侵入検知システム (IDS) とは?
侵入検知システム (IDS) と侵入防止システム (IPS) とは?IDS と IPS という用語は、同じ意味で使用されるのか?侵入防止システムと侵入検知システムは、どちらもサイバー脅威から保護するネットワークセキュリティの一形態です。IDS と IPS は連携することも少なくありませんが、異なるものです。
IDS と IPS は、包括的なサイバーセキュリティ戦略にとって不可欠な構成要素であり、組織がさまざまなサイバー脅威から資産や機密データを保護するのを支援します。それぞれの詳しい説明、相違点、そして連携によってサイバー脅威から保護する方法については、以下をお読みください。
侵入防止システム (IPS) とは?
侵入防止システム (IPS) は、アクティブセキュリティシステムであり、潜在的な脅威を検出して、その防止やブロックのための自動化されたアクションをリアルタイムで実行します。IPS は、シグネチャベースの検出、異常検出、ヒューリスティックなど、IDS と同じ手法で脅威を特定します。IPS は、悪意のある活動や不正な活動を識別すると、問題のトラフィックや接続をブロックするための事前定義アクションを実行し、侵入の試みを効果的に阻止します。
IPS の仕組み
侵入防止システムは、ネットワークトラフィックをリアルタイムで監視し、データパケットを分析し、既知の攻撃パターンやシグネチャと比較します。IPS の一般的な仕組みは以下のとおりです。
- トラフィックの監視:IPS は、送受信されるネットワークトラフィックを継続的に監視し、ネットワークを通過するデータパケットを検査します。
- パケットインスペクション:IPS は、ヘッダーやペイロードを含む各データパケットの内容を検査するディープパケットインスペクションを実行します。この徹底した検査により、IPS はトラフィックの挙動と特性を分析することができます。
- シグネチャベースの検出:IPS が用いる主な方法の 1 つが、シグネチャベースの検出です。IPS は、データパケットの特性を、マルウェア、ウイルス、その他の悪意ある活動に関連する既知の攻撃シグネチャのデータベースと比較します。一致するものが見つかると、IPS は悪意のあるトラフィックをブロックするか、ログに記録します。
- 異常ベースの検出:一部の IPS は、異常ベースの検出を採用しています。そのような IPS は、正常なネットワーク動作のベースラインを設定します。このベースラインから著しく逸脱したトラフィックを検出した場合、IPS は不審なトラフィックとしてフラグを立てます。このアプローチは、未知の攻撃やゼロデイ攻撃の検出に有効です。
- トラフィックのブロック:IPS は、その分析に基づいて悪意のあるトラフィックの可能性を特定すると、ネットワーク保護のためにさまざまなアクションを実行します。実行されるアクションには、悪意のあるトラフィックのブロック、パケットのドロップ、詳細な分析のための隔離領域へのトラフィックのリルートなどが含まれます。
- アラートとレポート:IPS は通常、検出された脅威や不審な活動をネットワーク管理者に通知するアラートを生成します。これらのアラートには、脅威の性質、トラフィックの送信元と宛先、および IPS が実行したアクションに関する情報が含まれます。ネットワーク管理者は、アラートを調査して対応することができます。
- カスタマイズとチューニング:IPS システムは、組織固有のニーズに合わせてカスタマイズやチューニングが可能です。これには、カスタムシグネチャの作成、感度レベルの調整、対応アクションの構成などが含まれます。
- 他のセキュリティツールとの統合:IPS は多くの場合、他のセキュリティテクノロジーと連携して、多層型のセキュリティ防御を提供します。
- 継続的なアップデート:新たな脅威や進化する脅威から効果的に防御するためには、IPS の攻撃シグネチャや異常検出モデルのデータベースを定期的に更新する必要があります。更新することにより、IPS は最新の脅威を確実に認識するようになります。
侵入検知システム (IDS) とは?
IDS はパッシブセキュリティシステムであり、ネットワークトラフィックやシステム活動を監視して、潜在的なセキュリティインシデント、ポリシー違反、異常な動作を特定します。IDS は、ネットワークパケット、ログ、またはシステムイベントを分析し、既知の攻撃パターン、脆弱性、または設定されたベースラインからの逸脱を検出します。
IDS は主に2つのタイプに分類されます。
- ネットワークベース IDS (NIDS):ネットワークトラフィックを監視し、既知の攻撃や不審な活動のパターンやシグネチャを検出します。NIDS は、ネットワーク内のさまざまなポイントに配置できます。
- ホストベース IDS (HIDS):サーバーやワークステーションなど、個々のホストやデバイス上の活動を監視します。HIDS は、ホスト自体で発生する不審な活動を特定することに重点を置いています。
IDS が不審な活動や潜在的な脅威を検出すると、アラートまたは通知が生成され、セキュリティ担当者はそれを確認し、調査します。
IDS の仕組み
侵入検知システム (IDS) は、ネットワークトラフィックやシステム活動を監視し、悪意のある活動や不正な活動の兆候を検出します。IDS は、潜在的なセキュリティ侵害を特定し、管理者にアラートを送信します。
IDS には主に、ネットワークベースの侵入検知システム (NIDS) とホストベースの侵入検知システム (HIDS) の 2 タイプがあります。
ネットワークベースの侵入検知システム (NIDS):
- パケットキャプチャ:NIDS は、ネットワークインターフェイスを通過するパケットをキャプチャして分析することにより、ネットワークトラフィックを監視します。ネットワーク層 (レイヤー 3) 以上のトラフィックを検査します。
- シグネチャベースの検出:これは、NIDS で最も一般的に使用される方法です。既知の攻撃パターンやシグネチャのデータベースとネットワークトラフィックを比較します。一致を検出すると、アラートを生成します。
- 異常ベースの検出:NIDS の中には、シグネチャベースの検出に加えて、異常検出手法を使用するものもあります。NIDS は通常のネットワーク動作のベースラインを設定し、このベースラインからの逸脱したものを、侵入の可能性ありとしてフラグを立てます。異常検出は、これまで知られていなかった脅威を検出するのに役立ちます。
- ヒューリスティックベースの検出:この方法は、ルールとヒューリスティックを使用して、不審なネットワーク動作のパターンを特定します。シグネチャベースの検出よりも柔軟性は高いですが、誤検出が増える可能性があります。
- アラートとレポート:NIDS は、不審な活動や悪意のある活動を特定すると、ネットワーク管理者向けにアラートを生成します。これらのアラートには、検出された脅威に関する情報、その深刻度、および修復のための推奨事項などが含まれます。
ホストベースの侵入検知システム (HIDS):
- エージェントベースの監視:HIDS は個々のホスト (サーバーまたはエンドポイント) にインストールされ、それらのホスト上のシステム活動を監視します。
- ファイル整合性の監視:HIDS はシステムと構成ファイルの完全性をチェックします。不正な変更や修正があると、アラートが発せられます。
- システムログ分析:HIDS はシステムログを分析して、ホスト上の不正アクセスや異常な活動を示すパターンやイベントを検出します。
- 行動分析:NIDS における異常ベースの検出と同様に、HIDS はホスト上のプロセスやアプリケーションの動作を監視して、予想される動作からの逸脱を検出します。
- アラートとレポート:NIDS と同様に、HIDS はホスト上で不審な動作を検出するとアラートを生成します。管理者はアラートを受け取ると、詳細な調査を実行します。
IDS を効果的に運用する鍵は、チューニングと設定にあります。管理者は、どの活動や動作が疑わしい、あるいは悪意があるとみなされるかを定義し、それに応じてアラートシステムを設定する必要があります。 IDS はしばしば侵入防止システム (IPS) と併用されます。IPS は検出を行うだけでなく、検出された脅威をブロックまたは軽減するためのアクションを自動的に実行します。
IPS と IDS の違いは?
前述したように、IPS はアクティブ (能動的) なサイバーセキュリティ対策であり、IDS はパッシブ (受動的) なセキュリティです。IDS は主に検出と警告に重点を置いていますが、IPS はさらに進んで脅威を能動的に防止または軽減します。
IPS と IDS は、さまざまな脅威からコンピュータネットワークを保護するために使用されるセキュリティシステムですが、その目的は異なり、動作も若干異なります。IPS と IDS の主な違いは、以下のとおりです。
- アクティブセキュリティとパッシブセキュリティ:IPS の主な目的は、悪意のある活動やネットワーク侵入をリアルタイムで能動的にブロックまたは防止することです。IPS はネットワークトラフィックを監視し、不審な活動や不正な活動を検出すると、パケットの廃棄、接続の切断、ネットワークルールの再構成などをして、即座にブロックまたは防止します。一方、IDS は、不審な、または有害である可能性のあるネットワーク活動を検出してアラートを発行するように設計されていますが、検出された活動を防止またはブロックするための能動的対策は講じません。IDS が提供するアラートまたはログを、セキュリティ担当者が分析し、アラートに基づいて適切な措置を講じます。
- ブロックと予防 vs. 観察と分析:IPS は、悪意のある活動を防止またはブロックするために能動的に措置を講じます。これには、ネットワークトラフィックのブロック、ファイアウォールルールの変更、接続のリセットなどが含まれ、ネットワークを脅威から保護します。一方、IDS は受動的にネットワークトラフィックを監視・分析し、不審な活動や有害である可能性のある活動を検出すると、アラートを生成します。セキュリティアナリストやセキュリティ管理者は、アラートを確認し、適切なアクションを決定する必要があります。
- 誤検出率:IPS は分析に基づいて能動的にトラフィックをブロックするため、誤検出の可能性が高く、設定ミスや検出ルールが厳しすぎる場合に正規トラフィックをブロックしてしまう可能性があります。これに対し、IDS システムは能動的にトラフィックをブロックしないため、誤検出が少ない傾向にあります。しかし、人間のオペレーターが確認する必要のあるアラートをより多く生成する可能性があります。
- ネットワークパフォーマンスへの影響:能動的にブロックするという IPS の特性は、ネットワークパフォーマンスに直接的な影響を与える可能性があり、大量のトラフィックを処理している場合や、正規トラフィックをブロックするように誤って設定されている場合には、遅延が発生する可能性があります。IDS は受動的な監視システムであり、ネットワークトラフィックを妨害しないため、ネットワークパフォーマンスへの影響は比較的小さくなります。
- 導入:IPS は通常、ネットワークトラフィックとインラインに配置されます。つまり、すべてのトラフィックが IPS を通過するため、脅威を能動的にブロックできます。これは一種のセキュリティゲートウェイであると考えられています。
しかし、IDS は、インライン (IPSと同様)、アウトオブバンド (ネットワークトラフィックのコピーを監視する)、または個々のデバイス上のホストベースの IDS など、さまざまな方法で導入が可能です。
IDS と IPS を導入するメリットとは?
侵入検知システム (IDS) と侵入防止システム (IPS) は、ネットワークのセキュリティ強化のために、以下のような幅広い機能を提供します。
- 脅威の検出:IDS は、ネットワークトラフィックとシステム活動をリアルタイムで監視し、不審なパターンや動作を検出します。IDS は、マルウェア、不正アクセスの試み、異常なトラフィックパターンなど、さまざまな種類の脅威を検出します。
- 早期警告:IDS は、潜在的なセキュリティインシデントを早期に警告します。これにより組織は、脅威が本格的な攻撃へと拡大する前に、脅威を緩和するための事前対策を講じることができます。
- インシデント調査:IDS は、検出された脅威に関するデータをログに記録し、保存します。このデータは、フォレンジック分析に有用です。この情報は、セキュリティチームが攻撃の性質、発生源、潜在的な影響を理解するのに役立ちます。
- コンプライアンスとレポート機能:多くの規制の枠組みや業界標準では、セキュリティイベントを監視して報告できるよう IDS の導入を組織に義務付けています。IDS の導入は、コンプライアンス要件を満たす上で役立ちます。
- ダウンタイムの短縮:脅威を早期に検出して対処することで、IDS はダウンタイムを短縮し、セキュリティインシデントが業務に与える影響を最小限に抑えることができます。
IPS 導入のメリット:
- リアルタイムの脅威緩和:IPS は、検出された脅威をリアルタイムで能動的にブロックまたは緩和するという点で、IDS よりも一歩先を進んでいます。悪意のあるパケットをドロップしたり、悪意のある Web サイトへのアクセスをブロックしたり、その他のセキュリティ対策をトリガーしたりして攻撃を阻止します。
- 自動対応:IPS は、ネットワークとシステムを保護するためのアクションを自動的に実行し、手動での介入の必要性を低減します。この機能は、攻撃が急速に拡大している場合や自動化されている場合に特に大きな効果を発揮します。
- セキュリティポスチャの改善:IPS は、既知の脅威や新たな脅威がネットワークやシステムに侵入するのを防ぎ、プロアクティブで堅牢なセキュリティポスチャを維持します。
- 攻撃対象領域の縮小:IPS は悪意のあるトラフィックを能動的にブロックすることで、攻撃対象領域を縮小し、セキュリティ侵害の影響を最小限に抑えます。
- ネットワークパフォーマンスの向上:IPS に関連するオーバーヘッドが発生する可能性がありますが、リソースを大量に使用する攻撃を防止し、正規トラフィックのフローが円滑になるようにすることで、ネットワークパフォーマンスを最適化できます。
- コンプライアンスの遵守:IDS と同様に、IPS はセキュリティ脅威から能動的に保護することで、組織が規制遵守の要件を満たすのを支援します。
- ゼロデイ脅威の防止:一部の高度な IPS ソリューションは、高度な脅威インテリジェンスと動作分析により、ゼロデイ攻撃や未知の脅威を検出して防止することができます。
ソフォスの IDS と IPS
IDS と IPS は独立したソリューションではなく、多層防御戦略の一部であるという点が重要です。ファイアウォールや次世代のアンチウイルスソフトウェアなどのセキュリティ対策と組み合わせることで、さまざまな脅威から組織を保護する包括的なセキュリティポスチャの構築が可能になります。さらに、誤検出を最小限に抑えながら効果を最大化するためには、高度なスキルを持つセキュリティ専門家が構成し、監視する必要があります。
多くの組織にとって、これらのコンポーネントをすべて管理する最善の方法は、次世代ファイアウォール (NGFW) ソリューション、またはサイバーセキュリティプロバイダーによるManaged Detection and Response (MDR) を選択することです。
関連するセキュリティトピック: セキュリティ侵害の痕跡 (IoC) とは?