資料請求リストに製品が追加されていません。
コンピュータセキュリティを語るうえで欠かせない不正侵入検知・防御システム。IDS、IPSとも呼ばれるこれらのシステムは、外部からの悪意あるトラフィックから自社システムをどのように守ってくれるのでしょう? その概要と働きについて、簡単にご説明いたします。
IDSとはIntrusion Detection Systemの略で、Intrusion(=侵入)をDetection(=検知、検出)するシステムとして、侵入検知システムと呼ばれています。システムやネットワークに対して外部から不正なアクセスがあったり、その兆候が確認できた場合に管理者への通知といったアクションと行います。
これに対してIPSはIntrusion(=侵入)を Prevention(=防御)するシステム、すなわち侵入防御システムと呼ばれています。ファイアウォールで防げない脅威もIPSなら対処できることから、セキュリティ強化としてファイアウォールに続けて多く導入されることがあります。
IDS、IPS共に外部からの不正なアクセスを検知するだけでなく、例えば内部の機密情報を外部に不正に公開するといった悪質な行為を検知することも可能となっているのです。
ではその違いはなんでしょうか。IDSもIPSもシステムやネットワークに対する外部からの不正行為を検出するシステムですが、検出後のアクションによって区分されています。不正行為を検出後、指定されたアクション(例えばシステム管理者に通知するなど)を起こすものの防御措置は取らないのがIDS、検出後直ちにトラフィックを遮断するなどの防御措置を取るのがIPSです。
IDSが不正を検知して管理者に通知をしても、対応にはある程度の時間がかかります。管理者対応までの時間に被害が拡大することもあり得るのです。そこで、IDSに疑わしいアクセスを自動的に遮断する機能をもたせたものがIPSであると言えます。
ファイアウォールやウィルス対策ソフトと比べると、あまり知られていないのも事実ですが、これらと連携することでより強靭なセキュリティ環境を築くことができるのです。
IDS(不正侵入検知システム)にはNIDS(Network-Based IDS=ネットワーク型IDS)と、HIDS(Host-Based IDS)があります。これらは名称の通り、「ネットワーク上でトラフィックを監視するIDS」と「ホストに常駐して不正侵入を検知するIDS」です。
ネットワーク型IDSはネットワーク上を流れる通信パケットを収集し、そのデータやプロトコルヘッダを解析します。通常監視対象となるネットワークに設置されますが、直接接続しているネットワークセグメントについてのみ監視できるので、DMZ(=非武装地帯:公開サーバなど)、社内ネットワーク、ファイアウォールの外側など、監視したいネットワークのそれぞれに配置する必要があります。
ホスト型IDSは監視対象のサーバなどにインストールして、OSが記録するログファイルやサーバ内のファイル改ざんを監視します。OSの監視機能と連携して不正侵入を検出するのです。もちろん、インストールされたホストにしか働かないので、システムに保護したいPCが複数ある場合はそれぞれにインストールする必要があります。
ネットワーク型IDSはホスト型IDSに比べて導入が簡単であり、リアルタイムでクラッカーの攻撃を検出できるというメリットがあります。
IDSは不正侵入や悪意あるアクセスを検出する仕組みによって、「不正検出型」と「異常検出型」にも分類されます。多くのIDSで採用されている不正検出(Misuse Detection)は、あらかじめ登録されたシグネチャと呼ばれるパターンやルールとマッチングさせて侵入検出を行う仕組みです。
IDSがシグネチャと一致したパケットを発見すると、不正侵入あるいは攻撃の予兆とみなして対応するのです。このタイプのアルゴリズムでは、既知の手口を使った侵入のみしか検出することができません。
対して異常検出(Anomaly Detection)では、通常とは違ったトラフィックを検出する仕組みで、未知の手口を使った侵入も見つけることができます。ログイン時刻やネットワークトラフィック状況、使用コマンドなどの条件に対して、通常時のしきい値を設定し、これと異なった場合に異常と判断します。最近のIDS製品ではこれらの両方の検出手法を採用したものも多くあります。
ちょっと難しい…という方は下の図で仕組みを理解していきましょう。不正侵入型はあらかじめ怪しいパターンやルールをまとめたブラックリスト(シグネチャ)を用意しておき、それらと一致したものが見つかった場合に対応します。それに対し異常検出型は他と異なる動きをしている場合に異常と判断するのです。
外部ネットワークからの不正アクセスを防ぐ、もうひとつの仕組みにWAF(Webアプリケーションファイアウォール)があります。WAFはWebアプリケーションの脆弱性を悪用した攻撃などからシステムを守るシステムです。
WAFの特徴は通信データの内容を機械的に解析できる点であり、従来のファイアウォールやIDS・IPSではブロックしきれなかった、ユーザからのリクエストに応えて動的なページを生成するタイプのWebサイトへの攻撃を防ぐことができます。
IDS・IPS、WAFはどれも外部ネットワークを経由する不正アクセスからシステムを守るという働きを持っていますが、その監視対象や目的、守備範囲が異なっています。これらを組み合わせることで、より強固なセキュリティシステムを構築することができ、自社システムとユーザを守ることができるのです。
参考記事:IDS・IPSはファイアウォール、WAFとどう違う?ネットワーク上やホスト上でパケットを監視することにより、不正侵入を検知するIDSは大切なシステムを外部の悪意ある攻撃から守るために、欠かせない存在です。新型ウィルスや増加を続ける不正アクセスのへの対抗手段のひとつとして、社内のデータはもちろん、顧客を守るためにも、不正侵入検知・防御システムの導入を検討してみてはいかがでしょう。
しかし、セキュリティ製品の選定は慎重になりがちです。多くの製品が市場に投入されています。もし製品選びに迷うようであれば、不正侵入検知・防御システムの人気製品ランキングなどの情報を参考にすることをおすすめします。
会員になるとできること
注目の最新ニュース・製品・サービスの情報をメールで
お届けします。
気になる製品・サービスにもそのままお問い合わせ可能!
資料請求やお問い合わせをされた場合、提供会社へお知らせをさせていただきますので、ご了承いただけますようお願い申し上げます。
登録された個人情報は、マイページ「登録情報の変更」で変更いただけます。
関連製品・サービス
資料請求ランキング
| 1月14日(月) 更新 | |
 |
|
|---|---|
 |
|
 |
|
|
一覧を見る
|
|
