Tripwire Enterpriseは、オープンシステム全体を監視し、システムファイル、アプリケーションファイル、データの変更・追加・削除を検知します。

検知対象

正しい状態との比較から変更を検知し、変更の可視化、改ざんの判別、変更のプロモートから変更履歴の蓄積まで、5つのステップを通して、システムに行われた変更を管理し、コントロールすることが可能です。

変更検知は、変更監査(変更の証明)を行うことで実現します。
変更監査はシステムのセキュリティを守り、システムを安定して稼働させるための機能として、ますます重要度を増しています。

変更の検知

正しい状態(承認された状態)のスナップショットをベースラインと呼び、ベースラインと現状のスナップショットとを比較することで変更を検知します。
監視対象のどの属性(サイズ、日時、ハッシュ値など)を監視するかは、設定で変更することが可能です。

変更の状態は、

この3つに分かれます。

変更の可視化

検知された変更を確認するために、「監視属性の比較」と「コンテンツの比較」の2つのビューがTripwire Enterpriseコンソール上に用意されています。

いつ、誰が、何を、どのように変更したかをベースラインと比較して表示し、検知された変更が承認された変更であるか、承認されていない変更であるかを精査することが可能です。
検知された変更は、即時にメールで通知、指定時間にレポートを作成してメールに添付などの方法で確認することが可能です。

改ざんの自動判別

検知された変更が承認されたものなのか、改ざんなのかを自動的に判別します。
判別の結果、承認された変更であれば、新たなベースラインが作成されます。
一方、承認されていない変更としてレポートが上がってくるものは、改ざんの疑いがある変更として調査対象になります。

改ざんの自動判別には、以下の方法が用意されています。

変更情報をTripwire Enterprise Consoleに登録しておく

ファイル名、ハッシュ値、変更した時間、変更したユーザIDなどを登録しておくことにより、この条件に合致したものに対し、自動でプロモートします。

他のサーバ(ステージング環境、テスト環境)と比べる

ステージング環境やテスト環境のサーバと比較し、ハッシュ値が同じであれば自動でプロモートします。
アプリのアップデート、パラメータの変更、セキュリティパッチのインストールなど、テスト環境で不具合がないかを評価した後、本番環境へ適応する運用が一般的です。
テスト環境と比較して本番環境の変更を自動プロモートすることにより、高度な変更のコントロールを実現できます。

変更管理チケッティングシステムとのインテグレーション

変更管理チケッティングシステムを導入されている環境であれば、SOAPインターフェイスなどを用いてTripwire Enterpriseと連携させることが可能です。
変更を検知すると、チケッティングシステムへ問い合わせを行い、登録されている変更作業を確認し、該当する変更作業が見つかれば自動でプロモートします。

変更のプロモート

検知された変更が承認された正しい変更の場合は、変更がプロモートされ、新たなベースラインになります。
以降は、この新たなベースラインと現状のスナップショットとの比較で変更を検知します。
プロモート時にはコメントとプロモートIDを付与することができます。
プロモートIDに変更管理のIDを入力しておくと、変更管理作業と変更検知＋プロモートを紐付けることができ、変更監査が更に容易になります。

履歴の蓄積

検知された変更やプロモートされた内容は、Tripwire Enterpriseのバックエンド・データベースに履歴として蓄積されていきます。
この変更履歴は、J-SOXのIT全般統制や、PCI DSSなどのコンプライアンス要件において、変更管理が正しく運用されていたことを証明する監査証跡になります。
さらには、変更管理改善のための分析対象にもなります。