IDS(Intrusion Detection System)
目次
IDSとは
IDSとは、日本語にすると「侵入検知システム」で、その名前のとおり、不正アクセスを検知しネットワーク管理者に通知するためのシステムです。いわば、ネットアークにおける監視カメラの役割を担うのがIDSです。監視カメラが不審な人物がいるかどうかを監視するのと同じように、IDSはネットワークに対して不正アクセスが行われているかどうかを監視します。ただし、IDSは基本的に通知するまでで、実際の不正アクセスへの対応はネットワーク管理者が行うのが普通です。
IDSの必要性
セキュリティ対策というとファイアウォールが有名です。「ファイアウォールさえ導入すれば、もうセキュリティ対策は万全だ」という間違った認識もまかり通っているぐらいです。それでは、なぜ、ファイアウォールだけでなくIDSが必要なのでしょう? その理由は、ファイアウォールでは防ぐことができない攻撃があるからです。
たとえば、サーバやネットワークのサービス停止を狙うDoS(Denial of Service)攻撃※1があります。このDoS攻撃に利用されるパケットは、WebサーバへのTCPコネクション接続要求など、
「ファイアウォールにとっては正常なパケット」
です。インターネットにWebサーバを公開しているならば、WebサーバへのTCPコネクション接続要求は通さざるを得ません。そのため、DoS攻撃をファイアウォールで防ぐことができません。
このようなファイアウォールでは防ぐことができない不正アクセスに対応するためにファイアウォールを補完するシステムがIDSです。
※1:DoS攻撃はルータやサーバに大量のパケットを送信して、処理ができないようにし結果としてサービスを停止させることを狙った攻撃のこと。
不正アクセス検知の仕組み
IDSが不正アクセスを検知する仕組みには次の2つがあります。
- 不正検出
過去攻撃に使われたパターン(不正アクセスパターン)を「シグネチャー」として記録しておきます。IDSを通過するパケットがこのパターンに一致した場合、攻撃を受けていると認識し、ネットアーク管理者に通知します。製品に含まれるシグネチャーの数やおよびその内容はベンダによりさまざまです。ウィルススキャンソフトがコンピュータウィルスを検出する仕組みとよく似ています。 - 異常検出
通常のプロトコルの動作と異なった異常な振る舞いを検出する方法です。シグネチャーによる不正検出は、シグネチャーにない攻撃パターンは検出することができません。異常検出であれば未知の攻撃にも対応することができます。
IDSの監視対象
さらにIDSは監視対象によって、ホスト型IDSとネットワーク型IDSに分かれます。
ホスト型IDSは監視したい特定のホスト(コンピュータ)にIDSのソフトウェアをインストールし、そのホストのOSやアプリケーションのログを取得し、不正アクセスを検知します。ホスト型IDSはインストールしたホストに対する不正アクセスしか検知できないので、監視が必要な重要なホストすべてにホスト型IDSをインストールする必要があります。
ネットワーク型IDSは特定のネットワークセグメントを流れるパケットをすべて監視します。監視したパケットがシグネチャーに一致したり、通常ではありえない異常な動作を監視したりすることによって不正アクセスを検知します。IDSを設置しているネットワークセグメントに流れるパケットすべてを監視するために、スイッチのミラーポートにネットワーク型IDSを接続します。ただし、ネットワークトラフィックが増加すると、ネットワーク型IDSはパケットを取りこぼしてしまうこともあります。
ホスト型IDSとネットワーク型IDSは、どちらかのみではなく次の図のように組み合わせて設置することがほとんどです。
IDP(Intrusion Detection and Prevention)
IDSは基本的に不正アクセスを検知してネットワーク管理者に通知するためのシステムなので、不正アクセスへの対応は、「人」が行うことになります。具体的には、通知された不正アクセスのパケットを遮断するようにファイアウォールの設定を変更します。24時間365日の管理体制が整っているのならば、IDSで不正アクセスを検知したら即座に対応することができますが、そうではないなら、不正アクセスへの対策が遅れて被害が拡大してしまう可能性があります。
ファイアウォールの機能で、IDSと連携して自動的にファイアウォールの設定を変更できるものもありますが、IDSで検知してからの対応になるので、不正アクセスを検知してからのタイムラグが存在します。そこで、IDSを一歩進めて不正アクセスの検出とその防御も自動的に行うシステムがIDPです。
IDPは、ネットワーク型IDSのようにスイッチやハブに接続してネットワークを通過するトラフィックを監視するのではなく、複数のネットワークインタフェースを持ち、自分自身をネットワークトラフィックの通過ポイントとします(図3)。通過するトラフィックをすべて監視し、異常を検知するとパケットを破棄することによって攻撃を防御します。IDPはIDSとファイアウォールの機能を組み合わせて、より効果的なセキュリティ対策を行うための機器です。
また、IDPはIPS(Intrusion Prevention System)とも呼ばれることもあります。