IDSとは?その機能と活用シーンについて
IDS
—サイバー攻撃へのセキュリティ対策を検討し始めたときに選択肢の一つとして目にすることも多いキーワードです。
検索窓に「セキュリティ 対策」といったキーワードを入力すると予測候補で目に入ることもあるのではないでしょうか。
この記事ではセキュリティに関する「IDS」というワードそのものについてご紹介します。
また、IDSがセキュリティのどのような部分で利用されるのかについても併せてご紹介いたします。
IDSとは
「IDS」とはネットワークへの侵入を検知する機能をもったネットワークセキュリティシステムです。
正式名称は「Intrusion detection system」です。
日本語では「侵入検知システム」と訳されることが一般的です。
IDSの機能とは
IDSはネットワーク上およびシステムを通過するトラフィックを監視します。
具体的にはネットワークパケットの内容を確認することで、存在する疑わしい不正なアクティビティや既知の脅威を検索、情報を収集し、検出するとアラートを送信します。
重要なのはIDSの機能はあくまで疑わしいアクティビティを検知し、アラートを送信するまでということです。
つまり、IDSはそれらを防ぐためのアクションは実施しません。あくまで検知することがIDSの機能です。
これらに対して防止の機能を提供するセキュリティシステムがIPS(「侵入防止システム」)です。
※IPSの詳細については別記事にてご紹介する予定です。
IDSとIPSはその機能から相互補完の関係性にも有り「IDPS」と総称されることもあります。
IDSの活用シーンについて
先述の通り、IDSは侵入を検知し、アラートを送信することが主要な機能です。
そのため、IDSのみでセキュリティの機構を構成することは稀であり、防止機能を持ったセキュリティシステムやセキュリティ製品と組み合わせるか、統合的なセキュリティマネージメントシステムの一部として利用されるパターンが一般的です。
また、先述のIPS(侵入防止システム)は、IDSの侵入検知の基本機能を拡張するために作られています。
IDS単独で活用するというシーンは現実的に考えづらいのが現状です。
IDSの種類
それでは、IDSにはどのような種類があるのでしょうか。
IDSにはホストベースとネットワークベースの2つの大きなカテゴリに分類ができます。これら2つのカテゴリは、IDSが設置され、侵入を検知する場所ごとに分けられています。
ネットワーク型
ネットワーク型は監視対象となるネットワーク上に設置します。ネットワークに流れるデータ(パケット)を監視することが可能です。
また、ネットワーク型は直接設置されているネットワークセグメントのみが検知対象となります。たとえば社内のネットワークやファイアウォールの外側など、監視したいネットワークセグメントが複数あれは、各々のネットワーク上にIDSを設置する必要があります。
ホスト/エンドポイント型
ホスト/エンドポイント型は、監視対象のクライアントPCやサーバーなどに個々にインストールするタイプのIDSです。
そのため、監視対象となるサーバーなどの機器が複数ある場合は、それぞれの機器へインストールする必要があります。
IDSで検知・防御できる攻撃の種類
IDSで検知できる攻撃としてはどのような種類があるのでしょうか。
先述の通り、IDSはネットワークの中身(ネットワークパケット)を確認して、不正なものではないかを検知します。
逆にいうと、送信元IPなどは検知の対象外となります
そのため、正常な送信元から不正な内容や大量のデータを送りつけるような攻撃の検知に有効です。
DDos攻撃/DoS攻撃
DDos攻撃/DoS攻撃とは、ネットワークを通じて大量のデータなどを攻撃対象へ送り付けて、対象のシステムが正常に動作できない状態に追い込む攻撃です。
Synフラッド攻撃
Synフラッド攻撃とは、ネットワークで相手に接続する際の接続要求データ(SYNパケット)のみを対象へ大量に送り付けることによって、相手が新しい接続を受け付けられないようにする攻撃のことです。
IDSでは検知できない攻撃
先述の通りIDSはネットワーク/OS上かつネットワークパケットが不正なデータを含む攻撃に対する検知が可能です。
そのため、それ以外の攻撃は検知対象外となります。
特にWebアプリケーションレベルの脆弱性を悪用した攻撃は防ぐことはできません。
そのため、ファイアウォールはもちろん、WAF(Web Application Firewall)といったセキュリティ対策、また日頃からの脆弱性診断などを併用し、総合的なセキュリティ対策を実施することをおすすめします。
最後に
IDSに限らずシステムのすべてのセキュリティを単一のセキュリティ製品などで賄うことは現在の多様化したサイバー攻撃に対しては現実的ではありません。
ファイヤーウォール、SAST、DAST、IAST、SCAなどさまざまな製品が存在するなか、脆弱性や不具合などさまざまな箇所がサイバー攻撃の原因になりえます。
ぜひ多様化するサイバーセキュリティに対しては横断的かつ総合的な対策を検討することをオススメいたします。