ウェブサイトファイルを保護するための Web 改ざん防止の設定 - Security Center - Alibaba Cloud - Security Center

ファイル改ざん防止は、ファイルシステムのアクティビティをリアルタイムで監視し、権限のないプロセスによる書き込みや削除などの不正な操作をインターセプトし、監査のためにすべてのイベントを記録します。これにより、サーバー上の重要なファイルの整合性が確保されます。

前提条件

開始する前に、以下を確認してください。

オペレーティングシステムとカーネル：サーバーの OS とカーネルのバージョンが、Security Center エージェント (AliWebGuard) のサポート範囲内であること。詳細については、「サポートされているオペレーティングシステムとカーネルバージョン」をご参照ください。
Security Center エージェント：保護対象のすべてのサーバーに Security Center エージェントがインストールされていること。手順については、「Security Center エージェントのインストール」をご参照ください。

仕組み

ファイル改ざん防止は、ファイルシステムのイベント (読み取り、書き込み、削除、名前の変更、権限の変更) をリアルタイムで監視します。エージェントはこれらのイベントを分析し、設定されたルールに基づいてアクションを実行します。

ルールの優先度：ファイル操作が複数のルールに一致した場合、システムは許可 > ブロック > アラートの固定順でルールを適用します。優先度の高いルールが一致すると、それより低い優先度のルールはスキップされます。
カーネルの互換性：
- サポート対象のカーネル：すべてのアクション (アラート、ブロック、許可) を完全にサポートし、プロセス、パス、操作を正確に識別します。
- サポート対象外のカーネル：古いカーネルやカスタムカーネルでは、機能が制限される場合があります。詳細については、「クォータと制限事項」をご参照ください。
ルールの有効化：監視対象サーバーでのファイル操作が、そのルールで設定されたすべての条件に一致した場合に、ルールが有効になります。

操作手順

ステップ 1：サービスの有効化とサーバークォータのバインド

ニーズに合った課金モードを選択し、対応する有効化手順に従ってください。

サブスクリプション

サービスの有効化

Security Center コンソールの [緩和設定] - [ホスト保護] - [Web 改ざん防止] に移動します。ページの左上隅で、保護するアセットが配置されているリージョン ( Chinese Mainland または Outside Chinese Mainland ) を選択します。
今すぐ購入 をクリックします。Security Center の購入ページにリダイレクトされます。File Tamper-Proofing セクションで、Yes を Yes に設定します。
クォータの設定：Block または アラート ルールを使用するには、Quantity を指定します。購入後にクォータをサーバーにバインドします。
説明
未使用のクォータは毎月末に失効し、繰り越されません。保護対象のサーバーに必要なクォータを購入してください。
今すぐ購入 をクリックし、支払いを完了します。

サーバーへのクォータのバインド

サブスクリプションモードでは、以下のシナリオでサーバークォータが必要です。クォータがない場合、ルールは有効になりません。

Block：保護対象のすべてのサーバーにクォータが必要です。
アラート：サーバーが Enterprise Edition 未満で実行されている場合、または保護レベルが Host Protection 未満である場合に必要です。

サーバーにクォータをバインドするには：

Security Center コンソールの [緩和設定] - [ホスト保護] - [Web 改ざん防止] に移動します。ページの左上隅で、保護するアセットが配置されているリージョン ( Chinese Mainland または Outside Chinese Mainland ) を選択します。
Used Quota /Quota セクションで、Quota Management をクリックします。
Quota for File Tamper Proofing ダイアログで、Select Asset エリアで保護するサーバーを選択し、OK をクリックします。

従量課金

サービスの有効化

Security Center コンソールの [緩和設定] - [ホスト保護] - [Web 改ざん防止] に移動します。ページの左上隅で、保護するアセットが配置されているリージョン ( Chinese Mainland または Outside Chinese Mainland ) を選択します。
Activate Pay-as-you-go をクリックします。従量課金ユーザー契約を確認し、今すぐ有効にする をクリックします。

サーバークォータ

従量課金モードでは、対象となるサーバーは自動的に含まれるため、手動でのクォータバインドは不要です。システムは自動的に以下を追跡します。

ブロックルールが設定されたサーバー。
アラートルールが設定されており、保護エディションが Enterprise Edition 未満、または保護レベルが Host Protection 未満のサーバー。

ステップ 2：保護ルールの設定

保護ルールは、ファイル改ざん防止の適用範囲とアクションを定義します。アラート、ブロック、または許可ルールを作成し、それらを組み合わせて包括的な保護を実現します。

操作手順

File Tamper-Proofing ページで、ホワイトリストルール作成 をクリックします。
ルールの作成 パネルで、パラメーターを設定し、OK をクリックします。
- ルール名：ルールを識別するための名前です。
- 処理の方法：ルールに一致した場合に実行するアクションです。
  - アラート：操作をブロックせずにイベントを記録し、アラートを生成します。アクションタイプがアラートまたはブロックの場合に利用できます。
  - Block：権限のないプロセスによる不正なファイル変更を積極的にブロックします。
  - 許可：イベントを記録したりアラートを生成したりせずに操作を許可します。正規のプロセスを監視から除外するために使用します。
- Alert Level：アラートの深刻度レベルです。アクションタイプが アラート または Block の場合にのみ利用できます。
  - Urgent：即時の対応が必要な高リスクのイベントです。
  - Suspicious：調査が必要な潜在的なセキュリティリスクです。
  - Notice：管理者が参照するための低リスクのイベントです。
- OSタイプ：監視する OS のタイプです。オプション：Linux、Windows。
- ステータス：ルールをすぐに有効にするかどうか。有効化されたルールは通常 5 分以内に有効になります。同時に最大 100 個のルールを有効にできます。
- Protection Path：監視するファイルまたはディレクトリのパスです。
  - 単一ファイル：完全なパスを入力します。例：/etc/passwd。
  - ディレクトリ内のすべてのファイル：ワイルドカード * を使用します。例：/var/www/html/* は、サブディレクトリを含むそのディレクトリ内のすべてのファイルを保護します。
  - 各パスは改行して入力します。ルールごとに最大 100 パスまでです。
  - 各パスは 1～128 文字である必要があります。
- File Type：保護するファイルタイプ (オプション)。一般的な Web ファイルタイプから選択するか、カスタムタイプを入力します。
  - ファイルタイプが指定されていない場合、保護パス内のすべてのタイプが監視されます。
  - ルールごとに最大 64 ファイルタイプまで、各タイプは最大 15 文字です。
  - ファイルタイプは最後の拡張子セグメントにのみ一致します。たとえば、backup.tar.gz に一致させるには、gz を指定します。tar.gz を指定しても一致しません。.tar.gz のサフィックスに一致させるには、保護パスとして /protected/path/*.tar.gz を追加します。
- ファイル操作：監視する操作です。
  - Read：ファイルの読み取り操作を監視します。
  - Write：ファイルコンテンツの変更を監視します。
  - 削除：ファイルの削除を監視します。
  - 名前の変更：ファイルの名前変更操作を監視します。
  - 権限変更：ファイルの権限変更を監視します。Windows ではサポートされていません。
- Process Path：監視するプロセスパスです。
  - 単一プロセス：完全なパスを入力します。例：/usr/bin/bash。
  - すべてのプロセス：* を使用します。
  - ディレクトリ内のすべてのプロセス：ワイルドカードを使用します。例：/etc/*。
  - 各パスは改行して入力します。ルールごとに最大 100 パスまで、各パスは 1～128 文字です。
- Exclude Users：監視から除外する OS ユーザー (オプション)。Windows ではサポートされていません。
  - 除外されたユーザーによる操作は、ルールに一致してもアラートやブロックをトリガーしません。
  - 各ユーザーは改行して入力します。ルールごとに最大 5 ユーザーまでです。
- ルール適用範囲：ルールが適用されるサーバーです。
  - すべてのアセット：エディション要件を満たすすべてのサーバーに適用されます。
  - アセット別：リストから特定のサーバーを選択します。

設定例

さまざまな保護シナリオをカバーするためにルールを組み合わせます。

Web サイトファイルの保護

Web ディレクトリのファイルを不正な変更から保護します。Web サーバー、コンテンツ管理システム (CMS)、および同様のサービスに適用されます。

例：/var/www/html/ 内のすべての Web ページファイルをブロックモードで保護します。

ルール 1 (ブロックルール)：アクションタイプ = ブロック、保護パス = /var/www/html/*、ファイルタイプ = html、php、jsp など、ファイル操作 = 書き込みと削除、プロセスパス = * (すべてのプロセス)。
ルール 2 (許可ルール)：アクションタイプ = 許可、保護パス = /var/www/html/*、プロセスパス = デプロイメントプロセスのパス (例：/usr/bin/rsync)、ファイル操作 = 書き込みと削除。

コア設定ファイルの監視

コアシステム設定ファイルへのアクセスを監視し、不正な改ざんやデータ盗難を防止します。

例：/etc/passwd へのすべてのアクセスを監視します。

ルール 1 (アラートルール)：アクションタイプ = アラート、アラートの深刻度 = 重大、保護パス = /etc/passwd、ファイル操作 = すべての操作、プロセスパス = *。
ルール 2 (許可ルール)：アクションタイプ = 許可、保護パス = /etc/passwd、プロセスパス = /usr/lib/systemd/systemd (正規のプロセス)、ファイル操作 = すべての操作。

重要

アラートルールの場合、プロセスパスを * (すべてのプロセス) に設定してください。そうしないと、設定された範囲外のプロセスからのアクセスを検出できません。

許可ルールではワイルドカードのプロセスパスを使用しないでください。攻撃者が広範な許可ルールを悪用してアラートルールをバイパスする可能性があります。

ステップ 3：アラートの表示と処理

Security Center のアラート機能を通じて、ファイル改ざん防止のアラートを表示および管理します。

左側のナビゲーションウィンドウで、レスポンス検出 > アラート を選択します。コンソールの左上隅で、アセットが配置されているリージョン ( Chinese Mainland または Outside Chinese Mainland ) を選択します。
説明
Agentic SOC サービスが有効化されている場合、ナビゲーションエントリは CWPP に変わります。
CWPP タブで、File Tamper-Proofing Alerts の下の数字をクリックしてアラートリストを開きます。
アラートリストで、[操作] 列の詳細をクリックしてアラートの詳細を表示します。Security Center は、以下のような状況では正確なコマンドライン情報を取得できない場合があります。
- Python スクリプトがファイルにアクセスした場合、コマンドラインは取得できません。
- シェルの組み込みコマンドがファイルにアクセスした場合、取得されたコマンドが元の入力と異なることがあります。たとえば、コマンド echo "new content" >> /etc/nginx/nginx.conf の場合、取得された動作は ["-bash"] のように表示されることがあります。
- 取得されたコマンドラインは、シェル解析後に JSON 配列として表示され、元のユーザー入力と異なる場合があります。
アラートの詳細に基づいてアクションを実行します。
- 異常を確認した場合：
  - ファイルの処理：ビジネスに安全であれば、関連するプロセスを手動で終了し、影響を受けたファイルを隔離します。ブロックルールがすでに設定されている場合、システムが自動的に処理し、イベントのステータスは Blocked と表示されます。
  - ルールの作成 (オプション)：Block ルールを追加して、不正なファイル変更を積極的に防止します。
  - アラートの無視：アラートリストに戻ります。操作する 列の Handle をクリックし、Handle を選択します。
- 通常の操作：
  - ルールの作成 (オプション)：許可ルールを追加して、正規のプロセスを除外し、繰り返しのアラートを防ぎます。
  - アラートの無視：操作する 列の Handle をクリックし、Ignore を選択します。

ルールとクォータの管理

保護ルールの表示と管理

File Tamper-Proofing ページで、以下の概要情報を表示します。
- Protected Directories：すべてのルールで設定された保護パスの総数です。
- Protected Servers：アクティブな保護ルールが設定されているサーバーの総数です。
- Used Quota/Quota：現在の使用量と購入済みクォータです。詳細については、Quota Management をクリックしてください。
編集：[操作] 列の編集をクリックしてルールを変更します。変更は 1 分以内に有効になり、既存のアラートや記録されたイベントには影響しません。
削除：操作する 列の削除をクリックしてルールを削除します。削除されたルールはすぐに無効になります。削除する前に影響を評価してください。
有効化/無効化：ステータス 列のトグルを使用して、ルールを有効化または無効化します。
一括操作：複数のルールを選択して、一括で有効化、無効化、または削除します。ページをまたいだ全選択がサポートされています。

インターセプトクォータの引き上げ

サブスクリプションモードで、クォータがゼロまたは不足している場合は、クォータを増やしてください。

File Tamper-Proofing ページで、右上隅の アセット別 をクリックします。
File Tamper-Proofing セクションで、保護する必要のあるサーバーの数に基づいて数量を増やします。
今すぐ購入 をクリックし、支払いを完了します。

クォータのキャンセル

Used Quota/Quota セクションで、Quota Management をクリックします。
Quota for File Tamper Proofing ダイアログで、Select Asset エリアで削除するサーバーのチェックボックスをオフにし、OK をクリックします。

サブスクリプションの解約

サブスクリプションモード：概要ページの Subscription セクションで、設定の変更 > Downgrade をクリックします。スペックダウンページで、File Tamper-Proofing セクションで、Yes を いいえ に設定します。詳細については、「スペックダウン」をご参照ください。
説明
実際の返金額はスペックダウンページに表示されます。返金処理については、「返金手順」をご参照ください。
従量課金モード：
- 概要ページの Pay-as-you-go セクションで、File Tamper-Proofing スイッチをオフにします。
- File Tamper-Proofing ページの Used Quota/Quota セクションで、使用を停止する をクリックします。

クォータと制限事項

クォータの制限：1 つのクォータで 1 台のサーバーを保護します。
ルール設定の制限：
- 同時に有効にできるルールは最大 100 個です。
- ルールごとに最大 100 個の保護パスと 100 個のプロセスパスを設定できます。
- 各保護パスは 1～128 文字である必要があります。
- 保護されたファイルまたはディレクトリの完全なパスは、1,000 文字または 500 中国語の文字を超えることはできません。
- 保護パスが NFS サーバーのプロセスパスを指している場合、NFS クライアント経由でのファイル変更は防御できません。
その他の制限：
- 除外ユーザー：ルールごとに最大 5 人です。
- ファイルタイプ：ルールごとに最大 64 種類、各種類は最大 15 文字です。
システムの制限：
- Windows は、ファイルの 権限変更 操作の監視をサポートしていません。
- Windows は Exclude Users ルールをサポートしていません。

課金とクォータ消費

課金モードとクォータ消費は、使用するルールのタイプによって異なります。

課金モード：
- サブスクリプション：一定期間、インターセプトクォータを事前購入します。未使用のクォータは毎月末に失効し、繰り越されません。
- 従量課金：実際の保護期間 (秒単位) に保護対象サーバーの数を乗じて課金されます。以下が自動的にカウントされます。
  - ブロックルールが設定されたサーバー。
  - アラートルールが設定されており、保護エディションが Enterprise Edition 未満、または保護レベルが Host Protection 未満のサーバー。
クォータ消費：
- ブロックルール：クォータを消費します。
- アラートルール：サーバーの保護エディションが Enterprise Edition 未満、または保護レベルが Host Protection 未満の場合にクォータを消費します。
- 許可ルール：クォータ消費なし。無料で利用できます。

説明

詳細については、「課金の説明」をご参照ください。

よくある質問

新しいファイル改ざん防止と、従来の Web 改ざん防止およびコアファイル監視の関係は何ですか？

新しいファイル改ざん防止機能は、従来の Web 改ざん防止とコアファイル監視モジュールを統合したものです。ファイルのインターセプト保護とファイルアクセス監視をサポートする統一されたルール管理インターフェイスを提供し、設定と管理を簡素化します。

説明

File Tamper-Proofing ページで、右上隅の Old Version をクリックすると、従来のコンソールに切り替わります。従来の機能は将来のリリースで段階的に廃止される予定です。詳細については、「[アップグレード] Security Center [Web 改ざん防止] と [コアファイル監視] の統合とアップグレード」をご参照ください。

比較項目	従来 - Web 改ざん防止	従来 - コアファイル監視	新規 - ファイル改ざん防止
アクションタイプ	ディレクトリとファイルタイプで保護範囲を設定するホワイトリスト/ブラックリストモード。	ルールベースのアラート/許可モード。	アラート、ブロック、許可の 3 つのアクションタイプを持つ統一されたルール管理。
機能	異常なファイル変更を識別し、原因となったプロセスをブロックまたはアラートします。	異常なファイルアクセス (読み取り、書き込み、削除) を監視し、アラートを生成します。	ファイルの読み取り、書き込み、削除、名前の変更、権限の変更操作を監視、ブロック、またはアラートします。除外ユーザー (ユーザーホワイトリスト) をサポートし、ホワイトリストに登録されたユーザーによるファイル操作がアラートやブロックをトリガーしないようにします。
クォータ消費	改ざん防止クォータの購入が必要です。	Enterprise Edition または Ultimate Edition のユーザーは無料です。クォータ消費はありません。	ブロックルール：クォータを消費します。アラートルール：サーバーの保護エディションが Enterprise Edition 未満、または保護レベルが Host Protection 未満の場合にクォータを消費します。許可ルール：クォータ消費なし。無料で利用できます。

アラートルールとブロックルールの両方が設定されている場合、どちらが優先されますか？
ファイル操作が複数のルールに一致した場合、Security Center は次の順序で評価します：許可 > ブロック > アラート。許可ルールが最初に評価されます。一致しない場合、ブロックルールが評価されます。ブロックルールが一致しない場合、アラートルールが評価されます。

アラートルールとブロックルールの違いは何ですか？

比較項目	アラートルール	ブロックルール
機能	ファイル操作をブロックせずにイベントを記録し、アラート通知を生成します。	権限のないプロセスによる不正なファイル操作を積極的にブロックします。
クォータ消費	サーバーの保護エディションが Enterprise Edition 未満、または保護レベルがホストフルプロテクション未満の場合にクォータを消費します。	改ざん防止クォータを消費します。
ユースケース	監視シナリオ。	アクティブ防御シナリオ。

ルール作成後、有効になるまでにどのくらい時間がかかりますか？
- サーバーでルールが初めて有効化された場合、有効になるまでに最大 5 分かかります。
- 変更されたルールは 1 分以内に有効になります。変更は既存のアラートや記録されたイベントには影響しません。