isAdmin Manual

■検査方法について
検査方法はサービスや設定により異なります。各サービスでの検査方法は以下のとおりです。

サービス検査方法
Web改ざん監視
  1. 指定されたWebサーバに接続しGETリクエストを送ります。
  2. コンテンツ検査を行います。
    コンテンツの検査方法として指定された検査を行います。
    1. GETの結果に対し、Last-Modifiedタグがヘッダに含まれていた場合は前回の結果と比較します。
    2. GETの結果に対し、コンテンツの長さが変更されていないか検査します。
    3. GETの結果に対し、コンテンツのSHA1によるダイジェスト値を計算し前回の結果とが変わってていないか検査します。
  3. 「iSignによる署名検証」が選択されていた場合、取得結果に対し署名が存在するか、署名が正しいか検証します。もし署名が存在しなかった場合や署名が正しくない場合、エラーとして報告します。
  4. 「HTMLファイル内のリンクをたどって検査する」が選択されていた場合は取得したHTMLを解析し、リンク先を指定階層まで同一の検査を行いながらたどります。
    リンクをたどる対象となるタグは、A HREF, AREA SRC, IMG SRC, FORM ACTION, FRAME SRC, OBJECT DATA, EMBED SRCで、このタグ内でリンクされているURLを解析します。
コンテンツの検査を行なわない場合は、GETリクエストを送り結果が返ってくるかどうかのみ検査します。
GETの結果302などのリダイレクトレスポンスが返った場合は内部でリダイレクトを処理し、リダイレクト先のコンテンツを取得します。
性能低下警告を行う設定であった場合、コンテンツの取得にかかった時間でコンテンツサイズを割り、スループットを求めます。スループットが最速値の何倍にあたるか計算し、指定以下のスループットとなった場合に警告をおこないます。
検査除外URLにマッチしたURLは、変更・改ざん検査を行いません。またリンクの解析も行いません。
自動復旧
  1. 事前作業
    自動復旧(内蔵FTPサーバのルートディレクトリ配下)が設定された時、自動復旧のファイル情報(ダイジェスト値、ファイル長)を計算しファイル情報データベースに記憶します。
    「復旧元情報更新」機能が実行された場合も同様の処理を行い、記憶したファイル情報データベースを更新します。
  2. コンテンツの更新
    内蔵FTPサーバで自動復旧が更新された時、更新内容をファイル情報データベースに反映後、自動復旧を更新します。
    ※自動復旧処理の実行時には以下のファイル情報を比較しながら処理を行います。
    1. isAdminファイル情報データベース内の情報
    2. 自動復旧ファイル情報
    事前作業では、isAdminファイル情報データベースに、自動復旧ファイル情報を蓄積します。以後の処理では、上記の情報を比較しながら、ファイルの改ざん・変更を検出します。
  3. 自動復旧処理
    1. 自動復旧のファイル一覧を取得してファイル情報データベースと比較し、ファイルの過不足を調べます。 復旧ディレクトリの不足ファイルはコピーし、不要ファイルは削除します。
      「自動復旧の改ざんを検出しても復旧を行わず通知のみ行う」と指定されていた場合、ファイルのコピー・削除処理は行わず、アラートのみ通知されます。
    2. 自動復旧からファイル情報(ファイル長、更新日付)を取得します。
    3. 相対パスの一致したファイルについて、ファイル情報を比較します。
      • 完全検査の場合
        ダイジェスト値による比較を行います。
        FTP/SFTPサーバが指定されている場合、FTP/SFTPサーバ内の各ファイルをダウンロードし、ダイジェスト値を計算します。
        ローカルディレクトリが指定されていた場合、そのディレクトリ配下の各ファイルのダイジェスト値を計算します。
      • クイック検査の場合
        ファイル長および更新日時による比較を行います。いずれかが異なった場合は、当該ファイルのみ完全検査と同様の比較を行います。
    4. ファイル情報が異なった場合、復旧のファイルで復旧のファイルを上書きします。
    5. ファイルをコピーまたは削除した場合、レポートを送信します。
検査除外パスにマッチしたファイルは、変更・改ざん検査を行いません。 なお、コンテンツ更新は検査除外パスの対象外ですので、除外パスにマッチした場合も復旧先への更新が行われます。
自動復旧の情報を内蔵FTP以外の方法で更新した場合は、「復旧元情報更新」機能で ファイル情報を更新する必要があります。
クイック検査が指定された場合でも、初回のチェック時には完全検査相当の処理が行われます。
クイック検査ではファイルの更新日時よびサイズが変化しない改ざんを検出できないことに留意してください。 このため、完全検査との併用をお勧めします。
変更・改ざんを発見し、自動復旧先のファイルのコピー・削除を行う場合に変更・改ざんされたファイルのバックアップを行うことも可能です。
ファイルシステム改ざん監視
  1. 事前作業
    監視するディレクトリに含まれるファイル情報を(ダイジェスト値、ファイル長)を計算し記憶します。 FTP/SFTPサーバが指定されていた場合、該当ディレクトリに含まれるファイルをいったんローカルディレクトリに取得し、計算を行います。
    「ファイル情報更新」機能が実行された場合も同様の処理を行い、記憶したファイル情報を更新します。
  2. ファイルシステム改ざん監視処理
    1. 監視するディレクトリからファイル情報(ファイル長、更新日付)を取得します。
    2. 相対パスの一致したファイルについて、ファイル情報を比較します。
      • 完全検査の場合
        ダイジェスト値による比較を行います。
        FTP/SFTPサーバが指定されている場合、FTP/SFTPサーバ内の各ファイルをダウンロードしダイジェスト値を計算します。
        ローカルディレクトリが指定されていた場合、そのディレクトリ配下の各ファイルのダイジェスト値を計算します。
      • クイック検査の場合
        ファイル長および更新日時による比較を行います。いずれかが異なった場合は、当該ファイルのみ完全検査と同様の比較を行います。
    3. ファイル情報が異なった場合、レポートを送信します。
    4. ファイルの過不足を調べ、過不足を発見した場合、レポートを送信します。
「改ざん検出後にファイル情報を更新する」がチェックされていた場合、変更を発見したファイル情報を、新しい情報で更新します。チェックされていない場合は、更新を行いません。
クイック検査が指定された場合でも、初回のチェック時には完全検査相当の処理が行われます。
クイック検査ではファイルの更新日時よびサイズが変化しない改ざんを検出できないことに留意してください。 このため、完全検査との併用をお勧めします。
PING監視
  1. 指定されたホストにPINGを打ち、監視を行います。
    指定された試行回数の検査を行い、失敗回数がエラー許容回数を上回った場合、アラートをあげます。
上記検査のいずれかの段階でエラーが発生した場合、もしくは検査OKのアラート種別も通知と設定されていた場合、通知が行なわれます。

isAdmin Manual