不正侵入検知(IDS)とは
IDSは「Intrusion Detection System」の略で、不正侵入検知システムと呼ばれます。Intrusion(=侵入)をDetection(=検知)するのが役割です。社内ネットワークを監視し、外部から不正なアクセスやその兆候を確認した場合に、管理者へ通知します。
不正侵入防御(IPS)とは
IPSは「Intrusion Prevention System」の略で、不正侵入防御システムや不正侵入防止システムと呼ばれます。Intrusion(=侵入)を Prevention(=防御)するのが役割です。検知した脅威を遮断・防御し、ネットワークやOS・ミドルウェアを保護します。
IDSとIPSの違い
IDSとIPSの違いを以下にまとめました。
| 機能 | 構成 | |
|---|---|---|
| IDS | リアルタイムでトラフィックを監視し、不正アクセスや異常な通信を検知後、すぐに管理者へ通知する。 | IDSの監視用インタフェースをネットワークに接続し、通信パケットをコピーして分析する。 |
| IPS | リアルタイムでトラフィックを監視し、不正アクセスや異常な通信を即座に遮断する。 | 通信経路の間にIPS装置を挿入し、不正アクセスをゲートウェイでブロックする。 |
IDS・IPSについて詳しく知るためには、資料請求の活用がおすすめです。以下のボタンよりご利用ください。
IDS・IPSの種類
IDS・IPSには、主に「クラウド型」「ネットワーク型」「ホスト型」の3つの種類があります。それぞれの特徴を解説します。
クラウド型
クラウド型は、クラウド上に設置されたIDS・IPSを利用する方法です。監視対象は製品ごとに異なります。ネットワーク構築や設定が不要のため導入しやすく、運用や保守もベンダーに任せられます。ただし、クラウドベンダーの環境に依存するため、その環境に障害が発生すると自社にも影響が及びます。
ホスト型
ホスト型は、監視対象のサーバ(ホスト)にIDS・IPSをインストールする方法です。不正アクセスのほか、OSが記録するログファイルやサーバ内のファイル改ざんを監視します。インストールされたホストのみが監視対象のため、保護したいPCが複数ある場合はそれぞれにインストールが必要です。
ネットワーク型
ネットワーク型は、ネットワーク上にIDS・IPSを設置し、通信パケットを監視する方法です。DMZ(※)や社内ネットワーク、ファイアウォールの外側など、監視したいネットワーク環境へ配置します。ホスト型やクラウド型に比べて、広範囲での対応が可能です。
※DMZとは、外部ネットワークと社内ネットワークの間につくられるセグメント(区域)のこと。「非武装地帯」を意味する。例えば、DMZ内に公開用のWebサーバを設置し社内ネットワークと隔離することで、感染拡大や情報漏えいを防止する。
それぞれの違いや特徴をさらに詳しく知りたい方は、以下の記事をご覧ください。
IDS・IPSの仕組み
IDS・IPSには、「シグネチャ型」と「アノマリ型」の2つの検知方法があります。それぞれの仕組みを解説します。
シグネチャ型(署名型)
シグネチャ型とは、あらかじめ不正なアクセスパターンを登録し、合致した通信を不正と判断する検知方法です。登録したアクセスパターンのみを不正と判断するため、誤検知が少ない傾向にあるでしょう。しかし、未知の脅威など登録されていない不正アクセスを見逃す可能性があります。
アノマリ型(異常検知型)
アノマリ型とは、あらかじめ正常なアクセスパターンを登録し、異なる通信を不正と判断する検知方法です。ログイン時刻やネットワークトラフィック状況、使用コマンドなどの条件に、通常時のしきい値を設定します。しきい値と異なる場合に異常と判断するため、未知の脅威に対して効果を発揮するでしょう。一方で、シグネチャ型に比べて誤検知が発生する可能性も高いといえます。
IDS・IPSの防御対象
IDS・IPSが検知・防御できる代表的な攻撃は、「DoS攻撃(DDoS攻撃)」「SYNフラッド攻撃」「バッファオーバーフロー攻撃」です。ここでは、3種類の攻撃手法についてわかりやすく解説します。
DoS攻撃(DDoS攻撃)
DoS攻撃とは、Webサイトやサーバに対して大量のデータやアクセスを送りつけるサイバー攻撃です。攻撃対象のWebサービスに大量のアクセスを集中させ、サーバダウンやサービス停止に追い込みます。
DoS攻撃が一台のコンピュータで実施されるのに対し、DDoS攻撃は複数のコンピュータから一斉にサイバー攻撃を仕掛けます。DoS攻撃よりも膨大なデータが送られてくるため、Webサイトやサーバにはより過剰な負荷がかかります。DDoS攻撃は複数のIPから攻撃を仕掛けるため、防御が難しく犯人の特定も困難です。
SYNフラッド攻撃
SYNフラッド攻撃とは、DoS攻撃(DDoS攻撃)の一種で、サーバの負荷を増大させ、サービス停止に追い込むサイバー攻撃です。サーバに送信元IPアドレスを詐称した接続要求通信(SYN)を大量に送り、Webサイトのサーバダウンを狙います。
通常、SYNパケットが送信されるとサーバ側はACKパケットを返信し、アクセス側からの応答を待ちます。しかし、SYNフラッド攻撃ではあえて返信に応じません。サーバ側は「応答待ち」状態が続き、接続可能数を超えるため、新規の接続を受信できない状況に陥ります。
バッファオーバーフロー攻撃(BOF)
バッファオーバーフロー攻撃(BOF)とは、メモリ領域の許容量以上のデータを送りつけ、誤作動を起こさせるサイバー攻撃です。一度に大量のデータが送信されると、プログラムが確保したメモリ領域からデータがあふれ出るバッファオーバーフロー状態に陥ります。
領域外のメモリがあふれ出たデータに上書きされ、データ破壊や意図しないコードが実行される恐れがあります。さらに、管理者権限の乗っ取りやサイバー攻撃の踏み台にされるなど、多大な被害につながる可能性も考えられるでしょう。
以下の記事では、最新のIDS・IPS製品を比較・紹介しています。導入メリットや自社に適した製品の選び方も解説しているため、サイバー攻撃対策を強化したい企業はぜひ参考にしてください。
IDS・IPSで防げない攻撃にはWAFの併用が効果的
IDS・IPSは不正アクセスを検知・遮断し、サーバやネットワーク全般を広く保護します。しかし、IDS・IPSだけでは多様化したサイバー攻撃の対策として万全ではありません。企業セキュリティを強化するには、複数のセキュリティシステムを併用し、多層防御することが重要です。
特に、IDS・IPSでは守れないWebアプリケーションをターゲットにした攻撃に有効な「WAF」の併用がおすすめです。SQLインジェクションやクロスサイトスクリプティング(XSS)など、Webアプリケーション特有の脆弱性を狙ったサイバー攻撃に効果を発揮します。
以下の記事ではWAFの特徴やおすすめ製品を紹介しています。導入を検討したい方はぜひご覧ください。
まとめ
IDS・IPSとは、サーバやネットワークに対する不正アクセスを検知し防御するシステムです。監視方法はクラウド型・ホスト型・ネットワーク型の3種類、検知方法もシグネチャ型とアノマリ型の2種類があります。それぞれに誤検知の確率や導入のしやすさ、未知の脅威への対応力などが異なるため、導入検討の際には製品ごとの特徴をよく把握することが大切です。
ITトレンドでは、さまざまなタイプのIDS・IPS製品を取り扱っています。まずは資料請求を通して、IDS・IPSへの理解を深めることからはじめましょう。
