NECは9月16日,ファイルを監視し,ファイルが改ざんされると,自動的に改ざん前のファイルに復旧するソフト「SERVERW@TCH for Tripwire Ver1.0」の販売を開始した。ホスト型IDS(侵入検知システム)の「Tripwire for Servers」と同一のマシンに導入して利用する。価格は19万8000円で,Tripwire(19万8000円)と合わせても39万6000円。「他社の同様の製品と比べても3分の2程度の価格」(NEC 第二コンピュータソフトウェア事業部 君塚 政彦氏)と安価である。

 同ソフトは,(1)監視対象ファイルをバックアップする「バックアップエンジン」,(2)改ざんされたファイルを元の状態に戻す「復旧エンジン」,(3)監視を停止せずにファイルを更新するための「正規更新エンジン」--で構成する。

 まず,Tripwireで監視の対象となるファイルを設定する。このファイルを,SERVERW@TCH配下のディスク領域にバックアップするのがバックアップエンジンである。Tripwireは,ある時点でのファイルごとのハッシュ値を保存し,そのハッシュ値を元に改ざんされたかどうかをチェックする。ここで,ファイルが改ざんされたことをTripwireが検知すると,SERVERW@TCHが復旧エンジンへ改ざんされたファイル名などを通知。バックアップエンジンで保存したファイルに置き換える。単に改ざんされたファイルを正規のファイルに置き換えるだけでなく,改ざんされたファイルと改ざんされた時刻を証拠として保存しておく。これらの情報と,OSのログ・ファイルやネットワーク型IDSと組み合わせることで,どういった経路で,どのような手法でファイルが改ざんされたのかを確認可能である。

 正規更新エンジンは,Tripwireの監視処理を止めずに,ファイルを入れ替えるための機能である。SERVERW@TCHが作成した更新作業用の領域に更新したファイルを保存すると,SERVERW@TCHがTripwireに対し,ハッシュ値の更新処理を実行させると同時に,ファイルを置き換える。対応OSは,Red Hat Linux7.3。(A.Y.)