ファイル整合性監視 (FIM)
ファイル整合性監視 (FIM) とは何ですか?
ファイル整合性監視 (FIM)重要な OS、アプリ、設定ファイルを既知の安全な暗号ベースラインと比較し、予期しない変更を検知するセキュリティ対策。
ファイル整合性監視(FIM)は、機微なファイル、レジストリキー、構成オブジェクトの暗号学的ハッシュ(SHA-256 以上)を保持し、内容やメタデータが承認された変更ウィンドウの外で変化した場合に通知します。代表的な実装には Gene Kim 氏が 1992 年に開発した Tripwire のほか、AIDE、OSSEC、Wazuh、Samhain、そして Trend Micro、Tenable、Qualys、Splunk、各種 EDR が含まれます。PCI DSS v4.0 要件 11.5.2(旧 11.5)、HIPAA、SOX で FIM が明示的に要求されます。実効的な FIM は対象を厳格に絞り(システムバイナリ、Web ルート、sudoers、/etc、レジストリ hive、スケジュールタスク)、変更管理と統合して承認済みの更新を抑制し、SIEM に転送して EDR、ID ログ、脅威インテリジェンスと相関させます。
● 例
- 01
承認済みの Ansible 実行外で /etc/sudoers が変更された際に OSSEC がアラートを上げる。
- 02
Tripwire Enterprise を変更チケットシステムと連携し、Web サーバの document root における未承認の変更を検出する例。
● よくある質問
ファイル整合性監視 (FIM) とは何ですか?
重要な OS、アプリ、設定ファイルを既知の安全な暗号ベースラインと比較し、予期しない変更を検知するセキュリティ対策。 サイバーセキュリティの 防御と運用 カテゴリに属します。
ファイル整合性監視 (FIM) とはどういう意味ですか?
重要な OS、アプリ、設定ファイルを既知の安全な暗号ベースラインと比較し、予期しない変更を検知するセキュリティ対策。
ファイル整合性監視 (FIM) はどのように機能しますか?
ファイル整合性監視(FIM)は、機微なファイル、レジストリキー、構成オブジェクトの暗号学的ハッシュ(SHA-256 以上)を保持し、内容やメタデータが承認された変更ウィンドウの外で変化した場合に通知します。代表的な実装には Gene Kim 氏が 1992 年に開発した Tripwire のほか、AIDE、OSSEC、Wazuh、Samhain、そして Trend Micro、Tenable、Qualys、Splunk、各種 EDR が含まれます。PCI DSS v4.0 要件 11.5.2(旧 11.5)、HIPAA、SOX で FIM が明示的に要求されます。実効的な FIM は対象を厳格に絞り(システムバイナリ、Web ルート、sudoers、/etc、レジストリ hive、スケジュールタスク)、変更管理と統合して承認済みの更新を抑制し、SIEM に転送して EDR、ID ログ、脅威インテリジェンスと相関させます。
ファイル整合性監視 (FIM) からどのように防御しますか?
ファイル整合性監視 (FIM) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
ファイル整合性監視 (FIM) の別名は何ですか?
一般的な別名: FIM, 変更検知, Tripwire 系監視。
● 関連用語
- network-security№ 048
アノマリベース検知
正常な活動のベースラインを構築し、そこからの逸脱を潜在的に悪意があるものとして検出するアプローチ。
- defense-ops№ 371
EDR(エンドポイント検知・対応)
プロセス・ファイル・レジストリ・ネットワーク活動を継続的に記録し、エンドポイント上の脅威を検知・調査・対応するエンドポイントセキュリティ技術。
- compliance№ 807
PCI DSS
決済カード データを保管・処理・伝送する組織を対象に、PCI セキュリティ標準協議会が維持するグローバルな情報セキュリティ基準。
- malware№ 949
ルートキット
OS や機器上で高い権限を取得・維持しつつ、その存在を一般的な検知ツールから隠蔽するステルス型マルウェア。
- forensics-ir№ 524
インシデントレスポンス
サイバーインシデントの準備・検知・分析・封じ込め・根絶・復旧を体系的に行い、教訓を反映する組織的プロセス。
- defense-ops№ 091
振る舞い検知
プロセス、ユーザー、ネットワークフローの実行時の振る舞いから不正な動作を識別する検知手法で、静的ファイルシグネチャに依存しない。