不正侵入検知・防御システム（IDS・IPS）とは？

不正侵入検知（IDS）とは？　不正侵入防御（IPS）とは？

IDSとはIntrusion Detection Systemの略で、Intrusion（＝侵入）をDetection（＝検知、検出）するシステムとして、侵入検知システムと呼ばれています。これに対してIPSはIntrusion（＝侵入）を Prevention（＝防御）するシステム、すなわち侵入防御システムと呼ばれるのです。

これらのシステムが検出するのは外部からの不正なアクセスに限りません。例えば内部の機密情報を外部に不正に公開するといった悪質な行為を検知することも可能となっているのです。

IDS、IPSともに、システムやネットワークに対する外部からの不正行為を検出するシステムですが、検出後のアクションによって区分されています。不正行為を検出後、指定されたアクション（例えばシステム管理者に通知するなど）を起こすものの防御措置は取らないのがIDS、検出後直ちにトラフィックを遮断するなどの防御措置を取るのがIPSです。

IDSが不正を検知して管理者に通知をしても、対応にはある程度の時間がかかります。管理者対応までの時間に被害が拡大することもあり得るのです。そこで、IDSに疑わしいアクセスを自動的に遮断する機能をもたせたものがIPSであると言えます。

ファイアウォールやウィルス対策ソフトと比べると、あまり知られていないのも事実ですが、これらと連携することでより強靭なセキュリティ環境を築くことができるのです。

ネットワーク上やホスト上でトラフィックを監視

IDS（不正侵入検知システム）にはNIDS（Network-Based IDS＝ネットワーク型IDS）と、HIDS（Host-Based IDS）があります。これらは名称の通り、「ネットワーク上でトラフィックを監視するIDS」と「ホストに常駐して不正侵入を検知するIDS」です。

ネットワーク型IDSはネットワーク上を流れる通信パケットを収集し、そのデータやプロトコルヘッダを解析します。通常監視対象となるネットワークに設置されますが、直接接続しているネットワークセグメントについてのみ監視できるので、DMZ（＝非武装地帯：公開サーバなど）、社内ネットワーク、ファイアウォールの外側など、監視したいネットワークのそれぞれに配置する必要があります。

ホスト型IDSは監視対象のサーバなどにインストールして、OSが記録するログファイルやサーバ内のファイル改ざんを監視します。OSの監視機能と連携して不正侵入を検出するのです。もちろん、インストールされたホストにしか働かないので、システムに保護したいPCが複数ある場合はそれぞれにインストールする必要があります。

ネットワーク型IDSはホスト型IDSに比べて導入が簡単であり、リアルタイムでクラッカーの攻撃を検出できるというメリットがあります。

「不正検出」と「異常検出」2つの手法で不正侵入を検知

IDSは不正侵入や悪意あるアクセスを検出する手法によって、「不正検出型」と「異常検出型」にも分類されます。多くのIDSで採用されている不正検出（Misuse Detection）は、あらかじめ登録されたシグネチャと呼ばれるパターンやルールとマッチングさせて侵入検出を行う方法です。

IDSがシグニチャと一致したパケットを発見すると、不正侵入あるいは攻撃の予兆とみなして対応するのです。このタイプのアルゴリズムでは、既知の手口を使った侵入のみしか検出することができません。

対して異常検出（Anomaly Detection）では、通常とは違ったトラフィックを検出する方法で、未知の手口を使った侵入も見つけることができます。ログイン時刻やネットワークトラフィック状況、使用コマンドなどの条件に対して、通常時のしきい値を設定し、これと異なった場合に異常と判断します。最近のIDS製品ではこれらの両方の検出手法を採用したものも多くあります。

まとめ　～ 新型ウイルス増加中！ IPS・IDSで対抗を！～

ネットワーク上やホスト上でパケットを監視することにより、不正侵入を検知するIDSは大切なシステムを外部の悪意ある攻撃から守るために、欠かせない存在です。新型ウィルスや増加を続ける不正アクセスのへの対抗手段のひとつとして、社内のデータはもちろん、顧客を守るためにも、不正侵入検知・防御システムの導入を検討してみてはいかがでしょう。

しかし、セキュリティ製品の選定は慎重になりがちです。多くの製品が市場に投入されています。もし製品選びに迷うようであれば、不正侵入検知・防御システムの人気製品ランキングなどの情報を参考にすることをおすすめします。