書類審査とは
ファイル サーバーで発生するすべてのイベントの検査は、ファイル監査と呼ばれます。これには、誰がいつ、どこからどのファイルにアクセスしたかの詳細によるファイル アクセスの監視、最もアクセスされ変更されたファイルの分析、ファイル アクセス試行の成功と失敗などが含まれます。ファイル サーバー監査プロセスの主な目的は、構成されたサーバー環境内で発生するすべての操作を追跡し、データのライフサイクル全体を通じてデータのセキュリティと可視性を確保することです。
書類審査の仕組み
次のフレームワークが文書レビュー プロセスに適用されます。
- 構成: 正確かつ包括的な監査を行うには、ファイル サーバー、フェールオーバー クラスター、およびワークグループ サーバーに SACL が必要です。
- 監査: ファイルとフォルダーの操作は、構成されたサーバーで指定された監査ポリシーに基づいてリアルタイムで実行されます。
- レポート: 内部および外部の監査を目的とした、読み取り、書き込み、セキュリティ権限の変更などのファイル操作。
- アラート: 所定の使用ポリシーに準拠しないアクティビティがシステムによって捕捉された場合に、技術者に通知します。
- 異常の根本原因を調査し、セキュリティ侵害が発生した可能性のある脆弱性にパッチを適用する修正措置を実施します。
ネイティブ ファイル監査の制限
ネイティブ ファイル監査には、組織が基本的な監査システムを構築するのに役立つ十分なツールがありますが、現実とは程遠く、規制法を満たすことはおろか、ネイティブ メソッドを使用して運用ファイル監査システムを実装することはほぼ不可能です。
ネイティブ ファイル監査のいくつかの顕著な欠点
- これは小規模な環境にのみ適しており、大規模組織の厳しい監査要件を満たすようにスケールアップすることができないため、パフォーマンスの問題が発生します。
- ディスク ストレージ容量がいっぱいになると、ネイティブ監査ツールで生成されたイベント ログは上書きされます。
- 単一のコンソールでレポートを作成することは不可能であり、すべてのイベントが無計画に記録されるため、誰がどのファイル形式で何をしたかに関するレポートを抽出するには、巧妙なスクリプトと相関関係が必要です。
検索機能が不十分なため、重要な監査データを特定することが困難です。 - 同じイベントでも Windows ファイル サーバーのバージョンが異なると異なる ID を持つ場合があるため、それらをカバーするタスクはスクリプト作成者にあります。
- 操作ごとに生成されるログ エントリの数が多すぎるため、セキュリティ インシデントにつながる可能性のあるリスク イベントを検出するのに時間がかかり、多大な作業が必要になります。
- ファイル システム内で実行される不審なアクティビティはすべて気づかれず、アラートや電子メール通知機能がないため、インシデントがあったとしてもその原因を洞察することが困難になります。
- コンプライアンス固有のレポートはサポートされていません。
文書監査ソリューション
- 読み取り、書き込み、削除、コピー、貼り付け、移動などのファイルとフォルダーの変更を継続的に監視します。ファイル アクセス監査により、管理者はデータに対する潜在的な脅威を迅速に検出できます。
- ファイル整合性監視を使用して、営業時間外に行われたファイルやフォルダーへの不正な変更、ファイルの変更数の突然の急増、アクセス試行の繰り返しの失敗、その他の不審なイベントをチェックします。
- リアルタイムの変更アラートと即時の脅威対応を構成して不正ユーザーを捕捉し、ランサムウェア検出ソフトウェアを使用してカスタム スクリプトを実行して攻撃を阻止します。
- GDPR、HIPAA、PCI DSS、FISMA、GLBA などの業界固有および地域固有の IT 規制を遵守し、コンプライアンス監査ソフトウェアを使用して問題を迅速に解決します。
- ユーザー、共有、ホスト、場所固有のさまざまな統合レポートをスケジュールします。
ファイル整合性監視 (FIM)
FIM は、ファイルやフォルダーに加えられたリアルタイムの変更を追跡する継続的なプロセスを指します。これは、ファイルが改ざんされたかどうか、またはいつ改ざんされたかを特定するのに役立ちます。ファイルの整合性を監視することは、サイバー脅威を検出して阻止するために重要です。これには、ビジネス クリティカルなファイルに対する不正な変更の追跡、疑わしいファイル アクセス パターンの特定、ファイル セキュリティ権限の変更の精査などが含まれます。
ファイル整合性監視 (FIM) の重要性
文書の完全性は、データの機密性、完全性、可用性を示す CIA の 3 つの尺度です。企業にとって、重要なデータを安全に保管するために CIA の 3 つの体制を確立することが重要です。次の側面により、ファイルの整合性を継続的に評価することが重要になります。
- 機密データの保護: 顧客の個人情報などの重要なデータを含むファイルは継続的に監視する必要があり、これらのファイルの急速な変更はマルウェア感染または違法な内部関係者の活動を示す可能性があります。したがって、管理者は重要なファイルの不正な変更や転送を積極的に監視する必要があります。
- セキュリティの変更を監視する: ファイルのアクセス許可を大規模なグループに転送したり、管理者権限を過度に使用したりすることは、セキュリティ違反の初期指標です。ファイル サーバー監査ソフトウェアを使用すると、ファイルに対するセキュリティ アクセス許可の変更を追跡し、潜在的な違反を防ぐことができます。
- 悪意のある内部関係者の発見: ファイルの整合性は、不正な変更をチェックするために使用されるだけでなく、ユーザーの行動を調査するためにも使用できます。ユーザー行動分析 (UBA) を使用すると、管理者は従業員がファイルをどのように保存、取得、管理するかを分析できます。たとえば、営業時間外にアクセスされたファイル、機密ファイルの移動などは、差し迫った内部関係者の脅威を示している可能性があります。
- サイバー攻撃の検出: FIM は、危険なデータの脅威を防止し、攻撃の規模と影響を最小限に抑えるのに役立ちます。動的ファイル整合性監視ソフトウェアは、ランサムウェア攻撃や違法なデータ漏洩などを迅速に検出して対応できます。
ファイル整合性監視を実行する方法
FIM は、壊滅的なデータ侵害や適時開示を防ぐために、他のすべてのセキュリティ対策と並行して実行される継続的なプロセスです。動的データ損失防止ソフトウェアとファイル整合性監視ツールは、すべてのファイルの移動と変更を追跡するのに役立ち、管理を可能にします。不正なアクティビティを即座に検出して対応します。さらに、FIM ツールを既存のセキュリティ情報およびイベント管理 (SIEM) セットアップと統合して、データ脅威に対する包括的な追跡および対抗システムを開発します。
DataSecurity Plusツールは、SIEM ソリューションやその他のファイル セキュリティ ツールと統合し、侵害されたユーザー アカウントを無効にするか、感染したクライアント デバイスを即座にシャットダウンすることでランサムウェアを阻止します。
FIM を使用して組織のファイル サーバーを保護することで、PCI DSS、HIPAA、およびその他のコンプライアンス規制に準拠します。これらの要件では、重要な情報をデータの盗難や漏洩から保護するために、変更検出機能とデータ保護機能が連携して機能する必要があります。データの可視性とセキュリティに対する 2 つのアプローチにより、高リスクのファイルとフォルダーのセキュリティを最大限に高めます。
ファイル整合性監視ツールの主な機能は次のとおりです。
- 異常なファイルの作成、変更、削除、コピーなどをリアルタイムで追跡します。
- ファイルのセキュリティ権限の変更をチェックして、不正な権限昇格を検出します。
- いつ、どこで、どのファイルが誰によって変更されたかについて実用的な洞察を得ることができます。
- カスタムの脅威応答を使用してランサムウェア攻撃を検出し、修復します。
- 検出された不正なファイル変更、権限の変更、削除の突然の急増などに関する即時通知を受け取ります。
- カスタム レポートを生成して、不審なユーザー アクティビティを監視し、潜在的な内部関係者のアクティビティを予測します。
DataSecurity Plus のファイル セキュリティに対する 2 つのアプローチ (データの可視性とセキュリティ) により、組織のビジネス クリティカルなデータをデータの脅威から保護するための実用的な洞察が得られます。