侵入検知システムとは?
侵入検知システム(Intrusion Detection System:IDS)とは、ネットワーク内をリアルタイムで監視して侵入や攻撃を検知し、管理者に通知する等のアクションを起こすシステムです。
常に1,000種類を超える攻撃パターン(シグネチャ)のデータベースを持っており、それらと実際の事象を照らし合わせることで、OSの脆弱性を突いた攻撃やファイルの改ざんなどを検知して記録したり、メールなどの手段で警告を発信したりすることが可能です。
検知を目的としているため、IDS自身が不正な通信を遮断したりすることはできません。そのため、侵入防御システム等の別のセキュリティとセットで導入する必要があります。
IDSの種類
IDSを用いて監視する場所は、大きく分けて2種類です。
ネットワーク型(NIDS)
ネットワーク型の侵入検知システム(Network-Based Intrusion Detection System:NIDS)は、文字通り同一ネットワーク内の通信を監視する働きを持ちます。 インターネットの入口付近にNIDSを設置することで、その配下にあるネットワーク(パソコン、サーバー、コピー機等)への侵入を検知します。
ホスト型(HIDS)
ホスト型(Host-Based Intrusion Detection System:HIDS)は、一つのサーバーにインストールして内部を監視するタイプです。 サーバーに直接入れることで、不正侵入検知のほか、サーバー内での不審な動きやデータ改ざんも検知できるようになります。
IDSの検知方法
シグネチャ型
監視している通信と登録されている莫大なシグネチャとを比較して、不正アクセスを検知する方法です。
シグネチャ型によるパターンマッチングによって検知できる事象は下記の通りです。- ポートスキャン
- 脆弱性検査ツールによるスキャン
- OSやサーバーソフトウェアの既知の脆弱性を突いた攻撃
- サーバ-ソフトウェアに対する不正なコマンドの発行
- ネットワークを通じて行われるパスワードクラッキング
- パケットを偽装するタイプのDoS攻撃
シグネチャによるパターンマッチングについて、気を付けるべき点は下記の通りです。
- シグネチャを常に最新の状態にアップデートしておく必要がある
- 未知の攻撃に対して検知できない
- サイト独自のアプリケーションの脆弱性を突いた攻撃は検知できない
アノマリ型
シグネチャとは逆で、正常なパターンとを比較して仕様から逸脱したものを以上として検知する方法です。
アノマリ型によって検知できる事象は下記の通りです。- 大量に発行されたコマンド
- プロトコルの仕様に反したデータの流れ
- プロトコルの仕様に従っていないヘッダ情報を持つパケット
- 以上な数の応答パケット
アノマリ型は、シグネチャ型と比較して誤検知する可能性が高いことが留意点となります。
IDSとIPSがセットになったUTM
弊社が取り扱っておりますUTMには、IDSの他にIPSなどの様々なセキュリティが組み込まれているため、設置するだけでセキュリティの強化に繋がります。インターネットの脅威から会社を守るUTMにご興味がございましたら、是非お問い合わせください。