新登場 TR7 ZeroLeak:ビジュアル分離 — ユーザーに届くのはピクセルだけ、データは届かない
攻撃を受けていますか? サポート パートナーポータル
無料ライブデモ
DE DeutschEN EnglishES EspañolFR FrançaisJA 日本語PT PortuguêsTR Türkçe
機能

ETM サーバー整合性とデプロイインテリジェンス

ルーティングの判断はCPU/RAMだけではありません。サーバー上のファイルがどのバージョンで、どの状態か — それに応じても行えるべきです。

従来のADC健全性チェックはサーバー上のリソースを見ますが、ファイルシステムを見ません。webrootに新しいファイルが置かれたか、application binaryが変更されたか、configファイルがベースラインから逸脱したか、新しいデプロイが行われたか — これらは健全性プローブにとって暗闇です。 TR7 ETMはこの暗闇を閉ざします。同じエージェントが、サーバー上でファイルhash、ディレクトリツリー整合性、最終変更時刻、新規ファイル検出、権限変更、binary integrityを継続的に測定します。データはADCに流れます。ルーティングの判断は『応答しているか?』だけでなく、『正しいコンテンツで応答しているか?』という問いにも答えます。 結果として、サーバーが — ファイル、構成、デプロイのレベルで — 企業の既知のベースラインに準拠しているか、準拠していなければ何をすべきか? ADCはこの判断をライブなファイル状態に基づいて行います。

数秒
変更検出の検知遅延
Last-mile
WAAPの後の最終レイヤーwebshell防御
Cluster-wide
N台のサーバーでのhash比較によるdrift検出

ADCはサーバーの外殻を見ますが、その中身を見ません。しかし攻撃者とデプロイの失敗はまさに中身に触れます。

従来の健全性チェックはプロトコルレイヤーから動作します:『ポートが開いている』『HTTP 200を返す』、おそらく『ページコンテンツにこの単語が含まれている』。これらの答えはサーバーがサービスを提供していると言いますが、どのコンテンツで提供しているかは言いません。

現代の問題はまさにこのギャップに存在します。攻撃者がWAAPを通過してサーバーにwebshellを置いていた場合、健全性プローブは『サーバーは健全』と言い続けます。デプロイが失敗していた場合、サーバーは古いbinaryで応答しますが、プロトコルプローブにとっては依然として200 OKです。オペレーターが手動でconfigファイルを変更していた場合、ベースラインからの逸脱が静かに進行します。

クラスター規模では状況はさらに悪化します。10台のサーバーのうち9台に新しいバージョンがあり、1台にはない。健全性プローブはすべてを健全と見ます。ユーザーリクエストが運悪く古いサーバーに当たります。あるいは逆に、1台のサーバーで攻撃者が新しいファイルを置いた。クラスターの残りはクリーンですが、この1台からトラフィックが引き上げられません。なぜなら誰も見ていないからです。

ETM サーバー整合性とデプロイインテリジェンスはこのギャップを埋めます:サーバー上のファイル、ディレクトリ、binary、configの状態が継続的に監視され、変更がイベントとしてADCとSOCに流れ、ルーティングの判断が外殻の先へ進みます。

私たちのアプローチ

サーバー上のエージェントがファイルレベルで継続的に監査を行い、変更を検出し、ADCルーティング判断とSOCイベントシステムにライブで結びつきます。

ファイルとディレクトリのhashが継続的に測定される

選択された重要ファイル(webrootコンテンツ、application binary、configファイル、TLS証明書)に対して定期的にhashが計算されます。ディレクトリツリーにはMerkle方式の集約hashが生成されます。変更はhash比較により即座に検出されます。

新規、変更、削除されたファイルがイベントとして反映される

期待されるベースライン外の新規ファイルの追加、既存ファイルの変更、または期待されるファイルの削除が即時イベントを生成します。webrootに置かれた新しい.aspx/.php/.jspファイルはwebshellの疑いとしてマークされます。

クラスター全体の整合性監査

同じアプリケーションサービスを提供するサーバー間でhash比較が行われます。期待される分布の外にある単一のサーバー(driftまたは侵害)がクラスターから分離され、トラフィックが整合したサーバーへ誘導されます。

ルーティングの判断とデプロイの協調がライブで結びつく

変更が検出されたとき、ADCのトラフィックポリシーが自動的に反応できます:warm-up期間、段階的ルーティング、一時的隔離。新しいデプロイが検出されたときトラフィックがソフトに移行し、未承認の変更が検出されたときトラフィックが遮断されます。

機能

ファイル整合性とデプロイインテリジェンスは単なるセキュリティではなく、運用判断メカニズムの一部です。

Webrootコンテンツ整合性 — Microsoft IIS、Apache、Nginxのvhostディレクトリ

Webサーバーのvhostルートに保持されるコンテンツファイル(HTML、ASP、ASPX、PHP、JSP、JS、CSS、画像)に対して定期的なhashとディレクトリツリー整合性が計算されます。オペレーターはどのディレクトリを監視するか、どの拡張子を機密とみなすかをポリシーで定義します。予期しない変更が即時イベントとして反映されます。

Webshell検出 — last-mile防御

攻撃者がWAAPを通過してサーバーにwebshellを設置しようとしたとき、ETMはwebrootに置かれた新しい実行可能拡張子(例:.aspx、.php、.jsp)を即座に捉えます。サーバーを自動的に検疫し、トラフィックを遮断し、SOCがアラートを受け取れます。WAAPの後の最終レイヤー防御です。

デプロイ検出とトラフィック協調

Application binaryまたはartifactのhash変化がデプロイイベントとして解釈されます。ADCはこのイベントを待ちます:健全性指標が安定するまでサーバーへ少量のトラフィックが誘導され、warm-upが完了すると全トラフィックが開放されます。手動の『ロードバランサーから外す、デプロイする、戻す』手順が自動化されます。

Configuration drift検出

Apache config、Nginx config、IIS application config、systemd unit、cron定義といった構成ファイルがベースラインから逸脱したときにアラームが生成されます。未承認の変更の前にオペレーターが対応できます。正規の変更はベースライン更新で対応されます。

システムbinary integrityとtampering検出

重要なシステムbinary、ライブラリファイル、補助ツールのhashがベースラインと比較されます。rootkit、supply-chain compromise、または手動操作によるbinaryの変更が即座に検出されます。サーバーが隔離され、フォレンジックのために開いたままになります。

権限 (ACL) と所有権の変更追跡

重要なファイルとディレクトリの所有者、権限、またはACLエントリが変更されたときにイベントが生成されます。未承認の権限昇格、ファイル所有権の変更、または機密構成への書き込み権限の開放が即座に可視化されます。

クラスター整合性 — N台のサーバーでhash比較

同じアプリケーションサービスを提供するサーバー間でベースラインhash比較が行われます。10台のサーバーのうち9台が一致し、1台が異なる場合、その異なるサーバーはdriftまたは侵害の疑いがあります。自動検疫またはオペレーターの承認による隔離を適用できます。

Maintenance window awareness — 計画された変更を識別

オペレーターがメンテナンスウィンドウを開いたとき、そのウィンドウ内の変更はアラームを生成しません。ベースラインがポリシーに従って更新されます。期待されるデプロイイベントが『実際の変更』として解釈されず、予期しない変更がアラームをトリガーします。

Rollbackトリガー — デプロイ後の劣化が検出された場合

新バージョン後のETMテレメトリー(GC時間、error rate、再起動頻度)が劣化を示した場合、ETMはこれをデプロイイベントと関連づけます。ADCルーティングは前のバージョンを持つサーバーを優先できます。rollbackチームに自動的に通知されます。

SIEMとコンプライアンスのフロー — 変更イベントの記録チェーン

各ファイル/構成/binaryの変更が監査記録に書き込まれ、SIEMへ転送されます。どのサーバーで、いつ、どのファイルがどのhashからどのhashへ変化したか — 監査向けの完全な証跡が用意されます。GDPR第32条および業界の監査要件向けにライブサポート。

運用上の深さ

整合性監視は単なる技術的機能ではなく、企業のデプロイとセキュリティのプロセスのライブな管理レイヤーです。

01

監視範囲の構成

どのディレクトリを監視するか、どのファイル拡張子を機密とみなすか、どのファイルを無視するか(ログ、キャッシュ、一時ファイル)をポリシーで定義します。Webサーバー、applicationサーバー、データベースサーバー向けに異なるプロファイルを定義できます。

02

Hash周期とパフォーマンスのバランス

重要なファイル(システムbinary、TLS cert)は秒単位、中優先度(configファイル)は分単位、低優先度(静的コンテンツ)は時間単位の間隔でhash化できます。ディスクIO負荷が制御下に保たれます。

03

ADCルーティングポリシーとの結合

整合性イベントはADCルーティングポリシーにライブで結びつきます。『新規ファイル検出 + WAAP攻撃コンテキストあり → 隔離』『hash drift検出 → 低優先度』『デプロイ検出 → warm-up』といったポリシールールがオペレーターによって定義されます。

04

デプロイフロー統合

CI/CDパイプラインはETM APIにデプロイイベントを通知できます。ETMはこのイベントを保留中の変更として解釈し、アラームの代わりにルーティング協調をトリガーします。デプロイが完了するとETMが新しいベースラインを署名します。

05

SOC統合

Webshellの疑い、binary tampering、クラスターdriftといった高優先度のイベントがSOCへ直接アラームで伝えられます。イベントが拡充されます:どのサーバー、どのファイル、hash比較結果、最終変更時刻、推奨アクション。

06

コンプライアンスと監査

各整合性イベントが監査記録に記録されます。監査者が『過去30日間にどのサーバーでどのファイルが変更されたか?』と尋ねたとき、ライブで応答されます。PCI DSS、GDPR第32条、業界の監査要件向けに証跡が自動化されます。

どのシナリオで使われるか

Webshell検出:webrootに新しい.aspxファイル → 自動検疫

WAAPが攻撃を検知できなかったとしても、サーバー上のIIS vhostディレクトリに設置された新しい実行可能ファイルがETMによって即座に捉えられます。サーバーがクラスターから自動的に引き上げられ、トラフィックが遮断され、SOCが即時アラートを受け取ります。フォレンジックのためにデバイスは開いたままになります。

デプロイ協調:新しいartifact検出 → warm-up → 全トラフィック

DevOpsチームが新バージョンをデプロイしたとき、ETMはapplication binaryのhash変化を検知します。ADCはサーバーに段階的ルーティングを行います。健全性メトリクス(CPU、GC時間、error rate)が安定したままなら全トラフィックが開放されます。手動の『ロードバランサーから外す、deploy、戻す』プロセスがなくなります。

クラスターdrift:10台のサーバーのうち1台が異なるhash → 自動隔離

本番クラスターの10台のサーバーのうち9台がベースラインhashと一致し、1台が異なるhashを示します。古いバージョンか、手動操作か、侵害か? ETMはそのサーバーを自動的に検疫します。オペレーターが原因を調査します。ユーザーリクエストが運悪く誤ったバージョンに当たりません。

Rollbackトリガー:新バージョン後にerror rateが上昇

新バージョン後のETMテレメトリーがGC時間の延長、error rateの増加、再起動頻度の上昇を示します。ETMはこれをデプロイイベントと関連づけます。ADCルーティングは前バージョンのhashを持つサーバーを優先します。rollbackチームに自動的に通知され、デプロイの判断がデータで裏付けられます。

Binary tampering:システムbinaryが変更された → 隔離

あるサーバーの重要なシステムbinaryのhashがベースラインから逸脱したとき — rootkit、supply-chain compromise、または未承認変更の疑い — サーバーがクラスターから分離され、インターネットアクセスが遮断され、ETM管理チャネルのみが開いたままになります。SOCがフォレンジックのためにリモート調査を行います。

よくある質問

Hash計算はサーバーのパフォーマンスに影響しますか?
重要な小さいファイルのhashは無視できるコストです。大きいファイルには2つの戦略があります:(1) 低頻度のhash化、(2) mtimeの変化が検出されたときのみhash計算。構成はオペレーターの選択で調整されます。ほとんどの高トラフィックのbackendで検知可能な影響はありません。
どのディレクトリを監視すべきですか?
Webサーバー向けにはvhostルート、IIS application path、Apache/Nginx configディレクトリが出発点です。applicationサーバー向けにはbinaryディレクトリ、ライブラリパス、起動スクリプト。システム向けには重要な/etc、/usr/bin、/usr/sbinまたはWindows System32の同等物。ETMはテンプレート構成から始め、企業に応じてカスタマイズします。
正規のデプロイ変更はfalse-positiveを生成しませんか?
いいえ。Maintenance windowメカニズムとCI/CDパイプライン統合により、正規の変更は『期待されるイベント』として解釈されます。アラームの代わりにルーティング協調をトリガーします。デプロイが完了するとETMが新しいベースラインを署名します。その後の変更はこの新しいベースラインに対して比較されます。
整合性イベントはSIEM以外のどこに転送できますか?
SIEMに加えて、ETMイベントは直接ADCルーティングポリシー、SOCアラームシステム、DevOps incident管理、コンプライアンスアーカイブへ転送できます。ADCバインディングにより、特にトラフィック協調がイベントにリアルタイムで反応します。
この機能はactive health monitoringを置き換えますか?
いいえ、補完的です。Active Health Monitoringはプロトコルレイヤーから外殻の検証を行います(HTTP 200、TCPプローブ、Oracle接続テスト)。ETM サーバー整合性は内部からファイルと構成のレベルで見ます。2つのソースはADCによって併せて解釈されます。ルーティングの判断は両方から供給されます。

サーバー上のファイルをルーティング判断の一部にする

ETM サーバー整合性をお客様自身のbackendでライブで見てみましょう — パイロットサーバーグループ上でベースライン定義、ADCバインディング、SIEMフローをカバーする構築セッションを計画しましょう。