基本情報技術者試験など情報処理技術者試験を受験する方にとっては必須の,侵入検知システム(IDS)と侵入防止システム(IPS)についてシンプルにまとめています。はじめに,侵入検知システムと侵入防止システムの概要,分類(NIDS,HIDS,NIPS,HIPS)を説明し,その後,検知方法(不正検知型(シグネチャ型),異常検知型(アノマリ型)),フォールスネガティブ,フォールスポジティブについて説明しています。確実に理解できるよう,頑張りましょう。
侵入検知システム(IDS;Intrusion Detection System)
侵入検知システムは,ホストやネットワークの通信を監視し,不正アクセスを検知するシステムです。不正アクセスを検知した場合,(メールなどで)システム管理者に通知し,ログを記録します。
※ 不正アクセスを防止することはできない
侵入検知システムの分類
侵入検知システムは,監視対象により,次のように分類することができます。
| NIDS | Network-based IDS。ネットワーク型IDS。ネットワークを流れるパケットを解析する。スイッチングハブのミラーポートや,リピータ,ハブに接続する。暗号化された不正なパケットは検知できない |
| HIDS | Host-based IDS。ホスト型IDS。サーバーなどのホストにインストールする。ホストで取得できるネットワーク通信や,システムログ,リソースの使用状況,ファイルの書き換え状況などを解析できる。ただし,サーバーへの負荷がかかり,管理・運用のコストもかかる |
※ ミラーポート…スイッチングハブやルーターなどが持つポート(ケーブルの差込口)で,監視するポートに流れているデータのコピーを送信することができる
侵入防止システム(IPS;Intrusion Prevention System)
侵入防止システムは,ホストやネットワークの通信を監視し,不正アクセスを検知した場合に侵入を防止する(攻撃を未然に防ぐ)システムです。
※ 侵入検知システムを発展させたシステム
侵入防止システムの分類
侵入防止システムは,監視対象により,次のように分類することができます。
| NIPS | Network-based IPS。ネットワーク型IPS。たいていの場合,保護対象のネットワークを分離する形で設置される(設置場所はファイアウォールに似ている)。ネットワークへの負荷が高い場合は,ネットワーク型IPSがボトルネックになる恐れがある |
| HIPS | Host-based IPS。ホスト型IPS。サーバーなどのホストにインストールする。ホストの状態を監視し,ワームの侵入や、バッファオーバーフローなどの攻撃を未然に防ぐ |
検知方法
不正の検知には,次のような方法があります。
| 不正検知型 (シグネチャ型) | あらかじめ攻撃パターンをデータベース(シグネチャ)に登録しておき,そのパターンに一致したものを不正アクセスとみなして検知する方法。新しい攻撃に対応するため,シグネチャは日常的にアップデートする必要がある |
| 異常検知型 (アノマリ型) | システムの利用状況や,ネットワークのトラフィック状況を調べ,異常(アノマリ)を検知する方法 |
※ 不正検知型は未知の攻撃を検知できないが,異常検知型は未知の攻撃も検知できる。ただし,閾値の設定が難しく,誤検知の可能性もあるので,実装時には,不正検知型と異常検知型の両方の特徴を備えることが多い
見逃しと誤検知
フォールスネガティブ
フォールスネガティブとは,侵入検知システムや侵入防止システムが,不正行為を見逃してしまうことをいいます。不正検知型の場合は,攻撃パターンがシグネチャに登録されていない場合に発生し,異常検知型の場合は,閾値が低めに設定されていた場合などに発生します。
フォールスポジティブ
フォールスポジティブとは,侵入検知システムや侵入防止システムが,正常な行為を誤って不正行為として検知してしまうことをいいます。攻撃を検知したものの,攻撃対象に脆弱性がなく攻撃が成功しなかった場合や,異常検知型の場合は,閾値が高めに設定されていた場合などに発生します。
※ 侵入防止システムの場合は,正常なアクセスが遮断されてしまうので,正規の利用者がアクセスできなくなる恐れがある
まとめ
今回は,侵入検知システム(IDS)と侵入防止システム(IPS)について,シンプルにまとめてみました。確実に理解できるまで,頑張りましょう。
