IDS（侵入検知システム）とは？IPSやファイアウォールとの違い

サイバー脅威に対抗するためのツールキットの中で、IDS（侵入検知システム）は、サイバーセキュリティ防御の要となっています。IDSは組織のセキュリティ態勢において不可欠な役割を果たし、システムリソースへの悪意のある活動や不正アクセスから保護するための監視と検知機能を提供します。

IDSは、ネットワークトラフィックやシステムアクティビティを詳細に監視し、潜在的な違反、不正アクセス、または悪意のある活動を検知するための高度なデバイスまたはソフトウェア アプリケーションです。その主な機能は、これらの異常を検知し、警報を発し、さらなる分析を支援するための詳細なログを生成することです。

IDSは、周囲を継続的に監視し、脅威を感知すると飼い主に警告を発する番犬のようなものです。IDSは、不審な活動を早期に警告することで、組織がリスクを軽減し、セキュリティ侵害を防ぐための迅速な対応を可能にします。

IDS（侵入検知システム）は、不正アクセスや悪意のある活動の兆候がないか、常にネットワーク トラフィックを監視する警戒システムです。このような活動が検知されると、IDSは関連する管理者や担当者に警告を発することで即座に対応します。以下がIDSの仕組みです。

1. モニタリングと分析： IDSは不審な活動を精査しながら、ネットワーク トラフィックの流れを継続的に調査します。
2. ルールとパターンの比較： IDSは、潜在的な不審行動や悪意のある行動を判断するため、事前に定義されたルールやパターンのデータベースを活用します。
3. アラートの生成： ネットワークアクティビティがこれらの基準のいずれかに該当すると、IDSはシステム管理者に警告を発し、フラグを立てます。

侵入検知システムは、その配置や方法論に基づいて分類することができます。それぞれのアプローチは、IDSの動作方法において異なる機能を果たします。

配置による分類

• ホスト型IDS（HIDS）： 個々のホスト向けに調整され、HIDSはホストコンピュータまたはデバイスに直接インストールされます。その特定のホストでの活動を監視します。
• ネットワーク型IDS（NIDS）： 名前が示す通り、NIDSはネットワーク全体のトラフィックを監視し、悪意のある活動を見逃さないようにします。

検知手法による分類

• シグネチャ型IDS： シグネチャ型IDSは、既知の攻撃パターンやシグネチャのライブラリを参照します。一致するものが見つかると、システムが適切に対応します。
• アノマリ型IDS： アノマリ型IDSは、既知の攻撃パターンに依存するのではなく、ネットワークの「正常な」動作に焦点を当てます。この基準から外れる動作を検知すると、異常としてフラグを立てます。

また、IDS（侵入検知システム）をその能動的な対となるIPS（侵入防止システム）と区別することも重要です。両者ともネットワーク トラフィックの潜在的な脅威を監視しますが、IDSの主な焦点は検知と警告にあります。対照的に、IPSは検知された脅威による被害を防ぐためにより積極的な姿勢をとります。

検知機能に加えて、IDSの強みは、セキュリティ対応を強化する能力にあります。ネットワーク内のホストとデバイスを特定し、ネットワークパケットが運ぶデータを調査し、潜在的な攻撃の発生源までトレースします。この包括的なアプローチにより、ネットワークに対する悪意のある攻撃への防御が強化されます。

侵入検知システムは、各ネットワークにおける悪意のある活動やポリシー違反を特定し、防止する上で不可欠です。より詳細なレベルでは、IDSの役割は以下の理由から非常に重要です。

• 積極的な監視： IDSはネットワーク アクティビティを継続的に監視し、脅威が拡大する前に早期発見を可能にします。
• 脅威の洞察： 攻撃の種類と発生源を特定することで、IDSは管理者が脆弱性を強化できる貴重な洞察を提供します。
• コンプライアンス： 多くの業界でデータ保護のためのネットワーク監視が義務付けられています。IDSは組織がこれらの規制を遵守することを支援します。
• 抑止力： IDSの存在自体が、その存在を認識している潜在的な攻撃者を抑止する可能性があります。
• フォレンジック分析： 攻撃が発生した後、IDSのログは攻撃の性質と発生源の理解を助け、事後分析と将来のセキュリティ侵害の防止に役立ちます。
• 迅速な応答時間： 素早い検知は迅速な対応につながり、潜在的な損害やデータ損失を軽減します。
• 信頼性： IDSが導入されていることで、ステークホルダー、クライアント、従業員は組織のネットワーク セキュリティにより大きな信頼を持つことができます。

IDSは、あらゆる組織のサイバーセキュリティ戦略において欠かせない、ネットワークの早期警告システムとして重要な役割を果たします。

IDSは、ネットワーク内の不審な活動を特定するために様々な検知技術を採用しています。以下の最初の2つが主要なIDS検知の種類であり、特定の環境ではこれ以外の代替手法が使用される場合があります。

シグネチャ型検知

最も一般的な検知手法の1つとして、シグネチャ型検知は「シグネチャ」と呼ばれる既知の攻撃パターンのデータベースに依存します。受信トラフィックがこれらの既知のパターンと一致した場合、アラートが生成されます。既知の脅威に対して効果的である一方で、新しい、未知の脅威は検知できません。

アノマリ型検知

シグネチャ型システムとは異なり、アノマリ型IDSは「正常な」ネットワーク動作のベースラインの確立に焦点を当てます。受信トラフィックがこの基準から大きく逸脱すると、アラートが発生します。このアプローチは新しいまたは未知の脅威の検知に有効ですが、時には誤検知を生む可能性があります。

ヒューリスティック型検知

ヒューリスティック型IDSは、高度なアルゴリズムと分析を使用して、攻撃者の行動パターンに基づいて次の動きを予測します。観察されたトラフィックから学習し適応することで、新しい進化する脅威から保護します。

ステートフル プロトコル分析

ステートフル プロトコル分析は、使用中のネットワーク プロトコルの状態を理解し追跡することを含みます。観察されたイベントを、正常なアクティビティとして事前に定義されたプロファイルと比較することで、攻撃を示す可能性のある逸脱を特定します。

ポリシー型検知

ポリシー型検知は、ネットワーク管理者が設定した定義されたポリシーまたはルールのセットに基づいて機能します。これらのポリシーに違反する活動があると、アラートが発生します。これは定期的なポリシーの更新が必要な積極的なアプローチです。

ハニーポット検知

従来の検知技術ではありませんが、ハニーポットは潜在的な攻撃者を引き付けるおとりシステムです。攻撃者を実際のシステムから逸らし、その手法に関する情報を収集します。ハニーポットから得られた洞察は、新たな脅威パターンについて他のIDSに情報を提供することができます。

異なる検知タイプを理解することは、特定のネットワーク環境に適切なIDSを選択する上で重要です。最適なアプローチは、多くの場合、さまざまな脅威に対応するために複数の検知手法を組み合わせ、包括的な保護を提供することです。

IDS（侵入検知システム）とIPS（侵入防止システム）は、ネットワーク内の悪意のある活動やポリシー違反を特定し、対抗するために設計された重要なネットワーク セキュリティ ツールです。これらの主な違いは、検知された脅威に対する各々の対応にあります。

機能と対応

• IDS： 主に監視メカニズムとして機能し、ネットワーク トラフィックを綿密に監視します。不審または異常な活動を検知すると、IDSは介入することなくアラートを生成する「リッスンオンリー」デバイスとして動作します。
• IPS： より積極的に行動します。単なる検知にとどまらず、IPSはリアルタイムで継続中の脅威に対応し、それがネットワーク内の標的に到達するのを阻止します。

用途と利点

• IDS： 主要な検知機能に加えて、IDSは攻撃の種類を定量化し分類する上で重要な役割を果たします。この情報は、組織がセキュリティ対策を強化し、脆弱性を特定し、またはネットワーク デバイスの設定の異常を修正することを可能にします。
• IPS： 主に予防的な手段として、IPSの機能は単なる脅威の検知を超えて拡張されます。悪意のある行動を積極的にブロックまたは軽減し、潜在的な侵入に対する強力な防御壁として機能します。

IDSとIPSは異なる役割を持っていますが、併用されたときに最も効果を発揮することが多いです。IDSは脅威を見逃さず検知し、IPSは検知された脅威が実害を及ぼすのを防ぎます。

IDSとファイアウォールは、ともにネットワーク セキュリティの不可欠な構成要素です。しかし、それらの機能性と対応メカニズムに基づいて、異なる目的を果たします。

機能性

• IDS： 主にモニタリングツールとして、IDSは不審な活動についてネットワークをスキャンし、そのような活動が検知された際に管理者に警告します。常に監視し報告する監視カメラのように機能します。
• ファイアウォール： これらは事前に定義されたルールに基づいて、送受信トラフィックをフィルタリングするネットワークバリアです。どのトラフィックがネットワークに出入りできるかを決定する門番のように考えることができます。

対応メカニズム

• IDS： IDSは悪意のあるトラフィックを検知し警告することはできますが、本質的にはそれをブロックしません。
• ファイアウォール： 設定されたルールに準拠しないトラフィックを積極的にブロックし、潜在的な脅威に対する最初の防衛線を提供します。

ファイアウォールが設定されたパラメータに基づいてトラフィックの流れを制御する一方、IDSはネットワークを監視して異常を特定し警告します。堅固なセキュリティを実現するためには、ファイアウォールで不要なトラフィックをフィルタリングし、IDSでネットワークの継続的な監視を行うといった、両者を組み合わせた階層的な保護が有効です。

IDSは脅威を検知するための専門的なツールである一方、SIEM（セキュリティ情報イベント管理）は包括的なセキュリティ データ分析と管理プラットフォームを提供します。それぞれがネットワーク セキュリティ フレームワーク内で異なる能力で動作します。

機能性

• IDS： 主にネットワークにおける不審または異常な活動の検知に焦点を当て、IDSはそのような活動が特定されると管理者に警告します。IDSは、潜在的な脅威を常に警戒している見張り番のようなものです。
• SIEM： SIEMは単なる検知を超えています。IT環境の様々なソースからログとイベントを収集、一元化、分析します。セキュリティ環境の全体的な視点を提供するために、データを統合するインテリジェンス センターと考えることができます。

範囲

• IDS： IDSの機能範囲は、一般的に既知のパターンまたは異常に基づく潜在的な脅威の検知に限定されています。
• SIEM： より広い範囲を持つSIEMは、検知だけでなく、データの関連付けやフォレンジック分析を支援し、コンプライアンス報告をサポートします。

SIEMはメイン コントロール センターとして機能し、セキュリティ状態、傾向、脅威の360度の視点を提供します。SIEMはIDSの警戒監視に対する分析的および統合的な対になるものです。両者を組み合わせて活用することで、詳細な洞察と階層的な防御を組み合わせた迅速な脅威検知を確保します。

侵入検知システムが進化するにつれて、脅威アクターの戦術も進化します。多くのハッカーはIDSによる検知を回避または逃れるための技術を考案してきました。これらの手法を理解することは、防御を強化し堅固なセキュリティを維持する上で重要です。以下に一般的に使用されるIDS回避技術を示します。

• フラグメンテーション： ハッカーは悪意のあるペイロードを小さなパケットまたはフラグメントに分割します。悪意のあるデータを、それ自体では有害に見えない断片に分割することで、検知を回避できます。ネットワーク内に侵入すると、これらのフラグメントは再結合され攻撃を実行します。
• ポリモルフィック シェルコード： ポリモルフィズムでは、悪意のあるコードの外観を変更し、シグネチャを変える一方で、その機能自体は維持されます。これにより、ハッカーはシグネチャ型IDSソリューションに認識されないようにコードを作成できます。
• 難読化： 脅威アクターはこの技術を使用して、標的のコンピュータは元に戻すことができるが、IDSではできないような方法で攻撃ペイロードを変更します。難読化は、IDSに警告を発することなくエンドホストを悪用するために使用できます。
• 暗号化とトンネリング： 攻撃ペイロードを暗号化したり、HTTPやDNSなどの正当なプロトコルを通じてトンネリングすることで、攻撃者は悪意のあるトラフィックを隠し、IDSによる検知を困難にします。
• low-and-slow攻撃： 一部の攻撃者は活動を長期間に分散させるか、リクエストレートを制限し、効果的に「レーダーの下」に潜みます。これらの長期的な低頻度の攻撃は、迅速で明らかに不審な行動を検知するIDSシステムに気付かれない可能性があります。
• セッション スプライシング： フラグメンテーションと同様に、セッション スプライシングは悪意のあるペイロードを複数のセッションまたはTCPパケットに分散させることを含みます。検知トリガーを避けながら、ペイロードをゆっくりと目立たないように導入することが目的です。

これらの回避術に対抗するため、組織は定期的にIDSを更新し設定する必要があります。さらに、IDSは他のセキュリティツールと統合されるべきです。複数のセキュリティ層を組み合わせ、警戒を維持することで、このような回避技術のリスクを軽減することができます。

Proofpoint Emerging Threat Intelligence ソリューションは、現代の侵入検知システムを支える基盤として、タイムリーで正確な脅威インテリジェンスを提供します。このソリューションのET Proルールセットを搭載することで、組織は既存のネットワーク セキュリティ アプライアンスを通じて脅威を検知およびブロックするのに役立つ高度なルールセットを活用できます。

プルーフポイントの完全に検証された情報は、より深い文脈を提供し、意思決定を強化するためにセキュリティツールとシームレスに統合されます。その脅威インテリジェンス フィードは、SIEM、ファイアウォール、IDS、IPS、認証システムに直接フィードできます。

IDSと統合された場合、Proofpoint Emerging Threat Intelligenceは、ネットワークにおける悪意のある活動やポリシー違反の検知と防止を改善するのに役立ちます。Emerging Threat Intelligenceはまた、IPアドレスとドメインの個別のリストを提供し、サブスクライバーはSplunkテクノロジーアドオンを無料で使用できます。

詳細については、プルーフポイントにお問い合わせください。