ファイル整合性監視【FIM】File Integrity Monitoring
概要
監視対象となるファイルの状態を基準情報として記録し、その後の状態と比較することで変更の有無を検出する。基準情報には、ファイルの内容そのものだけでなく、サイズ、更新日時、アクセス権限、所有者などの属性情報が含まれる場合がある。これらの情報を定期的に確認し、登録された基準状態との差異が検出された場合に警告やログ記録を行うことで、不審な変更を早期に発見する。
多くの実装では、ファイル内容の同一性を確認するために暗号学的ハッシュ関数が利用される。MD5やSHA-1、SHA-2などによって生成されたハッシュ値を基準として保存し、監視時に再計算したハッシュ値と比較する。ハッシュ値は入力が同一なら必ず同じになる短い固定長の値で、ファイルの内容がわずかでも変化すると異なる値となり、効率的に同一性の確認、改変の検知を行うことができる。
ファイル整合性監視は、特にサーバやネットワーク機器などの運用環境において重要な役割を果たす。攻撃者がシステム侵入後にプログラムや設定ファイルを改変する場合があるため、システムファイルや実行ファイル、設定ファイルなどの変更を監視することで、不正な操作の痕跡を検知しやすくなる。Webサーバの公開ディレクトリなどを監視することで、Webサイトの改竄検知にも利用できる。
侵入検知の補助的な手段として利用されることが多く、ログ監視やアクセス制御などの他のセキュリティ対策と組み合わせて運用される。セキュリティ対策の標準規格であるPCI DSS、NIST SP 800-53、ISO 27001でも基本的な対策の一つとして要請されている。代表的なツールとして、オープンソースの「Tripwire」や「AIDE」(Advanced Intrusion Detection Environment)などが知られている。
共有ボタンをタップ