IDS(Intrusion Detection System)

IDS(Intrusion Detection System)とは

IDS(Intrusion Detection System)とは、組織が守るべきデジタル資産やネットワークへの侵入を検知する機能を提供するシステムです。IDSを導入することで、組織は情報セキュリティにおけるCIA(Confidentiality(機密性)、Integrity(完全性)、Availability(可用性))などを脅かすサイバー攻撃の兆候を迅速に検知して、リスクの軽減策を実践します。IDSは、ネットワーク型IDS(NIDS)とホスト型IDS(HIDS)2つのタイプがあります。

IDSの歴史

1972年に発表された米国空軍の論文でJames P. Anderson氏が米国空軍のコンピュータ・セキュリティに関する問題を概説しています。米国空軍では、さまざまなレベルの機密情報を含むシステムの共有利用の際に、同じネットワークセグメント上で異なる領域の情報を安全に保護するためにどうすればよいのかという課題を抱えていました。

その後、1980年に同氏はコンピュータ・セキュリティの監査と監視を改善する方法の研究を発表しました。自動で不正使用を検知する仕組みとなったアイデアは後のIDSの開発に影響を与えたと考えられています。

1984年から1986年にかけて、Dorothy Denning氏とPeter Neumann氏がルールベースで不正な活動を検出するリアルタイムIDSの最初のモデルを開発し、IDES(Intrusion Detection Expert System)と名付けられました。

その後1990年代半ばには商用のネットワーク側IDSが台頭するようになり、さらにホスト型IDSとの併用が促進されていき、IDS関連のツールや製品が市場で流通するようになりました。

IDSとIPSの違い

IPS(Intrusion Prevention System)は侵入防御システムとも呼ばれます。IDSとの最も大きな違いは不正な通信の兆候を見つけた際の動作になります。IDSはサイバー攻撃に関連するようなパケットが確認されると、管理者にアラートを発報します。つまり、該当の通信のブロックは行いません。それに対して、IPSは検知後に該当の通信をブロックすることで、不正なパケットの侵入を防止するという点が主要な違いになります。

また、IPSにもIDSと同様にホスト型IPS(HIPS)とネットワーク型IPS(NIPS)があります。HIPSについてはHIDSと同様にPCやサーバにインストールして利用します。一方でNIPSは構成面で違いがあり、スイッチングハブのミラーポートに接続して通信のコピーを精査するNIDSとは異なり、通信経路上に接続して通信を検査します。

IDSとIPSのどちらを導入するかは、セキュリティ対策の目的によって異なります。IDSは検知のみとなりますが、誤検知があったとしても業務通信をブロックしないため、積極的に不正な通信の兆候を洗い出すことを目的とした場合に効果的です。一方でIPSは検知後に遮断まで行うため、侵入を防ぐことを最優先とする場合に有効なソリューションです。組織のネットワーク内ではそれぞれの特徴と守るべき資産を考慮したうえで、併用することも選択肢として考えられます。

なお、IDS自体では不正な通信のブロックまでは行いませんが、ファイアウォールと連携すすることで、検知後のブロックまで行う製品もあります。IDSがシグネチャ方式もしくはアノマリ方式で不審なパケットを検出すると、ファイアウォールへルールの変更コマンドが送信されます。変更が完了すると対象の通信がファイアウォールでブロックされます。注意点として、IDSが不正なパケットを検知して、ファイアウォールにルールが反映されたあとにブロックを行うことが可能になるため、IDSに受信した最初のパケットによる不正な侵入をブロックすることはできません。

図:ネットワーク型IPSとIDSの構成イメージ

図:ネットワーク型IPSとIDSの構成イメージ

IDSのタイプ

IDSは通信を監視して、異常を検知すると管理者に通知します。導入するタイプや構成によって、ネットワーク型IDS(NIDS)とホスト型IDS(HIDS)があります。

ネットワーク型IDS(NIDS)

通信経路上のスイッチングハブのミラーポートに接続することで、監視するネットワークに流れる通信のコピーを監視し、異常を検知します。スイッチングハブを流れるパケットを監視するため、スイッチングハブに繋がっている複数のデバイスに対する通信の異常を検知します。

NIDSを導入する際には処理する通信量を考慮する必要があります。監視する経路上で大量の通信が発生する場合には、その通信量を処理できる性能を持ったソリューションの選定が必要になります。NIDSが性能以上の通信を受信すると、処理しきれずに、検査の順番待ちが発生し、スループットが低下します。そのため、普段の通信量に加えて、輻輳時や将来的な通信量の増加も考えたうえで、適切な性能のNIDSの検討が重要になります。

ホスト型IDS(HIDS)

PCやサーバなどにインストールして、デバイスが受信する通信を監視し、異常を検知します。HIDSは導入されたシステムが受信する通信のみ監視するため、監視が必要なPCやサーバの数だけ準備する必要があります。なお、HIDSは、エンドポイントにインストールするタイプのセキュリティ製品の1つの機能として実装されている場合もあります。

図:ネットワーク型IDSとホスト型IDSの構成イメージ

図:ネットワーク型IDSとホスト型IDSの構成イメージ

IDSの検知方式

IDSは通信の内容や通信量の異常を監視して、不正アクセスなどのサイバー攻撃の兆候を検出します。不正な通信を検知する仕組みには、シグネチャ方式とアノマリ方式があります。

シグネチャ方式

IDSを通過する通信と、不正な通信の特徴(パターン)を登録したシグネチャファイルを照合して、一致していた場合に異常と判断して管理者に通知します。新しいサイバー攻撃からシステムを守るためには、シグネチャファイルを日々最新の状態に更新することが重要になります。

シグネチャファイルに登録されている既定の攻撃を検知することから、誤検知(フォルスポジティブ)の発生可能性が低いという利点がありますが、シグネチャファイルに登録がない不正な通信は検知しないため、新しい攻撃に対する防御力はアノマリ方式と比べて低いことが欠点といえます。

アノマリ方式

通信元や通信先の情報、プロトコルや通信量など、通常時の値を定義しておき、その値と異なる通信を検知した際にサイバー攻撃の兆候として検知します。そのため、異常検知型のIPSといわれることもあります。通常、通信量が少ない深夜時間帯などにスパイクが発生すると異常として判定するなど、新たなサイバー攻撃に対する検知力はシグネチャ方式に比べて高いといえます。しかし、通常時の値の定義が十分に考慮されていないと、誤検知によるアラートが発生することがあります。普段の業務で使用するアプリケーションなどの通信を異常と検知して、管理者に大量のアラートを発報してしまうことで、セキュリティの監視業務にノイズをもたらす可能性があるため、実際にインストールする前には、試験環境などで入念にチューニングを行うことが重要です。

進化を続けるサイバー攻撃に対抗するためには、シグネチャ方式・アノマリ方式ともに定期的なアップデートを行うことが重要になります。攻撃者は日々新たな攻撃手法を模索するため、ベンダーから提供される新たなシグネチャやルールのような検知能力を向上させるコンポーネントを定期的に更新するとともに、IDS自体のファームウェアのアップデートを行うことが重要になります。

IDSが対応する攻撃

IDSが対応する攻撃は主に以下になります。

  • DoS/DDoS攻撃
  • SYNフラッド攻撃
  • ARPスプーフィング攻撃
  • ポートスキャン
  • バッファオーバーフロー攻撃

ファイアウォールがIPアドレスやポートで通信を制御する一方で、IDSでは通信内容を検査するため、併用することでセキュリティ強化に繋がります。しかし、IDSはSQLインジェクションやクロスサイトスクリプティング(XSS)など、Webアプリケーションを対象とした脆弱性に対する攻撃の検知は難しいため、WAFなどの製品の導入を併せて考慮することが重要になります。

まとめ

IDSはネットワークもしくはデバイス上の通信を監視することで、不正な通信を検知する有効なセキュリティ技術を持った製品です。しかし、全ての攻撃の兆候を検知することは難しく、業務で利用する通信への誤検知が見られる可能性もあります。また、不正な通信の見逃し(フォルスネガティブ)が起きることもあります。さらにアプリケーションレイヤでの検査に対応していないことから、Webサーバの脆弱性などを悪用した攻撃への対策にはなりません。そのため、IDSの導入を考える際には、誤検知や不正な通信の見逃しを低減するための日々のチューニングを怠らないこと、そして、ファイアウォールWAFなど、複数レイヤでセキュリティ強化を行う多層防御を念頭に総合的なセキュリティ対策を実践することを推奨します。

ウェビナーによる解説

IDSについての関連情報

サイバーセキュリティの原点回帰:基礎から分かるゼロトラスト

サイバーセキュリティの重要な考え方の1つである「ゼロトラスト」について、改めて解説します。

ゼロトラストのガイドライン「NIST SP800-207」を紐解く

ゼロトラストの基礎知識や実装方法などが纏められているガイドライン「NIST SP800-207」を解説します。

IDSのトピック

関連記事