IDS(侵入検知システム)を使ったウイルス対策を解説! 種類や導入する上での注意は?検知できない事例や他ソフト併用もご紹介

ビジネスで多数のシステムを運営する企業にとって、年々巧妙になるセキュリティ攻撃への対策は頭の痛い問題です。

中にはITリテラシーや予算の不足でなかなか取り組めていない企業もあるかと思います。

今回はセキュリティ対策の一つである、IDS(侵入検知システム)についてご紹介しましょう。

セキュリティ対策に取り組む企業の方、このテーマに興味のある一般の方の両方に役立つ内容となっています。

5分程度で読めますので、ぜひ最後までお付き合い下さい。

IDSとは何か

疑問

まずIDSとは何かを説明し、IDSで何ができるかについて紹介します。

概要

IDSについて知るため、まずはその言葉の意味を説明します。

IDSはIntrusion Detection Systemの略です。侵入(Intrusion)を検知する(Detection)システムという意味です。

本来はファイアウォールなどで外部からの不正アクセスや攻撃は防御されています。

万が一、ファイアウォールが突破された際にシステム管理者にいち早く知らせる仕組みがIDSです。

IDSで何ができるのか?

基本的にシステム外部からの侵入はファイアウォールが防ぎます。しかし、100%の精度で不正を検出できるわけではありません。

ファイアウォールはIPアドレスなどの表面的な情報はチェックしますが。データの中身までは検査できないのです。

ファイアウォールを通過してシステム内部に侵入した不正アクセスを、データの中身まで含めて検知するのがIDSの役割です。

いわばファイアウォールを補完する監視機能といえるでしょう。

IPSとの違いは?

よく似た用語にIPS(不正侵入防御システム)があります。

こちらは、IPSが持つ不正検知の機能に加えて、実際に不正アクセスを遮断するなどの機能が備わっています。

一方、IDSは不正を検知して管理者に知らせるまでが役目です。

IDSでは不正アクセスに対して何らかの防御措置が取られるわけではない点に注意しましょう。

IDSの種類

チェックリスト

IDSには監視対象に基づいて、2種類に分類されます。

ここからはネットワーク型とホスト型のIDSについて紹介しましょう。

ネットワーク型

ネットワーク型と呼ばれるIDSは、ネットワークを流れるデータやパケットを監視します。

特定のネットワーク上に設置され、ネットワーク内に不正アクセスがあった時点で検知できるのが強みです。

一方で、注意すべきなのはシステムの中で複数のネットワークに分かれている場合です。

この時は全てのネットワークを監視できず、IDSが設置されているネットワークしか監視対象となりません。

ホスト型

ホスト型と呼ばれるIDSは、特定のサーバ上に設置されるものです。

ネットワーク型と比べ、ファイルの改ざんやオペレーションミスによる指令など、不正アクセス以外の異常を検知できることがメリットです。

一方で守備範囲が設置されたサーバに限定されるため、運用が煩雑になることやコストがかさむことがデメリットです。

IDSの仕組み

パズル

IDSがどのように異常や不正アクセスを検知するのかについて説明します。

これから紹介する2つの方式はいずれも検知のためのデータ収集に関するものです。

事前に登録した不正パターンを検知する方式

IDSに事前に不正のパターンを学習させておき、パターンに合致したデータを不正とみなして検知する方式です。

いわゆるブラックリスト型の方式です。この時に学習させるパターンをシグニチャと呼びます。

注意すべき点は、シグニチャに登録されたパターンの不正しか検知できないことです。

異常パターンを検出する方式

正常なパターンを定義した上で、通常とは異なる動きをするデータを異常と判断して検知する仕組みです。

こちらはホワイトリスト方式と言えます。シグニチャを使う方式では検知できない、未知の異常を検知できることがメリットです。

本サイトの記事は犯罪に巻き込まれない、犯罪を未然に防ぐという観点から書かれたものであり、 実際に犯罪に巻き込まれた場合や身に迫る危険がある場合はすぐに最寄りの警察署までご相談ください。

■警察庁 各都道府県警察の被害相談窓口
http://www.npa.go.jp/higaisya/ichiran/index.html