外部アプリとの連携を強化したTripwire新バージョン

トリップワイヤ・ジャパンはサーバに対する変更や改ざんを検出する「Tripwire for servers 4.5 日本語版」と「Tripwire Manager 4.5 日本語版」をリリースした。

[高橋睦美，ITmedia]

　トリップワイヤ・ジャパンは10月26日、サーバに対する変更や改ざんを検出するセキュリティソフトウェア「Tripwire」の新バージョン、「Tripwire for servers 4.5 日本語版」と「Tripwire Manager 4.5 日本語版」を発表した。

　Tripwireは、あらかじめ取得しておいたファイル／ディレクトリの状態（ベースライン）と現在のシステムの状態とを比較し、変更や改竄が加えられたかどうかを検出するソフトウェアだ。ワーム感染や不正侵入といったセキュリティインシデント発生時だけでなく、単純なシステム障害の際にも、「どこにどんな変更があったのか」をすばやく突き止め、あるべき状態に戻してやることができる。

　1年ぶりのバージョンアップでは、この基本機能を踏襲しながら、運用や使い勝手を向上させる機能が加わった。

　その1つが、テンプレートを用いて変更を「承認」する機能だ。前述のとおりTripwire for Serversは、それが悪意ある試みであろうと、ただの操作ミスであろうと、あるいは通常のオペレーションの範囲内であろうと、サーバに加えられるあらゆる「変更」を検出し、報告してくれる。だがこれは、システム管理者がアラートの中から注意すべきものとそうでないものとをより分け、判断を下さなければならないという意味で負担にもなっていた。

　新たに加わった「テンプレートによる承認」を利用すれば、その負担を軽減できるという。

　もっとも分かりやすい例がパッチの適用だ。まずテストサーバにパッチを適用し、そこで得られるハッシュ値や変更の加わるパス名などを「テンプレート化」する。本番機での導入時には、そのテンプレートと照らし合わせることによって、その作業が正常なパッチ適用なのか、あるいは意図しないファイルが含まれている異常な更新なのかといった判断を下せるようになる。この仕組みは、Webサーバの更新作業などにも応用が可能だ。

Tripwire Manager 4.5のインタフェース。オープンソース版にはないさまざまな「便利」な機能が加わっているという

　もう1つの大きな機能強化は、さまざまな外部アプリケーションとの連携である。これにより、外部の運用管理システムなどからTripwire Managerの機能を実行したり、逆にTripwire側で収集した情報を引数として外部アプリケーションのコマンドに渡してあげたり、といったことが可能になる。

　これにポリシー編集機能の強化が加わることで、たとえば特定のイベントが検出されれば、当該マシンに「Ping」などのコマンドを実行し、その結果によっては速やかに監視ポリシーを編集する……などという一連の運用がスムーズに行える。

　外部アプリケーションとの連携が容易になったことで、これまで手作業で行っていた情報の紐付けや再利用といった部分を自動化し、「Tripwireの吐き出す情報を、改ざん検知だけでなく、システム運用の中の定型的な作業などにも有効活用できる」（同社テクニカルディレクターの永谷剛一氏）。

　既に海外では、新バージョンのTripwireと「HP OpenView」やヘルプデスクシステムの「Remedy」とを連携させた事例もあるということだ。導入に当たっては相応の作り込みが必要になるが、その部分は「案件ごとに、代理店を通じて個別に支援を行う」（同社）という。

　来年4月に迫った個人情報保護法の全面施行を見込んで、多くのセキュリティ「ソリューション」なるものの売込みが活発化し、一種のブームの様相を呈してきた。

　しかし、「セキュリティ強化のためのツールはいろいろとあるが、果たしてそれが設定のとおりに動いているかどうかというと、誰も把握していない。サーバの状態がどうなっており、危機的状態に陥っていないかという基本的な部分がないがしろになっているのではないか」と永谷氏は警鐘を鳴らし、監視やログの分析を通じて「システムで何が起きているのか」を把握することの重要性を強調している。

　Tripwire for Servers 4.5 日本語版の価格は20万7900円、Tripwire Manager 4.5 日本語版は194万2500円で、いずれも11月1日より出荷が開始される予定だ。同社Webサイトを通じての無償評価版の提供も行われる。