導入
皆さんはIDSとIPSをご存知ですか?
IDSとIPSはWebセキュリティを行う上では必要不可欠なシステムです。
今回はそのIDSとIPSについてご紹介します。
不正な通信を検知するIDS/IPS。
WAFやファイアウォールとともに、重要なセキュリティ製品として紹介されることが多いですが、どのようなはたらきをするのか、製品ごとに何が違うのか、いまひとつ理解できないという人も多いのではないでしょうか。本記事では、IDS/IPSの仕組みや2つの違い、製品の選び方について解説いたします。
侵入検知システム(しんにゅうけんちシステム。Intrusion Detection System。略して IDS)はシステムやネットワークに発生するイベントを監視し、それを分析する事で、ホストやポートをスキャンするような偵察行為や不正侵入などインシデントの兆候を検知し、管理者に通知するシステムである[1][2]。一方侵入防止システム(しんにゅうぼうしシステム、英: Intrusion prevention system 略称: IPS)も不正侵入の兆候を検知するところまではIDSと同様だが、検知した不正を自動的に遮断するところに違いがある。両者を合わせてIDPSという場合もある[3]。
IDPSは誤検知を起こす事があるので、誤検知を減らすようIDPSの設定を変更してチューニングする必要がある[4]。特にIPSの場合、正常な侵入を遮断してしまうとシステムの動作に問題が生じる可能性があるので、誤検知が少なくなるようより保守的なチューニングが必要になる。
IDPSは「しばしば攻撃にさらされる事が多いので、その構成要素を保護する事は非常に重要である」[5]。
IDS・IPSとは、ネットワークにおいて不正侵入を検知・防御するシステムです。ネットワークのセキュリティを守るソフトウェアや機器としてはファイアウォールがよく知られていますが、IDS・IPSではファイアウォールでは実現できない対策が可能となっています。
この記事では、IDS・IPSの概要やそれぞれの役割について、イラストを用いてわかりやすく解説しています。
IDSは、「Intrusion Detection System」の頭文字をとった用語で、不正侵入検知システムと訳される。主に、ネットワークやサーバーを監視し、不正なアクセスを検知する役割を担う。
IDS・IPSとは何なのか、さっぱりわからないという方は多いのではないでしょうか。IDS・IPSはセキュリティ製品の一つで、企業のセキュリティ対策に役立ちます。
この記事では、IDS・IPSとは何なのか、基本を徹底的に解説していきますので、ぜひ参考にしてみてください。
IDS(Intrusion Detection System)とは、不正な通信やホストへの侵入、ファイルの改ざんなど、不正な侵入の兆候を検出するシステムである。
不正アクセスなどのサイバー攻撃は、近年ますます手口が巧妙となっています。サイバー攻撃からコンピューターネットワークを守るためには、「IDS」や「IPS」といった不正アクセスを検知・防御するシステムの導入が必須となっています。
とは
IDSはIntrusion Detection Systemの略称で、不正侵入検知システムとも呼ばれます。
インターネットに公開するサービスでは、それに対する通信はファイアウォールでは接続許可の扱いとなるため、正常な通信と異常な通信は区別なくアクセスされることになります。
そこで、IDSを設置することで、通信を監視します。
また、もし異常があれば管理者へ通知することで、異常な通信をブロックするなどの対処をするきっかけ(トリガー)となります。
Intrusion Detection Systemの略で「侵入検知システム」とも呼ばれる。ネットワーク上を流れるパケットを監視したり、サーバー上の受信データやログを調べたりして、何らかの不正侵入の兆候が確認できた場合に、管理者へ警告メールを通知するなどのアクションを起こすシステム。管理者は実際の被害に先立って警戒でき、必要であれば回線切断などの防衛策を講じることができ、システムの破壊などを未然に防止できる。
IDSと混同されやすいシステムとして、ファイアウォールがある。ファイアウォールは、ネットワークやホストコンピューターを不正アクセスから守るための装置であり、不正アクセスの防止というより、発見のための装置である。それに対し、IDSは流れてくるパケットを監視し、不正アクセスと思われるパケットを検出して管理者に通知することが主な目的である。また、最近では、攻撃と思われる通信を自動的に遮断する機能をIDSに持たせた「IPS」にも注目が集まっている。
IDSとは、「Intrusion Detection System」の略で、日本語では侵入検知システムと言います。その名の通り、不正または異常な通信を検知し、管理者に通知するシステムで、主に検出パターンや、検出のルールが記述された「シグネチャ」に基づき、システムを通過する不正な通信を検知します。
ただし、検知するのみで、その後の具体的なアクションは実行しません。検知後のアクションもセットにして対策を講じたい場合は、IDSではなく、後述するIPS(侵入防御システム)を導入するか、IDSやIPSの機能を有したUTM(Unified Threat Management)を導入し、統合的なセキュリティ管理を実装するのが得策です。
IDSは「Intrusion Detection System」の略で、日本語では「不正侵入検知システム」と呼ばれています。文字通りネットワークに対して不正なアクセスがないかをリアルタイムでチェックし、疑わしい内容があれば管理者へ通知を行うのがIDSの役割です。
ネットワーク型とホスト型
IDSには、ネットワーク型・ホスト型の2種類があります。ネットワーク型は監視対象となるネットワーク上に設置し、ネットワークに流れるデータ(パケット)を監視するのに使います。ネットワーク型は直接接続しているネットワークでのみ検知が可能なので、たとえば社内のネットワークやファイアウォールの外側など、監視したいネットワークが複数あれは、それぞれのネットワークに設置する必要があります。
一方のホスト型とは、監視対象のサーバーなどにインストールして使われるタイプのIDSです。監視対象となるサーバーなどの機器が複数ある場合は、それぞれの機器へインストールする必要があります。
シグネチャ型とアノマリ型
IDSの検知方法には「シグネチャ型」「アノマリ型」の2種類があります。
シグネチャ型とは、異常なアクセスのパターンをあらかじめ登録しておき、通信の内容がそれと一致すれば不正と判断する検知方法です。ブラックリストを用いた手法といえば分かりやすいでしょうか。
一方のアノマリ型とはシグネチャ型とは反対で、正常なアクセスのパターンを事前に登録しておき、通信の内容のなかで登録済のパターンと大きく異なるアクセスをみつけた場合は、不正と判断する手法です。こちらはホワイトリストに近い手法と理解すると、分かりやすいかもしれません。
シグネチャ型は誤検知が少ない一方で、あらかじめ登録されていない不正アクセスのパターンを見逃してしまうのがデメリットです。一方アノマリ型は、未知の攻撃でもある程度検知できるメリットがある一方で、シグネチャ型と比べると誤検知が多くなる点がデメリットです。このようにそれぞれのメリット・デメリットがあります。ネットワーク管理者は、IDS/IPSを設置する環境にあわせて、より適した方を選択します。
IDSは、「Intrusion Detection System」の頭文字をとった用語で、不正侵入検知システムと訳される。主に、ネットワークやサーバーを監視し、不正なアクセスを検知する役割を担う。一般的に、ファイアウォールはインターネットからの不正なアクセスの防御機能、ポートスキャンの機能などを提供する。一方、IDSはOSまでの領域の防御を担い、ファイアウォールを補完する形で導入される。ファイアウォールが許可した通信を監視し、DoS攻撃、SYNフラッド攻撃、クロスサイトスクリプティング、バッファオーバーフローなどの兆候を検知するため、通信の安全性を高めることに寄与する。IDSは、既知の攻撃手法をシグネチャとして登録しておく「シグネチャ型」と呼ばれる手法や、通常の通信とは大きく異なる振る舞いを検知する「アノマリ型」と呼ばれる方法などにより不正を検知する。
IDSとはIntrusion Detection Systemの略で、Intrusion(=侵入)をDetection(=検知、検出)するシステムとして、侵入検知システムと呼ばれています。システムやネットワークに対して外部から不正なアクセスがあったり、その兆候が確認できた場合に管理者への通知といったアクションと行います。
IDS(Intrusion Detection System)とは、不正な通信やホストへの侵入、ファイルの改ざんなど、不正な侵入の兆候を検出するシステムである。検出した場合、管理者へ通知を行う。
設置方法で分類するならば、ネットワーク上に設置する「ネットワーク型」と、ホスト上に設置する「ホスト型」の2種類となる。前者はネットワークセグメント上に設置し、トラフィックを監視する。トラフィック全体を監視できる半面、ホストごとの詳細な監視はできない。後者はホスト上に設置し、外部との通信やソフトウェアのログなどを監視する。OSやプロセスなど、詳細な監視ができる半面、監視対象となるホスト1台ずつに導入する必要がある。
不正の検出方法としては「シグネチャ型」「異常検出型」の2種類がある。前者はあらかじめ登録した、「シグネチャ」と呼ばれる不正な通信の特徴情報に基づき、一致した場合に「不正」と判断する。そのため、登録されていないパターンの不正な通信は検出できない。後者は、あらかじめ「監視対象の正常時の状態」を登録することで、その状態に反した場合、不正と判断する。そのため前者のように「特徴を追加する」必要がなく、未知の攻撃を検出できる。なお、多くのIDSでは前者の手法が採用されている。
冒頭で説明したように、IDSは「検出や通知」のみを行う。検出後、通信の遮断を行いたい場合、IDSではなく「IPS(Intrusion Prevention System)」を使用するとよい。
また、IDS/IPSともに「正常な通信を不正と認識する場合」「不正な通信を正常と認識する場合」がある。そのため、「意図した通信を検出できること」だけではなく「意図しない(正常な)通信を誤検出していないか」を確認する必要がある。
企業や教育・研究機関などのコンピューターネットワークには、外部からの不正アクセスをブロックするシステムが用意されています。このシステムは一般的に「ファイアウォール」と呼ばれています。
ファイアウォールとは「防火壁」の意味ですが、正常な通信と異常な通信を完全に区別することはできません。そのため、ファイアウォールをすり抜け、コンピューターネットワーク内に不正侵入する可能性があるのです。
そこで、不正アクセスされたり異常な通信があったりしたときに、その侵入を検知して管理者に通知するシステムとして「IDS」があります。IDSはIntrusion Detection Systemの略で、不正侵入検知システムと呼ばれています。
このIDSが不正アクセスを検知する方法には2通りあります。1つは、侵入手口のパターンをあらかじめ登録しておき、それと同じ侵入行為があったときに検知する「不正検出」です。もう1つは、ネットワーク内で通常とは異なる不正なパケット(ネットワークを流れるひとかたまりのデータ)を検知したときに、その行動をすべて検知する「異常検出」です。
ただし、IDSは不正アクセスがあったときに、その事実を記録・検知して、システム管理者に通知するだけで、それ以上の機能はありません。
H2候補
- ネットワーク型とホスト型
- データ収集方法について
- IPS(不正侵入防止システム)とは?
- IPS(侵入防御システム)とは?
- IDS/IPSの違いとは
- IDS/IPSの種類
- ネットワーク型(NIDS・NIPS)
- ホスト型(HIDS・HIPS)
- クラウド型
- IDS/IPSの検知方法
- シグネチャ型
- アノマリ型
- IDS/IPSで防げる攻撃の種類
- 不正なプログラム(バックドア・トロイの木馬等)
- DoS攻撃/DDoS攻撃
- SYNフラッド攻撃
- バッファオーバーフロー攻撃(BOF)
- IDS/IPSで防ぎにくい攻撃の種類
- IDS/IPS製品の選び方
- 導入形態
- サポート体制/導入実績
- IDS/IPSとWAFの違い
- UTMの有用性と課題点
- IPS:不正侵入「防御」
- ファイアウォールとIDS/IPSの違いは何か?
- IDS/IPSはどんな不正侵入に有効なのか
- DoS攻撃・Synフラッド攻撃などに有効
- Webアプリケーションを狙った攻撃にはWAFの方が適切
- IDS/IPSとファイアウォールやWAFは併用を推奨
- IDSの種別
- IPSとの違い
- 不正侵入防御(IPS)とは
- IDSとIPSの違い
- IDS・IPSの種類
- ネットワーク型IDS・IPS
- ホスト型IDS
- IDS・IPSが不正侵入を検知する2つの仕組み
- シグネチャとのマッチングで検出する不正検出
- 通常と異なるトラフィックを検出する異常検出
- 合わせて知っておきたい!IDS・IPSとWAFの違い
- 新型ウイルス増加中! IPS・IDSで対抗を!~
- IPS(不正侵入防御システム)とは
- IDSとIPSの違いとは
- IPSやIDSでカバーできない攻撃はどうする?
- セキュリティレベル向上のためには固定IP導入の検討も
まとめ
※ このページは現在準備中です。記述内容は、以下の参考リンクより抜粋したものです。
参考
- https://www.shadan-kun.com/blog/measure/303/
- https://www.otsuka-shokai.co.jp/words/ids.html
- https://www.amiya.co.jp/column/ids_ips_20200908.html
- https://ja.wikipedia.org/wiki/%E4%BE%B5%E5%85%A5%E6%A4%9C%E7%9F%A5%E3%82%B7%E3%82%B9%E3%83%86%E3%83%A0
- https://www.kagoya.jp/howto/network/ids-ips/
- https://eset-info.canon-its.jp/malware_info/term/detail/00114.html
- https://it-trend.jp/ids-ips/article/explain
- https://www.atmarkit.co.jp/ait/articles/0401/01/news055.html
- https://www.ntt.com/business/services/network/internet-connect/ocn-business/bocn/knowledge/archive_14.html