【ITニュース解説】#DAY 8: Guardian of the Filesystem

システムエンジニアを目指す初心者が、システムのセキュリティを理解する上で非常に重要な「ファイル整合性監視（FIM）」について解説する。ファイル整合性監視は、システムの安全を守るための基本的なセキュリティプロセスの一つだ。

ファイル整合性監視、略してFIMは、コンピュータシステム上の重要なファイルやディレクトリ（フォルダ）が、予期せぬ変更を受けていないかを継続的に追跡し、分析する仕組みである。システムの運用において、これらのファイルはシステムの動作を司るプログラムや設定情報など、非常にデリケートな情報を含んでいる。もし何者かがこれらのファイルを不正に改ざんしたり、削除したり、あるいは新しいファイルを勝手に追加したりした場合、システムは正常に動作しなくなるだけでなく、セキュリティ上の大きな脅威にさらされる可能性がある。FIMは、このような不正な変更をリアルタイムまたは定期的に検知し、管理者へ通知することで、システムの完全性（Integrity）を保つことを目的としている。

なぜFIMがそれほど重要なのか。第一に、マルウェアの検出に役立つ。例えば、ランサムウェアのような悪意のあるプログラムは、システムのファイルを暗号化したり、ウイルスがシステムの重要なDLLファイル（動的リンクライブラリ）を置き換えたりすることがある。FIMを導入していれば、これらの不正なファイルの変更を迅速に発見できる。第二に、セキュリティ侵害の特定に貢献する。攻撃者はシステムに侵入した後、アクセスを維持するためにバックドアを仕掛けたり、設定ファイルを変更して特権を昇格させたりすることがよくある。FIMは、このような攻撃者による痕跡を捉え、侵入を早期に発見する手助けとなる。第三に、コンプライアンスの要件を満たすためにも不可欠だ。PCI DSS（クレジットカード業界のデータセキュリティ基準）、SOX法（企業改革法）、HIPAA（医療保険の携行性と責任に関する法律）といった様々な業界標準や法規制では、企業が重要な資産に対してFIMを適用することを義務付けている場合が多い。これは、FIMが企業のセキュリティ体制を強化し、信頼性を確保するための基本的な対策と認識されているからである。

今回、このFIMを具体的に実現する方法として、「Splunk（スプランク）」というデータ分析プラットフォームを活用する事例を紹介する。Splunkは、システムから発生する様々なログデータを収集、分析し、可視化するための強力なツールである。FIMにおいても、Splunkはファイルの変更イベントを効率的に収集し、それらのデータに基づいて異常を検出し、管理者へ通知する役割を担う。

Splunkを使ってFIMを設定する手順は次のようになる。まず、Splunk EnterpriseというSplunkの主要な製品インスタンスにログインする。これは、企業内でSplunkを運用する際の中心となるサーバーのようなものだ。ログイン後、「設定（Settings）」メニューに進み、「データ入力（Data inputs）」を選択する。ここで、Splunkがどのようなデータを取り込むかを定義できる。

データ入力の画面から「ファイルとディレクトリ（Files and Directories）」を選び、監視したいファイルやフォルダを指定する。この設定は、Splunkサーバー自体で行うこともできるが、より実践的な方法としては「Universal Forwarder（ユニバーサルフォワーダー）」という軽量なエージェントを、実際に監視したいファイルが存在するサーバーにインストールし、そのフォワーダー経由でデータをSplunkサーバーへ送信する方法が一般的である。こうすることで、監視対象のサーバーに大きな負荷をかけることなく、リアルタイムに近い形でファイル変更情報を収集できる。

具体的な監視設定を追加するには、「新規（New）」をクリックし、「ファイルとディレクトリ」の横にある「新規追加（Add new）」を選択する。次に、監視したいファイルのパスを指定する。例えば、「C:\Users\Administrator\Desktop\important_file.txt」のように、Windowsシステムの特定のファイルを指定する。このパスは、監視対象のUniversal Forwarderがアクセスできる場所である必要がある。

次に、「Sourcetype（ソースタイプ）」を設定する。Sourcetypeは、Splunkに取り込まれるデータの種類を識別するためのラベルのようなもので、後の検索や分析を効率的に行うために非常に重要だ。FIMのデータであることが一目でわかるように、「fim:monitor」のような具体的な値を設定するのがベストプラクティスである。最後に、「ホスト（Host）」を選択する。これは、監視対象のファイルが存在し、Universal Forwarderがインストールされているサーバーの名前だ。これらの設定が完了したら、「レビュー（Review）」をクリックして内容を確認し、「送信（Submit）」で設定を適用する。

設定が正しく機能しているかを確認するために、実際に監視対象のファイルを変更してみる。例えば、メモ帳で「C:\Users\Administrator\Desktop\important_file.txt」を開き、新しい行を追加したり、既存の文字を一つ変更したりして、ファイルを保存する。

ファイルが変更されると、Universal Forwarderはその変更を検知し、Splunkサーバーへイベントデータとして送信する。Splunkでそのデータを確認するには、Splunkの検索インターフェースを使用する。検索窓に、先ほど設定したSourcetypeとホスト名を指定して検索クエリを入力する。例えば、「sourcetype="fim:monitor" host="YOUR_HOSTNAME"」と入力すると、Splunkが検知したすべてのファイル変更イベントが表示される。これにより、Splunkがファイル変更を正確に捉えていることが確認できる。

Splunkの検索機能は非常に強力で、収集したFIMデータをさらに詳細に分析できる。基本的な検索としては、「sourcetype="fim:monitor" action="modify" path="*\Desktop*"」のように入力することで、デスクトップ上のファイルに対するすべての変更アクションを一覧表示できる。より高度な検索では、不審な活動を見つけ出すことも可能だ。例えば、「sourcetype="fim:monitor" (path="\Windows*" OR path="\Program Files*") (user!="SYSTEM" AND user!="LOCAL SERVICE") | stats count by path, action, user」というクエリは、Windowsシステムディレクトリやプログラムファイルディレクトリに対する変更のうち、システムユーザーやローカルサービスユーザーではない一般ユーザーによる変更を抽出し、その変更回数をパス、アクション、ユーザーごとに集計する。これにより、通常の操作では考えられない不審なファイル変更を特定しやすくなる。

FIMは単にファイルを監視するだけでなく、異常が検知された際に自動的に対応する「アラート」の仕組みと組み合わせることで、その真価を発揮する。前述の高度な検索クエリなど、特定の条件を満たす検索結果が得られた場合にアラートを発生させるように設定できる。アラートを作成するには、FIMに関する検索を保存し、「アラートとして保存（Save As > Alert）」を選択する。アラートのスケジュールは、毎分実行やリアルタイム実行など、システムの重要度に応じて設定する。トリガー条件としては、「検索結果の数が0より大きい場合（Alert when the number of results is greater than 0）」、つまり一つでも異常な変更イベントが検知された場合にアラートを発生させるように設定する。そして、アラートがトリガーされた際の「アクション」として、例えばセキュリティチームのメンバーへ「ホスト$host$上でユーザー$user$により重要なファイル変更が検知されました」といった内容のメールを自動で送信するよう設定できる。

このようにSplunkを使ってFIMを導入することは、セキュリティ対策において非常に大きな意味を持つ。これにより、インシデントが発生した後に調査する「受動的なセキュリティ」から、変更が発生した瞬間にアラートを受け取り対応できる「能動的なセキュリティ」へと移行できる。今回のようにデスクトップ上のシンプルなファイルを監視する例は、企業全体の最も重要なシステムにFIMを適用する際にも全く同じ原則が適用されることを示している。システムエンジニアにとって、このようなセキュリティの基本と実践は、安全で信頼性の高いシステムを構築・運用するために不可欠なスキルとなる。FIMは、現代の複雑なIT環境において、システムの健全性を保つための強力な盾となるのだ。