お役立ち資料
Introduction
IDS/IPSとは、社内システムやネットワークなどへのセキュリティの脅威を検知し、防衛するためのセキュリティソリューションです。具体的に、どのような脅威を検知・防衛できるのか、知りたいという人も多いでしょう。
この記事では、IDS/IPSとは何か、その種類、対策可能なサイバー攻撃と対策がむずかしい攻撃、導入時の注意点について解説します。
目次
IDS/IPSとは?
IDSとIPSは、ネットワークやサーバーへの異常な通信、不正なアクセスなどを検知して、防衛するためのシステムです。
ここでは、IDSとIPSの定義、二つの違いや必要とされている背景について解説します。
IDSは、不正侵入を検出・通知するシステムのこと
IDSとは「Intrusion Detection System」の略で、不正侵入検知システムと訳されます。ネットワーク上の通信を監視し、異常なアクセスや不審な行動などを検知して、管理者にアラームを通知するセキュリティソリューションです。
一般財団法人日本情報経済社会推進協会(JPIDEC)の『IDS(Intrusion Detection System/侵入検知システム)』によると、次のように定義されています。
IDS
システムに対する侵入/侵害を検出・通知するシステムのこと
IPSは、不正侵入を防御するシステムのこと
IPSとは「Intrusion Prevention System」の略で、不正侵入防止システムと訳されます。ネットワーク上の通信を監視し、不正なアクセスをブロックして侵入を防止することが可能です。
総務省の『国民のための情報セキュリティサイト』によると、次のように定義されています。
IPS
侵入防止システムは、侵入検知システム機能に加えて、不正なパケットを自動的に遮断する機能を持っています。
IDSとIPSの違いとは?
上記でご説明したとおり、IDSはネットワーク上の異常を検知するシステムであり、IPSは不正なアクセスをブロックするシステムです。どちらも、ネットワーク上のセキュリティ対策を行うためのシステムですが、役割が異なることがわかります。
異常を検知して防衛するために、IDSとIPSはセットで使う必要があります。
IDSとIPSが必要とされている背景
IDSとIPSが必要とされている背景には、近年のサイバー攻撃の高度化、多様化があります。社内システムなどへのDoS攻撃やDDoS攻撃、バッファオーバーフロー攻撃、システムやネットワーク機器などの脆弱性を突いたサイバー攻撃などが激化しています。
IDSとIPSをセットで導入すれば、このようなネットワークへの侵入をトリガーとした、サイバー攻撃を防ぐことが可能です。ネットワークへの異常通信を検知するIDSと、ブロックするIPSをセットで導入することにより、大きな効果を発揮します。
IDS/IPSの種類
IDS/IPSには、いくつかの種類があります。ここでは、その種類についてご説明します。
【監視対象による違い】ネットワーク型/ホスト型/クラウド型
監視する対象の違いによって、ネットワーク型とホスト型、クラウド型にわけられます。
ネットワーク型は、ネットワーク上に監視システムを構築するタイプで、広範囲の異常通信を検知します。広範囲を監視できることがメリットですが、ホストごとに細かい設定をするのには向きません。
ホスト型は、監視対象となるサーバーに、直接IDSとIPSをインストールするタイプで、ホストごとに細かく設定が可能です。対象のサーバーだけなので、複数のサーバーを監視したい場合には、それぞれのホストにインストールする必要があります。
クラウド型は、クラウドサービスとして提供されるIDS/IPSです。インターネット経由で利用するため、導入費用が安く、ネットワーク設定なども不要なのがメリットです。IDS/IPSの検知能力などはサービスによるので、自社にあったベンダーを選ぶ必要があります。
【検知方法による違い】シグネチャ型/アノマリ型
異常を検知する仕組みの違いによって、シグネチャ型とアノマリ型に種類がわかれます。
シグネチャ型は、事前に登録されているシグネチャという検知ルールを用いて、異常を検知します。シグネチャの精度を高めれば、異常の検出精度をあげられるのがメリットです。ただし、既知の脅威にしか対応できないというデメリットもあります。
アノマリ型は、通常のシステムやネットワーク上の挙動パターンを学習しておき、そこから逸脱する行動を異常として検知するタイプです。未知の脅威にも対応でき、対策されていないゼロデイ攻撃にも有効です。ただし、誤検知の可能性もあるというデメリットもあります。
IDS/IPSで対策ができるサイバー攻撃
IDS/IPSで対策できるサイバー攻撃には、どのようなものがあるのかを見ていきましょう。
OSやサーバーの脆弱性を突いた攻撃
OSやサーバーなどの脆弱性を突き、悪意のあるスクリプトを実行させて、データベースにアクセスするなどのサイバー攻撃が行われることがあります。このようなサイバー攻撃を防ぐためには、脆弱性をつねに対処しておかなければなりません。しかし、すべての脆弱性に対処できないこともあるでしょう。
IDS/IPSは、このような脆弱性を突いた攻撃を検知して、ブロックすることが可能です。
マルウェア感染
ワームやトロイの木馬のようなマルウェアに感染すると、データが破壊されたり、個人情報や機密情報などが盗まれたりする危険があります。また、マルウェア感染したデバイスを踏み台にされ、さらに感染を広げるためのスパムメールの発信などに利用されてしまいます。
IDS/IPSは、マルウェアに感染させようとするアクセスにも対応可能です。
バッファオーバーフロー
バッファオーバーフロー攻撃とは、大量のデータをサーバーに送りつけるサイバー攻撃です。許容量を超えるデータを送りつけられると、バッファと呼ばれるメモリ領域にデータを保存できなくなり、サーバーダウンやシステムの誤作動、データの破壊などが起こります。
このような大量データを送りつけるような不正なアクセスに対しても、IDS/IPSは検知、防衛が可能です。
DoS攻撃・DDoS攻撃
DoS攻撃とは、大量のデータや膨大な量のアクセスをサーバーに対して行うサイバー攻撃です。これにより、サイトやサーバーに負荷がかかって、サービスの停止やサーバーダウンなどが起こります。
DoS攻撃は一台のパソコンから行われる攻撃ですが、DDoS攻撃は複数のパソコンから一斉に行われる、さらに脅威を増した攻撃です。複数拠点から攻撃するため、IPアドレスなどを特定しにくく、防御するのがむずかしくなっています。
IDS/IPSは、DoS攻撃・DDoS攻撃も検知、防衛が可能です。
▽あわせて読みたい▽
>>DDoS攻撃とは?攻撃手法や被害事例、対策について解説のページへ
IDS/IPSで対策することがむずかしいサイバー攻撃
IDS/IPSにより、上記のようなサイバー攻撃を検知・防衛できますが、対策がむずかしいサイバー攻撃もあります。通信としては通常のものと変わらない状態で、アプリケーションレベルでのサイバー攻撃が行われると、IDS/IPSでの異常検知と防衛はむずかしくなってしまいます。
ここでは、IDS/IPSでは対策することがむずかしいため、ほかの対策が必要なサイバー攻撃について見ていきましょう。
SQLインジェクション
SQLインジェクションとは、脆弱性を突いたサイバー攻撃です。Webアプリケーションなどに不正なSQL文を入力することで、データベースの不正に閲覧、情報の改ざん、削除などを行います。WebアプリケーションなどにSQL文を入力すると、データベースまで届いてしまうような脆弱性が存在する場合に、実行できてしまいます。
SQLインジェクションを行うWebアプリケーションへのアクセスは、通常のアクセスと変わらないため、IDS/IPSで異常として検知し、防御することは不可能です。
▽あわせて読みたい▽
>>SQLインジェクションとは?手口や被害事例、対策をわかりやすく解説のページへ
クロスサイトスクリプティング
クロスサイトスクリプティングは、任意のWebサイトで起こりうるサイバー攻撃です。
Webページに悪意のあるスクリプトを埋め込まれることで、問題が起こります。たとえば、本物のサイト上に偽物のページが表示される、ブラウザが保存しているCookie情報が盗まれるなどの脅威が発生します。会員登録画面やアンケート画面など、入力内容を確認させる画面や結果表示画面、エラー表示画面などで起こりやすいでしょう。
一度悪意あるスクリプトが埋め込まれてしまうと、そこから行われるWebアクセスは通常のものと区別がつかないため、IDS/IPSで検知、防衛ができません。
▽あわせて読みたい▽
>>クロスサイトスクリプティング(XSS)とは?手口や被害事例、対策をわかりやすく解説のページへ
OSコマンドインジェクション
OSコマンドインジェクションとは、Webサーバー上のOSコマンドを不正に実行されてしまうことで起こります。悪意ある第三者が、OSコマンドを含む攻撃リクエストをWebサイトに送信すると、OSコマンドが実行されてしまい、ファイルの改ざんやウィルス感染、システムの不正操作などが起こります。通常、不正なOSコマンドが実行されることはありませんが、脆弱性が存在すると実行されてしまうことがあるのです。
不正なOSコマンドを含むアクセスであっても、通常のアクセスと変わりないため、IDS/IPSで検知、防衛はできません。
IDS/IPSの導入にあたっての注意点
IDS/IPSを導入する際に、注意すべきことがあります。ここでは、IDS/IPS導入時の注意点について、ご説明します。
ほかのセキュリティツールとの併用がのぞましい
上記の『IDS/IPSで対策することがむずかしいサイバー攻撃』でもご説明したとおり、IDS/IPSでは検知・防衛がむずかしい脅威も存在します。通信としては正常でも、アプリケーションレベルのサイバー攻撃が行われると防げません。
そのため、IDS/IPSだけで対策しようとせずに、以下のようなほかのセキュリティツールと併用する必要があります。
・ファイアウォール
ファイアウォールをネットワークの入り口に設置することで、不正アクセスを検知、防止することが可能です。IDS/IPSは、ネットワーク内部で不正を検知・防止しますが、ファイアウォールは入り口で対策するため、役割分担が明確になります。
ファイアウォールについてはこちらもご覧ください。
>>ファイアウォールとは?重要性や種類、機能、設置パターンについて解説のページへ
・WAF
WAF(Web Application Firewall)とは、WebサイトやWebアプリケーションの脆弱性を保護するためのツールです。WAFは、SQLインジェクションやクロスサイトスクリプティングなど、アプリケーションレベルのサイバー攻撃に対処可能です。
・SASE
SASE(Secure Access Service Edge)とは、ネットワークのインフラ設備とセキュリティ機能を一体化させ、クラウド上で提供されるセキュリティソリューションです。SASEを利用すれば、ファイアウォール、IDS/IPSなどの複数のセキュリティをまとめて統合的に活用できるため、セキュリティレベルが高まります。
SASEについてはこちらもご覧ください。
>>SASEとは?読み方や仕組み・導入するメリット/注意点をわかりやすく解説のページへ
・NDR
NDR(Network Detection and Response)とは、ネットワークの内部に潜伏する脅威も含めて、あらゆる不正を検出できるシステムです。IDS/IPSは、あくまで外部から侵入した不正を検知して防御するものなので、対応する脅威が異なります。IDS/IPSは、侵入してきた不正アクセスなどの検知・防御は得意ですが、内部に潜伏する脅威には対処できないため、NDRと組み合わせることでより高い効果が期待できます。
関連サービスについて
導入や運用にコストがかかる
IDS/IPSは、導入しただけでは意味がなく、導入後の運用が重要です。どのような設定にすべきなのか、運用を開始してから調整が必要な場合もあります。また、脅威を検知する際に使用する、シグネチャを見直す必要もあるでしょう。検知した脅威を分析して、新たな対策を講じる必要もあるかもしれません。
このように、導入後の運用方法の見直しや運用作業そのものは、非常に重要です。そして、運用するためにコストがかかることも、計画しておく必要があるでしょう。
サービスによって機能やサポート面に大きな差がある
導入するサービスによって、機能やサポート面に大きな差があるため、導入前にしっかりと比較しましょう。
対象範囲はどこまでか、どのようなレベルで脅威を検知するのか、ブロックできる脅威はどのようなものかなど、機能面を確認してください。また、サポート面についても、エラーや問題が発生した際に随時問い合わせが可能か、障害発生時の対応はどうなっているかなどを具体的に確認しましょう。海外製品の場合、日本語によるサポートの有無も重要です。
まとめ
この記事では、IDS/IPSとは何か、その種類、対策可能なサイバー攻撃と対策がむずかしい攻撃、導入時の注意点について解説しました。
IDS/IPSは、社内システムやネットワークなどをサイバー攻撃から守るために、重要なセキュリティツールです。しかし、IDS/IPSだけでは不十分なケースも多く、ほかのセキュリティツールと組み合わせて、導入する必要があります。
SHIFTでは、お客さまの環境にあわせたゼロトラストアーキテクチャのセキュリティソリューション導入の支援を行っています。社内システムやネットワークのセキュリティ対策を強化したいとお考えの場合には、お気軽にお問い合わせください。
>>SHIFTのセキュリティソリューションのページへ
>>お問い合わせページへ
>>料金についてページへ
この記事を書いた人
ご支援業種
- 製造、金融(銀行・証券・保険・決済)、情報・通信・メディア、流通・EC・運輸、ゲーム・エンターテイメント
など多数
関連コラム
-
- セキュリティ
WAFとは?仕組みや機能、導入するメリットをわかりやすく解説
2024.08.14
詳しく見る
-
- セキュリティ
OWASP Top 10 for LLMとは?生成AI開発の安全性を高める方法について解説
2024.08.19
詳しく見る
-
- セキュリティ
サンドボックスとは?仕組みや機能、導入するメリット・注意点を解説
2024.08.14
詳しく見る
-
- セキュリティ
VPN接続とは?仕組みやメリット・デメリット、安全に使うためのセキュリティ対策を解説
2024.08.02
詳しく見る
-
- セキュリティ
DMZとは?ネットワークの構築方法やメリット・デメリットを解説
2024.08.02
詳しく見る
-
- セキュリティ
SOARとは?意味やメリット・デメリット、導入手順について解説
2024.08.02
詳しく見る
-
- セキュリティ
OSINTとは?サイバーセキュリティでの活用方法や注意点について解説
2024.08.02
詳しく見る
-
- セキュリティ
PAM(特権アクセス管理)とは?仕組みやメリット、活用方法を解説
2024.07.29
詳しく見る
-
- セキュリティ
シャドーITとは?発生する原因やインシデント事例、対策について解説
2024.06.28
詳しく見る
-
- セキュリティ
SSLサーバ証明書とは?役割や仕組み、導入するメリットについて解説
2024.06.27
詳しく見る
