侵入検知システムとは
An 侵入検知システム(IDS)は、もともとアプリケーションやコンピュータを標的にした脆弱性エクスプロイトを検出するために構築されたネットワーク セキュリティ テクノロジです。そのIDSソリューションを拡張して、脅威を検出するだけでなくブロックすることもできるようにするのが侵入防御システム(IPS)です。そのため、IPSを導入してIDS/IPSテクノロジを活用できるようにすることは有力な選択肢の一つとなっています。ここでは、IDSの導入を定義する設定と機能について詳しく説明します。
IDSは脅威を検出できさえすればよいので、ネットワーク インフラストラクチャ上の帯域外(アウトオブバンド)に配置されます。したがって、IDSは正確には情報の送信者と受信者を結ぶリアルタイムの通信経路ではありません。多くの場合、IDSソリューションは、TAPまたはSPANポートを活用してインライン トラフィック ストリームのコピーを分析します(したがって、インライン ネットワークのパフォーマンスに影響を与えることはありません)。
IDSが最初にそのように開発されたのは、当時は侵入検知に必要な詳細な分析を、ネットワーク インフラストラクチャの直接の通信経路上にある機器に即した速度で実行できなかったからです。
上記のように、IDSはリッスン専用デバイスでもあります。IDSはトラフィックを監視してその結果を管理者に報告しますが、検出されたエクスプロイトがシステムを乗っ取らないように自動的に措置を講じることはできません。攻撃者はネットワークに侵入しさえすればすぐにでも脆弱性を悪用できるため、IDSを導入するだけでは防御デバイスとしては不十分です。
以下の表に、IPSとIDSそれぞれの導入における技術面での違いについて簡単にまとめます。
| IPS | IDS | |
|---|---|---|
| ネットワーク インフラストラクチャ内での配置 | 直接的な通信回線の一部(インライン) | 直接的な通信回線の外側(アウトオブバウンド) |
| システムのタイプ | アクティブ(監視と自動防御)とパッシブのいずれかまたは両方 | パッシブ(監視と通知) |
| 検出メカニズム | 1. 統計的な異常ベースの検出 2.シグネチャ検出: - エクスプロイト対応シグネチャ - 脆弱性対応シグネチャ |
1.シグネチャ検出: - エクスプロイト対応シグネチャ |