侵入検知システム(IDS)とは
侵入検知システム(Intrusion Detection System: IDS)とは、ネットワークやコンピュータシステムをリアルタイムで監視し、外部からの不正なアクセス、内部からの不審な活動、または既知の攻撃パターンに合致する異常な挙動を検知して管理者に警告を発するセキュリティシステムを指します。
IDSは、攻撃を「防御」するのではなく、「検知」することに特化しており、多くの場合、ファイアウォールなどの防御システムと連携して運用されます。
侵入検知システムの基本的な概念
IDSは、システムのセキュリティを多層的に守る「防御の深層化」戦略において重要な役割を担います。
主な概念は以下の通りです。
- 監視対象(Monitored Target): IDSが監視する対象は、ネットワーク上の通信(ネットワークベースIDS: NIDS)か、個々のサーバーやPC上のログ・ファイルシステム(ホストベースIDS: HIDS)のいずれか、またはその両方です。
- アラート(Alert)/ 警告(Alarm): IDSが不審な活動を検知した際に、管理者に対して発報する通知です。これは、メール、SNMPトラップ、ログ記録など様々な形式で送られます。
- 誤検知(False Positive): 正常な活動を誤って不正な活動として検知してしまうことです。誤検知が多いと、管理者のアラート疲労を引き起こし、本当に重要な警告を見逃す原因となる可能性があります。
- 見逃し(False Negative): 実際に不正な活動が発生しているにもかかわらず、IDSがそれを検知できないことです。これは、IDSの検出能力の限界を示し、セキュリティリスクに直結します。
- シグネチャ(Signature): 既知の攻撃パターンを識別するための特徴的なデータ(例: 特定の文字列、パケットヘッダー情報、マルウェアのハッシュ値など)です。シグネチャベースのIDSで用いられます。
侵入検知システムの種類
IDSは、監視対象や検知方法によっていくつかの種類に分類されます。
1. ネットワークベースIDS(Network-based IDS: NIDS)
- 概要: ネットワーク上に設置され、流れるすべてのパケットを監視し、不正な通信や攻撃パターンを検知します。ネットワークの主要な通過点(例: インターネットと内部ネットワークの境界、セグメント間)に配置されます。
- 特徴:
- 複数のホストを一度に監視できるため、広範囲の監視が可能です。
- 攻撃が個々のホストに到達する前に検知できる可能性があります。
- ホストが侵害されても、ネットワーク上の通信を監視し続けられます。
- デメリット:
- 暗号化された通信(SSL/TLSなど)の内容は通常監視できません。
- 高速なネットワークでは、すべてのパケットを処理しきれずに見逃しが発生する可能性があります。
- ホスト内部の挙動(メモリ内の不正な動きなど)は検知できません。
2. ホストベースIDS(Host-based IDS: HIDS)
- 概要: 個々のサーバーやワークステーションに導入され、そのホスト内部の活動(システムログ、ファイルシステムへのアクセス、レジストリの変更、プロセス実行など)を監視します。
- 特徴:
- ホストごとの詳細な挙動を監視できるため、内部からの攻撃や、NIDSでは検知できないような特定のホストを標的とした攻撃を検知しやすいです。
- 暗号化された通信であっても、ホスト内部での処理は監視可能です。
- デメリット:
- 導入と管理はホストごとに必要となり、大規模環境では運用負荷が高まります。
- ホスト自体が侵害された場合、HIDSも無効化されるリスクがあります。
- ネットワーク全体の攻撃傾向を把握するには不向きです。
侵入検知システムの検知方法
IDSは、主に以下の2つの方法で不正な活動を検知します。
1. シグネチャベース検知(Signature-based Detection)
- 概要: 既知の攻撃パターン(シグネチャ)のデータベースと照合し、それに合致する活動を不正と判断します。
- 特徴:
- 既知の攻撃に対しては、非常に高い精度で検知できます。
- 誤検知が比較的少ないです。
- デメリット:
- 未知の攻撃(ゼロデイ攻撃など)や、シグネチャを回避するための巧妙な攻撃には対応できません。
- シグネチャデータベースを常に最新に保つ必要があります。
2. アノマリベース検知(Anomaly-based Detection)/ 異常検知
- 概要: 通常のネットワーク活動やシステム挙動のベースライン(正常なプロファイル)を学習し、そこから逸脱する異常な活動を不正と判断します。機械学習や統計分析が用いられることが多いです。
- 特徴:
- 未知の攻撃や、既存の攻撃の変種(亜種)も検知できる可能性があります。
- 特定のシグネチャに依存しないため、多様な脅威に対応できる汎用性があります。
- デメリット:
- 誤検知が発生しやすい傾向があります。システムやネットワークの正常な変化を異常と判断してしまう可能性があります。
- ベースラインの学習期間や、チューニングに時間がかかります。
- 攻撃者が正常な活動を装うことで、検知をすり抜ける可能性があります。
IDSとIPSの違い
IDSとよく似た機能を持つシステムに侵入防止システム(Intrusion Prevention System: IPS)があります。
- IDS(Intrusion Detection System):
- 役割: 検知と警告。不正な活動を検知し、管理者に通知する。ネットワークトラフィックを妨げない受動的な監視を行う。
- 配置: ネットワークの監視ポート(ミラーポートなど)に接続されることが多い。
- IPS(Intrusion Prevention System):
- 役割: 検知と防御(遮断)。不正な活動を検知するだけでなく、リアルタイムでその通信をブロックしたり、セッションを切断したりするなど、能動的な防御措置を講じる。
- 配置: ネットワークの通信経路にインラインで挿入されることが必須。
IPSは、IDSの検知機能に加えて、自動的な防御機能を持つため、より迅速な対応が可能になります。しかし、誤検知が発生した場合に正常な通信までブロックしてしまうリスクがあるため、より慎重な設定と運用が求められます。多くのセキュリティ製品は、IDSとIPSの両方の機能を統合した「統合脅威管理(UTM)」や「次世代ファイアウォール(NGFW)」の一部として提供されています。
侵入検知システム(Intrusion Detection System: IDS)とは、ネットワークやコンピュータシステムへの不正なアクセスや不審な活動を監視・検知し、管理者へ警告を発するセキュリティシステムです。
監視対象によってネットワークベースIDS(NIDS)とホストベースIDS(HIDS)に大別され、検知方法には既知の攻撃パターンと照合するシグネチャベース検知と、通常の挙動からの逸脱を検知するアノマリベース検知があります。
IDSは、攻撃を「防御」するのではなく「検知」に特化しており、自動的に攻撃を遮断する「侵入防止システム(IPS)」とはその点で異なります。
IDSは、ファイアウォールなどの防御策をすり抜けた攻撃を早期に発見し、被害を最小限に抑えるための重要なセキュリティ層として、今日の多層防御戦略において不可欠な要素となっています。
関連用語
お問い合わせ
システム開発・アプリ開発に関するご相談がございましたら、APPSWINGBYまでお気軽にご連絡ください。
APPSWINGBYの
ソリューション
APPSWINGBYのセキュリティサービスについて、詳しくは以下のメニューからお進みください。
システム開発
既存事業のDXによる新規開発、既存業務システムの引継ぎ・機能追加、表計算ソフトによる管理からの卒業等々、様々なWebシステムの開発を行っています。
iOS/Androidアプリ開発
既存事業のDXによるアプリの新規開発から既存アプリの改修・機能追加まで様々なアプリ開発における様々な課題・問題を解決しています。
リファクタリング
他のベンダーが開発したウェブサービスやアプリの不具合改修やソースコードの最適化、また、クラウド移行によってランニングコストが大幅にあがってしまったシステムのリアーキテクチャなどの行っています。
ご相談・お問い合わせはこちら
APPSWINGBYのミッションは、アプリでビジネスを加速し、
お客様とともにビジネスの成功と未来を形作ること。
私達は、ITテクノロジーを活用し、様々なサービスを提供することで、
より良い社会創りに貢献していきます。
T関する疑問等、小さなことでも遠慮なくお問合せください。3営業日以内にご返答致します。
ご相談・お問合せはこちら
APPSWINGBYのミッションは、アプリでビジネスを加速し、お客様とともにビジネスの成功と未来を形作ること。
私達は、ITテクノロジーを活用し、様々なサービスを提供することで、より良い社会創りに貢献していきます。
IT関する疑問等、小さなことでも遠慮なくお問合せください。3営業日以内にご返答させて頂きます。
