ネットワークを安全に利用するためには,攻撃や不正アクセスを検知・防止するしくみが必要です。その中心となるセキュリティ技術の一つが侵入検知システム(IDS)と侵入防止システム(IPS)です。IDSやIPSは,通信の監視や制御を通じて,内部ネットワークを保護する役割を持っています。IDSやIPSのしくみや種類,どのようにネットワークを防御しているのかを正しく理解できていますか?
IDS = 侵入検知システム
IPS = 侵入防止システム
このページでは,基本情報技術者試験をはじめとする情報処理技術者試験で必須となる,侵入検知システム(IDS)と侵入防止システム(IPS)についてシンプルにまとめています。IDSとIPSの概要や役割,分類(NIDS,HIDS,NIPS,HIPS),検知方式(シグネチャ型,アノマリ型),フォールスネガティブやフォールスポジティブについて整理して理解しましょう。
侵入検知システム(IDS;Intrusion Detection System)とは(役割)
侵入検知システムは,ホストやネットワークの通信を監視し,不正アクセスを検知するシステムです。不正アクセスを検知した場合,(メールなどで)システム管理者に通知し,ログを記録します。
※ 不正アクセスを防止することはできない
侵入検知システムの分類
侵入検知システムは,監視対象により,次のように分類することができます。
| NIDS | Network-based IDS。ネットワーク型IDS。ネットワークを流れるパケットを解析する。スイッチングハブのミラーポートや,リピータ,ハブに接続する。暗号化された不正なパケットは検知できない |
| HIDS | Host-based IDS。ホスト型IDS。サーバーなどのホストにインストールする。ホストで取得できるネットワーク通信や,システムログ,リソースの使用状況,ファイルの書き換え状況などを解析できる。ただし,サーバーへの負荷がかかり,管理・運用のコストもかかる |
※ ミラーポート…スイッチングハブやルーターなどが持つポート(ケーブルの差込口)で,監視するポートに流れているデータのコピーを送信することができる
侵入防止システム(IPS;Intrusion Prevention System)とは(役割)
侵入防止システムは,ホストやネットワークの通信を監視し,不正アクセスを検知した場合に侵入を防止する(攻撃を未然に防ぐ)システムです。
※ 侵入検知システムを発展させたシステム
侵入防止システムの分類
侵入防止システムは,監視対象により,次のように分類することができます。
| NIPS | Network-based IPS。ネットワーク型IPS。たいていの場合,保護対象のネットワークを分離する形で設置される(設置場所はファイアウォールに似ている)。ネットワークへの負荷が高い場合は,ネットワーク型IPSがボトルネックになる恐れがある |
| HIPS | Host-based IPS。ホスト型IPS。サーバーなどのホストにインストールする。ホストの状態を監視し,ワームの侵入や、バッファオーバーフローなどの攻撃を未然に防ぐ |
広告
IDS/IPSの検知方法
不正の検知には,次のような方法があります。
| 不正検知型 (シグネチャ型) | あらかじめ攻撃パターンをデータベース(シグネチャ)に登録しておき,そのパターンに一致したものを不正アクセスとみなして検知する方法。新しい攻撃に対応するため,シグネチャは日常的にアップデートする必要がある |
| 異常検知型 (アノマリ型) | システムの利用状況や,ネットワークのトラフィック状況を調べ,異常(アノマリ)を検知する方法 |
※ 不正検知型は未知の攻撃を検知できないが,異常検知型は未知の攻撃も検知できる。ただし,閾値の設定が難しく,誤検知の可能性もあるので,実装時には,不正検知型と異常検知型の両方の特徴を備えることが多い
見逃しと誤検知
フォールスネガティブとは(検知漏れ)
フォールスネガティブとは,侵入検知システムや侵入防止システムが,不正行為を見逃してしまうことをいいます。不正検知型の場合は,攻撃パターンがシグネチャに登録されていない場合に発生し,異常検知型の場合は,閾値が低めに設定されていた場合などに発生します。
フォールスポジティブとは(誤警報)
フォールスポジティブとは,侵入検知システムや侵入防止システムが,正常な行為を誤って不正行為として検知してしまうことをいいます。攻撃を検知したものの,攻撃対象に脆弱性がなく攻撃が成功しなかった場合や,異常検知型の場合は,閾値が高めに設定されていた場合などに発生します。
※ 侵入防止システムの場合は,正常なアクセスが遮断されてしまうので,正規の利用者がアクセスできなくなる恐れがある
まとめ
今回は,侵入検知システム(IDS)と侵入防止システム(IPS)についてシンプルにまとめました。IDSは,ホストやネットワークの通信を監視し,不正アクセスを検知するシステムであり,検知結果はログや通知として管理者に知らせます。IPSはIDSの機能を発展させ,検知だけでなく不正アクセスを未然に防止するシステムです。IDSやIPSの運用では、検知漏れ(フォールスネガティブ)や誤警報(フォールスポジティブ)に注意する必要があります。IDSとIPSの役割や分類、検知方式の違いを正しく理解することで、ネットワークセキュリティの基礎を押さえることができます。
理解が進んだら,基本情報技術者試験の過去問題等にもチャレンジしてみてください。
