IDSとは?IPS・WAFとの違いや種類・導入のメリットを解説
IDSとは?IPS・WAFとの違いや種類・導入のメリットを解説
不正アクセスやDDoS攻撃は、企業のセキュリティリスクの中でも大きなリスク要素です。IPAの「情報セキュリティ10大脅威」では、2020年にはDDoS攻撃が10位に、2023年には不正アクセスを含む標的型攻撃が3位にランクインしています。
出典:独立行政法人情報処理推進機構「情報セキュリティ10大脅威」
不正アクセスやDDoS攻撃と言った危険なサイバー攻撃への対策として有効なセキュリティシステムが、通信システムを監視し、不審なアクセスを通知する「IDS」です。この記事ではIDSの種類や導入メリット、似たセキュリティシステムであるIPS・ファイアウォール・WAFとの違いを解説します。
目次
1. IDS(不正侵入検知システム)とは
IDSとは、通信の監視や不正な通信の検知などを行うネットワークセキュリティシステムです。Intrusion Detection Systemの略称で、日本語では「不正侵入検知システム」とも呼ばれます。
IDSは、不正アクセスなどの異常な通信をさまざまな手段によって検知し、システム管理者に自動で通知を行います。リアルタイムでアクセスを確認できるため、セキュリティ管理者は迅速な対応が可能です。
1-1. IDSとIPSの違い
IDSに名称や機能が似ているセキュリティシステムに、通信の監視や不正な通信の侵入検出の仕組みを持つIPSがあります。IPSとは、Intrusion Prevention Systemの略称で、日本語では「不正侵入防止システム」と呼ばれます。
IDSとIPSは、セキュリティシステムとしての役割が大きく異なります。IDSは不正な通信の検知・通知をするのに対して、IPSは不正な通信の防御を行います。IPSの場合、管理者に通知を行わずに、不正アクセスを遮断する機能があるため、IDSよりも迅速な対応が可能です。しかし、誤って不正アクセスと判断したときも遮断を行い、システムが停止する恐れがあります。正しい検知を行うには、IDSをはじめとした他のセキュリティシステムとの組み合わせが必要です。
1-2. IDS・IPSとファイアウォールの違い
ファイアウォールとは、IDS・IPSと同様に、ネットワーク上の通信を監視して、通信を受け入れるかどうかの判断を行う不正侵入防御システムです。
IDS・IPSとファイアウォールは、防御できる攻撃の種類に違いがあります。ファイアウォールは、ネットワーク上のIPアドレスとポートによって通信の可否を判断します。一方、IDS・IPSはOSやWebサーバーまでチェックをし、ファイアウォールで防ぎきれない攻撃も防ぐことが可能です。
1-3. IDS・IPSとWAFの違い
WAFも、IDS・IPSと同様に、不正アクセスを監視し防御するシステムの1つです。WAFは、Web Application Firewallの略称で、「ワフ」と呼ばれます。IDS・IPSとは防御できる対象が異なり、WebサイトなどのWebアプリケーションを攻撃から守ります。
2. IDS・IPSを導入するメリット
日々巧妙になるサイバー攻撃からシステムを守るために、IDS・IPSの必要性は増しています。IDS・IPSを導入するメリットを知っておくと、自社のセキュリティ体制を構築する上で役立ちます。
IDS・IPSを導入すると得られるメリットは以下の通りです。
2-1. リアルタイムで異常を検知できる
IDS・IPSのメリットは、異常な通信をリアルタイムで検知できる点です。管理者が自身でアクセスログを解析して初めて不正な通信に気づくのでは、対処が遅くなります。リアルタイムで管理者に通知がくると、検知された通信の性質を即座に判断できます。正しい対処を迅速に行えるため、被害を最小限に食い止めることが可能です。
2-2. DDoS攻撃やBOF攻撃を防ぎやすい
IDS・IPSを導入すると、DDoS攻撃やBOF攻撃を防ぎやすくなります。DDoS攻撃とは、複数のパソコンから、大量のメールを送ったり、Webサーバーへ大量にアクセスしたりすることで、負荷をかけてシステム停止に追い込む攻撃です。また、BOF攻撃とは、データを一時保管している場所であるバッファに、処理できないほどの大量のデータを送り込み、情報漏えいなどの誤作動を誘発する攻撃です。
DDoS攻撃とBOF攻撃は、どちらもIPアドレスやポートでは不正な通信と判断できず、ファイアウォールを通過してしまいます。IDS・IPSのように、通信の中身まで確認を行うセキュリティシステムがあれば、DDoS攻撃やBOF攻撃の可能性がある通信の発見が可能です。
3. IDS・IPSの種類
IDS・IPSは、検知方法と監視対象の違いによって4つに分類されます。それぞれのタイプにメリット・デメリットや防御できる攻撃が異なるので、自社の目的に合わせて選ぶことが重要です。
IDS・IPSの4つの種類をそれぞれの特徴とともに紹介します。
3-1. 検知方法のタイプ別
IDS・IPSは、検知方法によって「アノマリ型」と「シグネチャ型」の2種類に分けられます。
アノマリ型はあらかじめ正常なアクセスパターンを登録し、未登録のアクセスを不正とみなす方法で、異常検出型と呼ばれます。未知のマルウェアやサイバー攻撃にも対応できますが、シグネチャ型と比べると誤検知が多い点がデメリットです。
シグネチャ型は、あらかじめ攻撃対象の不正なアクセスを登録し、登録内容と一致した通信を遮断する方法で、不正検出型と呼ばれます。シグネチャ型は多くのIDS・IPSに採用されています。正しい通信を誤って検知しにくいというメリットがある一方で、過去のデータベースに登録のある不正な通信しか防御できないという点がデメリットです。
3-2. 監視対象のタイプ別
IDS・IPSは、監査対象の違いによっても分類され、「ネットワーク型」と「ホスト型」の2種類があります。
ネットワーク型とは、企業で使用しているネットワークの外側と内側の境界に設置され、通信パケットの中身を確認するシステムです。ファイアウォールと同じ場所に設置できるため、セキュリティシステムを1つにまとめることができます。しかし、ネットワークが複数ある場合は、それぞれに設置する必要があります。
ホスト型とは、サーバーにインストールして、サーバー自体を監視するシステムです。サーバー内のファイルやログを防御する目的に向いていますが、保護したいサーバーが複数ある場合は、それぞれにインストールが必要です。
4. IDS・IPSを導入するときのポイント
自社の情報セキュリティ対策のために、IDS・IPSを導入するときのポイントを3つ紹介します。
まとめ
IDSとは、通信の監視を行い、不審な通信があればシステム管理者に自動で通知を行うセキュリティシステムの1つです。IDSに似たセキュリティシステムに、不審な通信の検知と防御を行うIPSがあります。
IDS・IPSの導入により、システム管理者は不正アクセスやサイバー攻撃をすぐに把握できます。また、DDoS攻撃やBOF攻撃と言った防ぎにくいサイバー攻撃にもIDS・IPSは有効です。
IDS・IPSの導入には、自社の環境に合わせた調整と、他のセキュリティ対策との併用が必要です。CTCのSecurity Stewardを利用すれば、自社のセキュリティ環境を把握でき、専門家による包括的なサポートを受けられます。
