IDSとIPS|概要と不正アクセスの検知・防御の仕組みについて解説!
ネットワークのセキュリティを高める方法としてIDSとIPSの活用が挙げられます。どちらもセキュリティ面で重要なツールであり、詳細を理解して使い分けしたいものです。
ただ、似たような名称のツールであることから、これらの詳細や違いを理解できていない人も多いのではないでしょうか。今回は不正アクセスの検知や防御に役立つIDSとIPSについて解説します。
この記事の目次
IDSの概要
侵入検知システム(IDS: Intrusion Detection System)は、ネットワークやシステムのトラフィックを監視し、不正アクセスや攻撃の兆候を検出するセキュリティ技術です。一般的に、リアルタイムでデータを分析し、シグネチャベースやアノマリベースの手法を用いて異常な活動を特定する方法が用いられます。
主に受動的なシステムで、攻撃を検知すると管理者にアラートを出すなどの機能を有しています。運用としては、アラートなどを受信した担当者が迅速にトラブルへ対応するというものです。システムやネットワークの全体的なセキュリティ状況を監視し、さまざまな脅威を検出する際に役立ちます。ただ、IDS自体は攻撃を防ぐ機能を持たないため、検知後に別の手段を利用して対応しなければなりません。
IPSの概要
侵入防止システム(IPS: Intrusion Prevention System)は、IDSと似たもので積極的な防御を実現するものです。例えば、ネットワークやシステムのトラフィックを監視し攻撃や不正アクセスを検知したり、即座に対応したりする能力を持っています。基本的に、攻撃トラフィックをブロックしたり、システムの設定を変更したりできると理解しましょう。
多くの場合、IPSはIDSの機能に加え、自動的に攻撃を防ぐ機能を持っています。そのため、担当者が手動で操作することなく、素早く脅威からシステムなどを守ることが可能です。今までは担当者が情報をキャッチして対応することが求められましたが、そのような手間が軽減されています。
ただ、IPSは誤検知により正当なトラフィックを遮断してしまうリスクがあります。高い防御力を提供してくれる仕組みではありますが、その点は理解しておくことが重要です。
IDSやIPSの検知方法
IDSやIPSがどのような仕組みで検知しているのか、大まかな内容を解説していきます。
シグネチャベースの検知
シグネチャベースの検知とは、既知の攻撃パターンを特定するために使用する手法です。シグネチャとは、マルウェアや攻撃の特定のコードを意味するもので、データベースに格納しておき利用します。システムはネットワークトラフィックやログを監視して、シグネチャと一致するパターンがあるかどうかをチェックする仕組みです。もし、一致するものがあれば、脅威を検知したと判定します。
データベースを活用する検知手法であり、既知の攻撃をスムーズに検知できることが特徴です。ただ、新たな攻撃や変種に対しては効果を発揮できず、定期的にシグネチャの更新が求められます。そのため、シグネチャベースの検知は、日々進化する攻撃手法に対して限界がある手法なのです。
アノマリベースの検知
アノマリベースの検知とは、正常なネットワークトラフィックやシステムの振る舞いと比較して判定する手法です。正常なトラフィックから逸脱するものがあれば、それを不正な通信として判定します。事前に正常な状態を記録しておくことが求められますが、幅広い脅威に対応できる手法です。
アノマリベースの検知は、未知の攻撃やゼロデイ攻撃を検知しやすいことが魅力です。しかし、正常なパターンを正確に収集したり定義したりすることは難しく、誤検知が生じやすい点は注意しなければなりません。また、機械学習を活用するなど専門的な知識が多く必要とされることも考慮したいポイントです。
IDSやIPSの防御の仕組み
続いて、IDSやIPSが防御する際の仕組みについても細かく解説していきます。
IDSが防御する仕組み
IDSはネットワークトラフィックやシステムログを監視し、異常や攻撃の兆候を検知するものです。一般的に、シグネチャベースの検知とアノマリベースの検知の両方を組み合わせて実現します。繰り返しですが、受動的な仕組みであり検知した異常については担当者へアラートを出すだけです。そのため、IDS単体で防御できるわけではありません。
あくまでも、ネットワークやシステムの広範な監視に対応していて、多様な攻撃パターンに対する検知能力を持つことが特徴です。つまり、検知後の対応は担当者の作業に依存してしまい、迅速な対応が求められる状況では防御に限界があります。
IPSが防御する仕組み
IPSは、IDSと同様にネットワークトラフィックやシステムログを監視して、異常を検知するものです。ただ、異なる点として、検知した攻撃に対して自動的に対応する能力を持っていることが挙げられます。IPSは、攻撃を検知するとそのトラフィックをブロックしたり、システム設定を変更したりするなどの対処が可能です。
大きなメリットといえることは、リアルタイムで攻撃を防ぐことができることであると考えられます。ただ、システムログのうち今まで学習していないものがあると、誤検知により正当なトラフィックを遮断してしまうかもしれません。
IDSとIPSの違いまとめ
IDSとIPSはどちらもネットワークセキュリティのための技術ですが、その役割と機能には明確な違いがあります。
まず、IDSはネットワークトラフィックやシステムログを監視し、不正な活動や攻撃の兆候を検出するものです。異常を検知した際はアラートを発し、担当者が手動で対応することが求められます。受動的なセキュリティ手段であり、迅速な対応が必要な場面では効果を発揮できないかもしれません。
対して、IPSはIDSの機能に加えて、検知した攻撃に対して自動的に防御する機能も有したものです。例えば、攻撃トラフィックをブロックしたり、システムの設定を変更したりできます。IPSはリアルタイムで攻撃を阻止できるため、攻撃に対して即時の対応が可能で、システムの安全性をより高められるものです。
IDSとIPSには違いがあるため、この違いを正しく理解しておくことが求められます。それぞれの特性を活かして組み合わせることで、より強固なセキュリティ対策を実現できるのです。
IDSやIPSとファイアウォールの違い
ファイアウォールは、ネットワークトラフィックの出入りを制限し、特定のポートやIPアドレスからのアクセスをブロックするものです。これにより、外部からの攻撃や不正アクセスを防ぐことが可能です。基本的には、トラフィックのフィルタリングを実施して、許可された通信のみを通過させる仕組みが採用されています。
対して、IDSやIPSは上記でも説明しているとおり、ネットワークトラフィックやシステムログを詳細に監視するものです。また、異常な活動や攻撃の兆候を検出したり、必要に応じて防御したりすることに重点を置いています。IDSとIPSで機能は異なりますが、どちらも根本的にファイアウォールとは異なるものです。
機能的に異なるものであるため、これらは組み合わせて利用することが求められます。IDSやIPSでは対応が難しい部分について、ファイアウォールでカバーしなければなりません。
IDSやIPSで防げる脅威と防げない脅威
IDSやIPSは脅威を防ぐために導入しますが、すべての脅威を防ぐ仕組みではありません。防げる脅威と防げない脅威のそれぞれを理解することが重要です。
防げる脅威
IDSとIPSは、さまざまな種類の脅威を防御することが可能です。例えば、既知のマルウェア、フィッシング攻撃、DDoS攻撃、SQLインジェクションなどが挙げられます。これらの攻撃は、シグネチャベースの検知によって迅速に特定してスムーズな防御が可能です。
さらに、アノマリベースの検知を組み合わせることで、未知の攻撃や新たな攻撃手法にも対応できます。例えば、ゼロデイ攻撃や新種のマルウェアに対しても一定の防御効果を発揮できるのです。
防げない脅威
IDSとIPSには防ぎきれない脅威も存在します。例えば、内部の不正による攻撃や、正規のユーザー権限を悪用した攻撃は思うように検知できません。また、暗号化された通信を利用した攻撃や、より巧妙なフィッシング攻撃については、防御できない可能性があります。
また、システムの設定ミスや、シグネチャデータベースの陳腐化によって、検知漏れが発生するかもしれません。これらの脅威を発生させないためにも、継続的なシステムの監視とアップデートが不可欠です。
IDSとIPSのメリット
IDSとIPSを導入することには、以下のとおり3つのメリットがあります。
未知の攻撃にも対応しやすい
アノマリベースの検知を使用することで、IDSやIPSは未知の攻撃にも対応できます。正常なパターンから逸脱する動作を検知するため、既知のシグネチャに頼らずに新たな脅威の特定が可能です。ゼロデイ攻撃や未確認のマルウェアにも対処できる柔軟性はメリットです。
メリットを活かすためには、通常の活動パターンを正確に学習しておくことが求められます。この作業は時間と分析対象のデータが必要で、丁寧に環境を整備しなければなりません。しかし、そのような手間を踏まえても、未知の脅威に対応しやすいことは大きなメリットです。
システム障害の防止に役立つ
IDSとIPSを導入することによって、システム障害を防止したり、それに伴うユーザーへの影響を最小限に抑えたりできます。例えば、攻撃を迅速に検知し適切な防御措置を取れば、システム障害によるユーザーへの影響を抑えられるのです。特にIPSは、自動的にトラフィックをブロックできるため、リアルタイムで障害を防止できます。
また、システムの監視とアラート機能が備えられているため、攻撃が発生した際に素早く行動することが可能です。素早く行動できることで、重大な障害が発生する前に措置を開始でき、システムが停止してしまうことによるトラブルが生じなくなります。
IDSとIPSのデメリット
IDSとIPSの導入には以下のとおり2つのデメリットもあります。
誤検知が発生する可能性がある
IDSやIPSの運用においてデメリットとなることは誤検知の発生です。正しく設定していても、正常なトラフィックや操作が攻撃と誤認されることがあります。例えば、シグネチャベースの検知において、正常な動作と異常な動作が似ている場合に誤検知されかねないのです。また、アノマリベースの検知でも、学習データの偏りや限界により、誤検知が発生する可能性があります。
誤検知を減らすためには、定期的なシグネチャの更新や、アノマリ検知モデルの精度向上が重要です。また、担当者が誤検知を素早く判断して、設定を変更するなどの運用も求められます。
運用にスキルとコストが発生する
導入と運用にあたっては、高度なスキルが求められコストが発生します。例えば、システムの構築や設定、定期的なメンテナンスには専門知識が必要です。また、誤検知など想定外の動作が生じた場合には、それを解決するための対応も求められます。
加えて、IDSやIPSの運用にはハードウェアやソフトウェアのコストが発生します。どのような製品を導入するかによって変化する部分ではありますが、セキュリティ関連の製品はコストが高まりやすいため注意すべきです。
まとめ
ネットワークのセキュリティで重要となるIDSとIPSについて解説しました。どちらも不審な動きや攻撃を検知するもので、人間が気づかないようなトラフィックの動きなどに気づけるものです。ツールとして通知にとどまるか防御措置を取るかという違いがあります。
どちらも重要なセキュリティツールではありますが、完璧なツールというわけではありません。セキュリティは多角的に防御することが重要であり、必要に応じて他のセキュリティツールも導入することが求められます。
