「その変更は正しいか」、変更を見える化することがIT全般統制に欠かせない理由

ITシステムに対し、誰が、どこに、どのような変更を加えたのか――。これを常時監視し、セキュリティポリシー上有効かどうかを判断する変更管理の効率化が、コンプライアンス面で急務となっている。

システムに変更が加えられたとき、それを把握することはできても、その変更が「正しい変更」なのかどうかを判断するのは、ログ（履歴）を集めて眺めるだけでは難しい。トリップワイヤ・ジャパンの変更管理システム「Tripwire Enterprise 8.0 Universal版」は、強力なポリシー管理機能を基に、企業のIT全般統制を効率化することができる。

Tripwire Enterpriseは、旧来のシステム変更／改ざん検知システムである「Tripwire for Servers」の機能を継承しつつ、変更の評価やセキュリティポリシーのアセスメント、レポートといった機能を強化した製品だ。サーバOS、仮想化環境の設定やファイル、ネットワーク機器、データベースなどに関する情報を、ユーザーが事前に定義した正しい状態のスナップショット「ベースライン」と比較することにより、変更を漏れなく検出する仕組みを持つ。システム全体を常時監視し、変更があった場合のみレポートを出力する。これまでは、どこで改ざんや不正アクセスがあったのかを追跡しようとすると、ログ収集ツールなどですべてのログを調べなくてはならなかった。

また、Tripwire Enterpriseの特徴は、システムの改ざんを見える化することだけではない。ファイルのサイズが大きくなった、更新日時が変わったといった変更内容が、しかるべき変更管理のプロセスに沿って承認されたものかどうかを評価することができる。そして変更が、例えばセキュリティパッチの適用のようにあらかじめ計画され、承認されていたものであれば、その内容を新しいベースラインとして定義し、人為的ミスか未承認のものであれば、インシデントとして記録してその後のトラブル対応に役立てられる。この結果、システム管理上の問題発見に掛かる負荷は削減され、ITサービスの可用性は大きく向上することになる。

さらに、企業が定義する情報セキュリティポリシーへの準拠状況についてシステムを診断するコンフィグレーションアセスメント機能を備えている。例えば、製品出荷時の初期値をそのまま使用していないか、パスワードは8文字以上に設定されているか、決められたTCPポートのみを開放しているかといった内容を調査し、グラフ形式で改善レポートを提供してくれる。Tripwire Enterpriseでは、CIS（Center for Internet Security）やSOX法、PCI DSS（Payment Card Industry Data Security Standard）、HIPAA（Health Insurance Portability and Accountability Act）などにのっとった、整合性監視のための250種類以上のポリシーテンプレートをあらかじめ用意しており、担当者は各基準の順守状況を迅速に把握できる。

システムへの変更をグラフとして可視化するダッシュボード機能。
管理コンソールからWebインタフェースで確認できる（クリックで拡大）

Tripwire Enterpriseでは、変更情報を一元管理する「Tripwire Enterprise／Server」を中心に、サーバ、データベース、ディレクトリサービス、ネットワーク機器といった各システムを監視対象とする。ユーザーは、Tripwire Enterpriseのようなソフトウェアを導入してシステム変更の可視化やその評価プロセスを自動化すると、セキュリティの強化、コンプライアンスの証明、可用性の向上という、ITにおける課題の中でもトップ3に挙がる課題を一挙に解決できることになる。

Tripwire Enterpriseの製品構成。サーバ、データベース、アプリケーションなどすべてのシステムが監視対象となる

このように、Tripwire Enterpriseはシステム変更管理にかかわるプロセスを自動化するが、リリースされたばかりの最新バージョン「Tripwire Enterprise 8.0 Universal版」では、変更に対するレメディエーション（修復）機能に新たに対応した。

レメディエーション機能は、システム設定に変更が加えられた結果、それがセキュリティポリシーに違反すると判断された場合に、設定内容の修復をサポートするというもの。修復はしかるべき承認プロセスを経た後に、あらかじめ登録された修復用コマンドの自動実行で実施される。先述のポリシーテンプレートを用いた診断機能により、分単位の周期で改善点を洗い出し、レポートやレメディエーション機能で対策を施すことによって、常に高いセキュリティレベルを保つことができるようになる。

セキュリティポリシーのアセスメントでセキュリティを守り、整合性監視で不正あるいは意図しない変更をあぶり出し、レメディエーションで本来あるべき姿に戻す――情報システムのセキュリティを維持するために欠かせないプロセスの自動化が、最新版で初めて実現した。

Tripwire Enterprise 8.0で可能になるプロセスの全自動化。
順守、検知、訂正の3つのファンクションが継続的なIT全般統制を支える

今回リリースされたTripwire Enterprise 8.0の導入により変更管理をさらに強化できるが、自動化のためのピースがまだすべてそろったわけではない。ITセキュリティとコンプライアンスの自動化スイート「Tripwire VIA（Visibility, Intelligence, Automation）」によって、トリップワイヤのセキュリティソリューションは新しい局面を迎える。Tripwire VIAは、自動的にシステムセキュリティを見える化し、コントロールするフレームワークでもあり、それが今後提供予定の新製品「Tripwire Log Center」（以下、Log Center）で実現されるのだ。

Log Centerは、サーバ、ネットワーク機器、アプリケーションなどさまざまな機器の操作ログやアクセスログを収集、一元管理する、いわゆる統合ログ管理ソフトウェア。単体でも多機能なログ管理製品として利用することが可能だが、この製品を利用する真の価値は、Tripwire Enterprise 8.0と統合運用できる点にある。

例えば、改ざんとおぼしきシステム変更を検知すると、どのユーザー（IDやIPアドレス）がどこからアクセスして、どのような操作で変更を加えたのかといった履歴情報が、Tripwire Enterpriseのコンソール画面から変更内容と共にピンポイントで素早く検索できる。監査上の問題が指摘された際の原因究明が容易になるのは、変更管理とログ管理間のシステム連携ならではの長所といえる。トリップワイヤは、ログ管理ツールを導入していない企業、あるいは導入済みでも収集したログを使いこなせていない企業に対し、ログ収集を規定するPCI DSSのようなコンプライアンス要件を満たす手段として、変更管理の仕組みと併せて活用してほしいという。

加えて同社では、Tripwire for Serversの既存ユーザー向けに、Tripwire Enterpriseへ安価に移行できる移行促進プログラムを用意している。システム変更の検知だけに対応するTripwire for Serversから、それを監査証跡として可視化し、将来的には統合ログ管理と連携可能な8.0へのバージョンアップを提案中だ。

企業がIT全般統制を的確に運用していく上で、情報システム部門に掛かる負荷は決して小さくはない。さらに、システム上で起こり得る変更を監視し、統制を全体で恒常的に利かせるには、管理プロセスを効率化する専用のツールの導入が欠かせない。その点で、セキュリティを強化しながら自動的にコンプライアンスを達成・維持し続けることが可能なTripwire Enterprise 8.0は、必然的に検討対象に入る製品といっていいだろう。