IDSのネットワーク型とホスト型の違いをわかりやすく解説！

ネットワーク型IDSとは

ネットワーク型IDSはセキュリティ強度を高めるためによく使われますが、どのような役割があるのでしょうか。具体的にどのようなものなのか見ていきましょう。

ネットワークを監視するIDS

ネットワーク型IDSとは主にネットワークを監視するために使われるIDSです。IDSの一種で、「NIDS」とも呼ばれます。IDSは外部からの不正アクセスを防ぐための侵入検知システムです。NIDSはその中でもネットワーク上の通信を専門に監視するツールなのです。

攻撃手法が多様化しているネットワーク上の脅威を検知し、管理者に知らせることができるため、効果的な対策が可能でしょう。

検知方法によって異なりますが、ポートスキャンやパスワードクラッキング、DoS攻撃やゼロデイ攻撃を検知できます。また、ウイルス感染後の異常も検知可能なため、事後対策にも活用できるでしょう。

ホスト型との違いは「監視対象」

IDSはネットワーク型以外にホスト型（HIDS）があり、その違いは監視対象です。

ホスト型はサーバなどのコンピュータにアクセスする通信の異常を検知可能です。不正アクセスをはじめとするさまざまな異常を検知し、暗号化通信にも対応できるため、重要なサーバを守るために必要でしょう。

ホスト型が異常を検知した場合、何かしらの悪影響を受けている可能性が高いです。ネットワーク型は悪影響の「可能性」を検知しますが、ホスト型は悪影響の「結果」を警告します。そのため、ネットワーク型よりもホスト型の方が検知内容の信頼性が高いといえるでしょう。

IPSとの違いは「機能」

IDSとIPSの大きな違いは機能です。IPSはネットワーク型IDSが発展したセキュリティツールであり、高い防御力を持ちます。主な機能はネットワーク上の不正アクセスや異常な通信を検知し、攻撃を遮断することです。

IDSでは異常を検知して通知するまでが仕事になるため、攻撃をブロックするときは人の手が必要になるでしょう。しかし、IPSは攻撃も遮断してくれる機能があるため、より安全性を高めることができます。

IDSの検出方法

IDSの検知方法は大きく分けて「不正検出型」と「異常検出型」の２種類がありますどのような違いがあるのか見ていきましょう。

不正検出（シグネチャ型）検知

不正検出型はシグネチャ型とも呼ばれ、あらかじめシグネチャに登録されているものと一致しているかどうかで判断します。シグネチャとは「署名」を意味し、不正とはどのようなものか定義したリストです。このシグネチャと一致した通信を検知し、管理者に通知します。

この方法ではパターンと一致していれば、より正確に不正な通信を検知できますが、常に新しいシグネチャに更新しなければなりません。また、シグネチャに定義されていないような未知の通信は検知できないため、注意しましょう。

異常検出（アノマリ型）検知

異常検出型はアノマリ型とも呼ばれ、正常な状態を登録し、その定義から外れる異常なものを検知する仕組みです。不審な挙動や不正な通信などを検知することによって防御を行います。また、通信のエラーが繰り返された場合も異常と判断し検知可能です。

このアノマリ型ではシグネチャ型と違い、未知の攻撃も検知することができるでしょう。したがって、ため有効なセキュリティ対策といえるでしょう。しかし、必要な通信も「異常」と判断してしまうため、誤検知の数も多くなってしまいます。

IDS・IPSの選び方

セキュリティ対策をしっかりと行うためには、自社にふさわしいツールを導入しなくてはなりません。ここからはIDS・IPS製品の選び方について説明していきます。

保護する対象は何か

IDSやIPS製品を選ぶときは、まず何を保護するのかを明確にしましょう。

NIDSとHIDSでは保護する対象が異なるため、保護する目的に合わせたツールを導入しなければなりません。例えば、IPSとNIDSであれば検知する範囲が重なってしまうため、有効なセキュリティ対策とはいえません。

より有効な対策を行うためにはIPSとHIDSを組み合わせることで、広範囲の通信を検知できるでしょう。

導入前後のサポートは充実しているか

セキュリティ製品を導入するときは、どの程度サポートしてくれるのかも判断基準になります。例えば、導入後に製品のセキュリティ上の脆弱性が見つかった場合、ベンダーがどの程度対応してくれるのかは重要でしょう。

また、シグネチャ型のIDSであればシグネチャの更新頻度も判断するポイントになります。このようなベンダーがどの範囲まで対応している確認しましょう。サポート体制が充実していれば、安心して運用することができます。

費用と機能のバランスはどうか

製品を選ぶ際は、必要となる機能と価格のバランスを見ながら選定することが大切です。特にNIDSやIPSであればネットワークの規模によって費用は大きく変わってくるでしょう。

性能が良いというだけでツールを選ぶと余計なコストが発生してしまう可能性も否めません。実際に小規模のツールであれば月額数万円程度で利用できますが、中規模以上になると数十万円かかります。まずは、自社にはどんな機能が必要なのか見極めましょう。

ネットワーク型とホスト型の違いを知り適切な対策を！

IDSは不審な通信を検知するシステムであり、多様化するセキュリティ上の脅威に対抗する手段として注目されています。重要なことはIDSにはネットワーク型とホスト型に分かれ、監視対象が異なることです。

通信全体を守りたい場合はNIDS、サーバを守りたい場合はHIDSを選びます。IDSの種類の特徴を知り、保護したい対象を意識して自社に合う適切な対策を行いましょう。