。
3. フォレンジックデータを収集する：攻撃の発生経路や原因を把握し、同様のインシデントの再発を防ぐために、調査に必要な証跡を確実に取得します。
4. コンプライアンス要件に従う：ログファイルなど監視が求められるファイルを特定し、資産インベントリに含めることで、関連する規制への準拠を維持します。
5. ランタイムポリシーを実装する：ランタイム向けの検知ポリシーを活用し、不審なファイル変更が発生した際に即座にアラートを生成してセキュリティ態勢を強化します。

Get Sysdig Secureで高度なファイル整合性監視を実現

重要なファイルシステムの保護は、あらゆるサイバーセキュリティ戦略において欠かせません。しかし、従来型のFIMは、ファイル変更に関する十分な文脈が得られなかったり、過剰なアラートによってセキュリティチームを圧迫したりするという課題があります。

Falcoを活用したSysdigのランタイムFIMは、軽量かつ高速で、文脈に富んだ高度なFIMソリューションです。重要なファイルパスをリアルタイムで監視し、ファイルが書き込まれ、かつハッシュが一致しない場合にのみ検知・通知します。

Sysdigの高度なランタイムFIMは、迅速な調査を可能にするフォレンジック情報の提供、システムパフォーマンスの維持、封じ込めまでの平均時間（MTTC）の短縮を実現し、従来型ツールのような複雑さなしにコンプライアンス要件にも対応します。

SysdigのランタイムFIMについて詳しくはこちらをご覧ください。

FIM戦略を最新化する準備はできていますか？デモを依頼して、Sysdig FIMの実力をぜひご確認ください。

‍