IDSとIPSの違いとは?不法侵入に対するセキュリティを確保する仕組みです!

「IDS(アイディーエス)」とは、「Intrusion Detection System」の略称です。
企業や組織のネットワーク/サーバのセキュリティを確保するシステムで、「侵入検知システム」とも呼ばれています。

ネットワーク上を流れるパケットを監視したり、サーバ上のデータやログを調べ、不正なアクセスを確認した場合に、システム管理者に通知します。

管理者は被害を未然に警戒でき、必要であれば回線を遮断するなどの防衛措置をとることができるので、システムへの攻撃を未然に防ぐことができるとされています。

「IDS」と似たシステムに、「IPS(アイピーエス)」があります。
「IPS」は「Intrusion Prevention System」の略称で、「侵入防御システム」とも呼ばれています。
「IDS」に通信を遮断する機能を持たせたシステムで、異常を検知したときの対処として、自動的に通信を遮断して防御します。

「IPS」は「IDS」とくらべ、不正なアクセスに対して迅速に対応できますが、定期的に設定の調整が必要となります。もし不適切な設定がされていた場合、誤って検知をしてしまってシステムを停止してしまい、業務活動を妨げてしまう恐れがあります。

つまり、「IDS」が不正な通信を検知し、通知するまでが役割であるのに対し、「IPS」は一歩進んで検知後の不正な通信の防御・遮断まで実行するという点が違いとなります。

「IDS」は本来の通信のコピーを監視して、異常を検知します。これに対し「IPS」は異常な通信をブロックするために、通信経路の間に設置することが必要となります。

なお、サーバー向けセキュリティ全般については、下記コラムにて特集しておりますので合わせてご覧ください。

サーバー向けセキュリティ対策の必要性~メリットや基本の対策法〜

IDSの種類~ネットワーク型とホスト型~

「IDS」は通信の監視方法と不正データの検知方法によってネットワーク型とホスト型、クラウド型に分けられます。
それぞれの特徴をみてみましょう。

ネットワーク型

ネットワーク型は、ネットワーク上に設置され、通信パケットを監視します。
インターネットの出入り口であるゲートウェイ付近に設置することで、ネットワーク全体を監視することができ、ホスト型と比べ導入の負担は小さくなります。
ホストごとの細かい設定はできません。

ホスト型

ホスト型は、監視対象となるサーバ上に設置され、通信が行われることで発生するログや受信データなどを監視しています。
不正侵入の検知の他に、ファイルの改ざんにも対応することができます。
ただし、サーバごとにインストールして設定を行う必要があり、導入・運用のコストが高くなります。

クラウド型

クラウド型は「IDS」をクラウドサービスとして提供する形式で、ネットワークの構成変更やあらたなネットワークの構築を行う必要がなく、スムーズに導入できます。
設定がシンプルで運用も簡単にできますが、ベンダーの依存が強くなってしまうというデメリットがあります。

IDSはどうやって検知する?2種類の方法を解説!

「IDS」のデータ検知方法には、「シグネチャ型」と「アノマリ型」の2種類の方法があります。

シグネチャ型

「不正検出」とも呼ばれます。
「シグネチャ」とは「さまざまな攻撃を識別するためのルール」のことです。
あらかじめ登録されている検出ルールと通信データをマッチングし、不正なアクセスがあると検出します。
未知の通信に対しては、不正な通信でも正常と判断してしまうため、あらたにシグネチャが発見されるたびに登録を行い、シグネチャリストを更新する必要があります。

アノマリ型

「異常検出」とも呼ばれ、トラフィックや使用したコマンドを確認し、通常とは異なる振る舞いをした場合に異常と判断し、検出します。
「シグネチャ型」と違い、未知の通信を検出できます。「シグネチャ型」のように頻繁な更新は必要ありませんが、謝検知することも多く、設定の細かなチューニングが必要となります。

「シグネチャ型」と「アノマリ型」は、組み合わせて使用することで、より大きな効果を発揮します。

IDSで検知できる攻撃と検知できない攻撃をチェック!

IDSで検知できる攻撃から紹介します。

不正なプログラム

「バックドア」「トロイの木馬」「ボット」などの不正な通信を検知します。

DDos攻撃/Dos攻撃

「Dos攻撃」は、サイトやサーバに大量の通信を送り込み、正常な動作を停止させるサイバー攻撃です。
「DDoS攻撃」は「分散型サービス拒否攻撃」ともいいますが、複数のIPから分散的に攻撃を仕掛けてきます。
これらの攻撃は防御が困難ですが「IDS」で検知が可能です。

Synフラッド攻撃

「Synフラッド攻撃」は、接続元のIPを偽装したボットから接続要求通信(SYN)を大量に送り、サーバをダウンさせる攻撃です。
正規の通信との判別が難しいとされますが、「IDS」はパケットを精査するので、不正な通信と判断して検知することができます。

バッファオーバーフロー攻撃(BOF)

バッファオーバーフローの脆弱性を突き、システムやソフトウェアに大量のデータや不正なコードを送ることで誤作動をおこさせる攻撃です。
これも「IDS」で検知できます。

以上が、IDSで検知できる攻撃の例です。
ここからは、「IDS」で検知できない攻撃を紹介します。

SQLインジェクション

データベース言語である「SQL」に、不正なコードを注入してサイトを改ざんしたり、データを奪い取ったりします。

クロスサイトスクリプティング

脆弱性のあるサイトに不正スクリプト付きのURL等のトラップを仕掛け、訪れたユーザーを別のサイトに誘導し、ユーザーの個人情報などを奪う攻撃です。

「SQLインジェクション」や「クロスサイトスクリプティング」はコードをわかりにくい形に難読化されており、「IDS」はこのような攻撃の検知を苦手としています。
これらの攻撃は「WAF」で対処ができます。

IDSの製品選びのポイントは?導入をおすすめしたい企業やおすすめ製品もご紹介!

「IDS」を選ぶポイントとして、

  • 「IDS」の種類
  • コスト
  • サポート体制

が挙げられます。

「IDS」の種類

「IDS」には、前述したように「ネットワーク型」「ホスト型」「クラウド型」の3つのタイプがあります。
特定のネットワーク上の通信内容を監視する場合は「ネットワーク型」、サーバーの中まで高精度に検知をする場合には「ホスト型」を選びましょう。
社内に選任のスタッフがおらず、設定やネットワークの構築が難しい場合は、「クラウド型」を選ぶのがおすすめです。
それぞれ特徴やメリット・デメリットがありますので、よく検討して導入しましょう。

コスト

一般的に、導入・運用コストは「ネットワーク型」「クラウド型」が安くおさえられ、「ホスト型」は高くなる傾向があります。
コストパフォーマンスを考えて、最適な製品を選びましょう。

サポート体制

「IDS」を導入する際、各種の設定が必要となります。製品を選ぶ際は、導入時のサポートについて確認しましょう。
また、「シグネチャ型」「アノマリ型」のどちらにおいても検知パターンは常に更新する必要があります。
社内に選任のスタッフがいて運用していくか、あるいは設定やチューニングまで提供している事業者にまかすのか、社内の状況によっても製品選びのポイントは変わってくるでしょう。

おすすめの「IDS」製品

おすすめのIDS製品を紹介します。

イージス

株式会社ROCKETWORKSが提供するクラウド型の製品で、「WAF」としての機能を持っています。
比較的低価格で導入でき、機械学習でより高い性能に進化することができます。
上場企業や官公庁でも導入実績がある、信頼性の高いシステムです。

L2Blocker

100名以上の企業に特化したIDS製品です。
ネットワーク構成を変更する必要がなく、手軽に導入でき、高い評価を受けています。
未許可の端末からのアクセスを遮断するので、情報が漏えいする可能性を低くすることが可能です。

攻撃遮断くん

クラウド型の製品で、国内導入社数、導入サイト数で実績No.1を誇ります。
24時間365日、日本人スタッフによる電話サポートを受けることができます。
最短で1営業日で導入できる手軽さもウリです。

「IDS」を導入し、適切に運用することで、サイバー攻撃に対する防御の効果は格段にあがります。
逆に不適切な設定を行うと、システムに大きな影響を与えてしまいます。
しっかりと検討して、ネットワークやサーバを安全に管理しましょう。

セキュリティに強いシステム開発を行うには?

「IDS」について、ご説明させて頂きました。

ネットワークを構築をするうえで、IDS等のセキュリティの対策をおろそかにすることはできません。

Samuraiでは、システムの構築に精通しており、構想段階からの相談が可能です。ご要望に合わせた提案も可能です。ぜひお気軽にお問い合わせください。

株式会社Samuraiお問い合わせフォーム