皆さん、こんにちは。

SCSK技術者によるSysdigブログ、第 35回は 渡邊 が担当します。
今回は2025年12月にリリースされたFile Integrity Monitoring（以下FIM）機能をご紹介します。

お客様からはよく実装有無を尋ねられる機能でしたので、今回のリリースにより選択肢が一つ増えた形になります。

本記事では、コンテナ内のファイルの変更によってアラートがトリガーされることを、シンプルな検証を通して確認していきます。

FIMとは

FIMとはFile Integrity Monitoringの略で、システムやコンテナ内の重要なファイルに対する変更を検知する仕組みです。
ファイルの内容変更や削除を継続的に監視し、不正な改ざんや意図しない変更を早期に検出することを目的としています。

SysdigのFIMと思想

Sysdigでは、起動時点で存在しているファイルに対し、内容の変更や削除といった変更を検知します。

なお、起動後に生成・更新されるファイルや一時ファイルの挙動を検知したい場合は、Falco Ruleの利用が適しています。

より技術的な背景や思想についてはSysdigからも情報が発信されているのでご覧ください。 https://www.sysdig.com/jp/blog/introducing-runtime-file-integrity-monitoring-and-response-with-sysdig-fim

Falco Ruleとの違い

Falco Ruleと比較するとFIMは設定が非常にシンプルです。
正規表現にも対応しているため、複雑なパス構成でも柔軟に指定できます。
「このディレクトリ配下は変更されたら困る」という要件に対して、素直に書ける点が特徴です。

前提条件

FIMを利用するには次の要件があります。

- Host Shield 14.3.0以降
- Universal eBPFが有効であること

Helmではインストール時に以下を追加することで有効化できます。

yaml
features:
  detections:
    file_integrity_monitoring:
      enabled: true

FIM Policy（監視対象）の設定

Monitored Directoriesに監視したいディレクトリをカンマ区切りで指定します。
Google RE2準拠の正規表現も利用できるため、柔軟な指定が可能です。

Excluded Directoriesには検知対象外としたいものを記述します。

いざ実践

今回はnginxコンテナを起動し、設定ファイルへ書き込みや削除を行います。

＜ファイルの更新＞

以下コマンドで設定ファイルに追記します。

kubectl run -it --rm nginx --image nginx:latest -- /bin/bash
echo 'test' >> /etc/nginx/nginx.conf

以下のように検知されました。

親プロセスを遡って表示するProcess Tree機能とも連携されており、発生原因の特定がしやすくなっています。
また、更新前後のファイルハッシュが表示されるので対象を一意に特定できる点も調査で役立ちそうです。

＜ファイルの削除＞

ファイルを消してみます。

kubectl run -it --rm nginx --image nginx:latest -- /bin/bash
rm /etc/nginx/nginx.conf

削除も検知されていますね！

終わりに

FIMは「設定ファイルがいつの間にか書き換わっていた」「誰が消したのか分からない」といった運用上の不安を解消してくれる機能です。
本記事が、皆様のセキュアな運用を一歩進めることにつながれば幸いです。

担当者紹介

担当者名

渡邊

コメント

コード好き。アニメやドラマにターミナルの画面が出てくると、その内容がどのぐらい正確か必ずチェックします。

保有資格

Certified Kubernetes Administrator
Certified Kubernetes Application Developer