シグネチャ型のIDSとは？アノマリ型との違いを丁寧に解説！

シグネチャ型のIDSとは？

通信を検知するメジャーな方法がシグネチャ型ですが、近年ではそれだけでは不十分といわれています。ここからはシグネチャ型のIDSの仕組みや特徴を説明します。

不正パターンに一致するかで判断

シグネチャ型のIDSとは不正検出型といわれる検知方法で、データベースに登録されている不正パターンに一致する通信を検知します。ブラックリストを用意するような方法です。

IDSはその役割から「門番」や「番犬」と表現されることが多いでしょう。シグネチャ型の場合「怪しい格好をした人」「武器になるようなものを持っている人」など危険な人の特徴を特定し検知します。

メリット：過去に経験した攻撃はブロックできる

シグネチャ型のメリットは、過去に経験した攻撃を正確にブロックできることです。つまり、脅威となる情報があれば高い防御を実現できます。防御したい攻撃が明確な場合はシグネチャ型のIDSを選ぶと良いでしょう。

デメリット：未知の脅威に対する防御力が低い

シグネチャ型のIDSは、登録されていない脅威からは防御できません。つまり、未知の脅威に対する防御力は低いのです。

今まで確実性が高いことでシグネチャ型のIDSが主流でしたが、これだけでは限界があるといわれています。シグネチャ型で対応できないほどの脅威が増えているためです。

アノマリ型のIDSとは？

シグネチャ型と対になる存在がアノマリ型のIDSです。その検知方法を知ることで適切なセキュリティ対策を行えます。では、アノマリ型のIDSの特徴を見ていきましょう。

正常パターンに一致するかで判断

アノマリ型のIDSはシグネチャ型と異なり、正常パターンを定義します。つまり、登録している正常パターンにそぐわないものは全て検知してしまうでしょう。

先程と同じように門番で例えると、「不審な動きをしている」「挙動が怪しい」など、他と比べて怪しいと判断されたものを検知する仕組みといえます。

メリット：未知の脅威に対しても柔軟に対応できる

アノマリ型IDSの最大のメリットは、シグネチャ型では検知できない未知の脅威を検知できることです。さまざまな脅威を防御したくてIDSの導入を考えているのであれば、アノマリ型を導入すると良いでしょう。

デメリット：シグネチャ型よりも誤検出が多い

アノマリ型のデメリットは、シグネチャ型よりも誤検知が多いことです。正常パターンの定義にミスがあれば、本来業務に必要な通信も全て異常と検知してしまいます。

誤検知が多ければ、通知を受け取った管理者が確認する手間も必然的に増えてしまうでしょう。その数が多ければ業務に支障が出る可能性も否めません。新しい通信が増える際は、正常パターンの再定義が必要です。

IDSの注意点

導入する前にIDSの注意点を押さえておきましょう。では、具体的にIDSにはどのような注意点があるか解説します。

IDSは運用の負荷が大きい

IDSにはネットワーク型とホスト型がありますが、いずれの方法でも運用の負荷が大きいです。

ホスト型であれば、IDSを導入しているホスト（サーバなどのコンピュータ）のリソースを多く使うことになります。運用するための負担は増大し、通信速度が遅くなるなど導入前と同じパフォーマンスを発揮できないかもしれません。

ネットワーク型のIDSも、ネットワーク上の通信を漏れなく確認するためには、多くのリソースが求められます。また、監視対象の情報も一定期間保存しておく必要があるため、メモリも圧迫するでしょう。

IDSはセキュリティ強度を高めるために必要ですが、現在のネットワークやサーバの運用状況を把握しなければ、導入に失敗してしまいます。

多層防御が必要

多様化するセキュリティ上の脅威の対策をするためにも、複数のツールを使った多層防御を検討しなければなりません。

その１つの構成要素であるIDSは、外部からの不正な通信や攻撃を検知することが可能です。実際にIDSによって通信を監視していれば、セキュリティ対策は完璧だと考えている経営者も少なくありません。

しかし、IDSに検知できない種類の攻撃も存在するため、多層防御という考え方が重要となります。

シグネチャ型とアノマリ型の違いを知り最適な対策を！

シグネチャ型のIDSは、確実性が高い防御体制を実現できますが、未知の攻撃に対する防御には不安が残るでしょう。逆にアノマリ型のIDSは、未知の脅威もブロックすることが可能ですが、誤検出の頻度は多くなってしまいます。

あらゆる攻撃を防ぐためには多層防御を行わなければなりません。シグネチャ型とアノマリ型の違いをふまえて、有効なセキュリティ対策を行いましょう。