IDS(侵入検知システム)のウイルス対策 | 種類や導入する上での注意は?

ビジネスで多数のシステムを運営する企業にとって、年々巧妙になるセキュリティ攻撃への対策は頭の痛い問題です。

中にはITリテラシーや予算の不足でなかなか取り組めていない企業もあるかと思います。

今回はセキュリティ対策の一つである、IDS(侵入検知システム)についてご紹介しましょう。

セキュリティ対策に取り組む企業の方、このテーマに興味のある一般の方の両方に役立つ内容となっています。

5分程度で読めますので、ぜひ最後までお付き合い下さい。

IDSとは何か

疑問

まずIDSとは何かを説明し、IDSで何ができるかについて紹介します。

概要

IDSについて知るため、まずはその言葉の意味を説明します。

IDSはIntrusion Detection Systemの略です。侵入(Intrusion)を検知する(Detection)システムという意味です。

本来はファイアウォールなどで外部からの不正アクセスや攻撃は防御されています。

万が一、ファイアウォールが突破された際にシステム管理者にいち早く知らせる仕組みがIDSです。

IDSで何ができるのか?

基本的にシステム外部からの侵入はファイアウォールが防ぎます。しかし、100%の精度で不正を検出できるわけではありません。

ファイアウォールはIPアドレスなどの表面的な情報はチェックしますが。データの中身までは検査できないのです。

ファイアウォールを通過してシステム内部に侵入した不正アクセスを、データの中身まで含めて検知するのがIDSの役割です。

いわばファイアウォールを補完する監視機能といえるでしょう。

IPSとの違いは?

よく似た用語にIPS(不正侵入防御システム)があります。

こちらは、IPSが持つ不正検知の機能に加えて、実際に不正アクセスを遮断するなどの機能が備わっています。

一方、IDSは不正を検知して管理者に知らせるまでが役目です。

IDSでは不正アクセスに対して何らかの防御措置が取られるわけではない点に注意しましょう。

IDSの種類

チェックリスト

IDSには監視対象に基づいて、2種類に分類されます。

ここからはネットワーク型とホスト型のIDSについて紹介しましょう。

ネットワーク型

ネットワーク型と呼ばれるIDSは、ネットワークを流れるデータやパケットを監視します。

特定のネットワーク上に設置され、ネットワーク内に不正アクセスがあった時点で検知できるのが強みです。

一方で、注意すべきなのはシステムの中で複数のネットワークに分かれている場合です。

この時は全てのネットワークを監視できず、IDSが設置されているネットワークしか監視対象となりません。

ホスト型

ホスト型と呼ばれるIDSは、特定のサーバ上に設置されるものです。

ネットワーク型と比べ、ファイルの改ざんやオペレーションミスによる指令など、不正アクセス以外の異常を検知できることがメリットです。

一方で守備範囲が設置されたサーバに限定されるため、運用が煩雑になることやコストがかさむことがデメリットです。

IDSの仕組み

パズル

IDSがどのように異常や不正アクセスを検知するのかについて説明します。

これから紹介する2つの方式はいずれも検知のためのデータ収集に関するものです。

事前に登録した不正パターンを検知する方式

IDSに事前に不正のパターンを学習させておき、パターンに合致したデータを不正とみなして検知する方式です。

いわゆるブラックリスト型の方式です。この時に学習させるパターンをシグニチャと呼びます。

注意すべき点は、シグニチャに登録されたパターンの不正しか検知できないことです。

異常パターンを検出する方式

正常なパターンを定義した上で、通常とは異なる動きをするデータを異常と判断して検知する仕組みです。

こちらはホワイトリスト方式と言えます。シグニチャを使う方式では検知できない、未知の異常を検知できることがメリットです。

未知の脅威に対するセキュリティレベルを上げたい場合に有効な方式と言えるでしょう。

一方で正常なパターンの定義に誤りがあると誤検知が頻発するため、初期設定には注意が必要です。

IDSで検知できない事例

困りごと

IDSは特定のネットワークやサーバが守備範囲となるため、WEBアプリへの攻撃が防げないことに注意が必要です。

ここでは、IDSで検知できないWEBアプリへの攻撃手法を紹介します。

SQLインジェクション

SQLインジェクションとは、WEBアプリを通してデータベースに不正に接続し、データの抜き出し改ざんを試みる手口です。

SQLというデータベースに対して命令する言語を使って行われます。WEBアプリはIDSの守備範囲ではないため、検知することができません。

クロスサイトスクリプティング

クロスサイトスクリプティングはユーザからの入力内容をWEB画面で表示するアプリにおいて、個人情報アクセス履歴を不正取得する手口です。

簡易的なプログラム(スクリプト)を標的のWEBアプリに仕掛け、訪問者から情報を盗みます。

WEBアプリ上での出来事のため、IDSの守備範囲外となってしまいます。

WEBアプリ上の不正を検知する仕組み

IDSではカバーできないWEBアプリ上での不正に対応できる仕組みがWAF(Web Application Firawall)です。

WEBアプリが動作するサーバとインターネットの間に設置し、WEBアプリケーションへの不正アクセスを防ぎます。

WEBアプリへの侵入対策に特化しているため、IDSとIPSの機能を補完する仕組みといえるでしょう。

IDS導入に向けた検討ポイント

チェックリスト

ここからは実際にIDS導入を検討される方のために、重要なポイントをお伝えします。

具体的に何をしたいのかを明確にする

検討

セキュリティ対策と一口に言っても、打つべき対策は目的によって異なります。

IDSの導入ありきで考えるのではなく、目的から逆算して検討を開始すべきです。

例えば、不正アクセス検知後の遮断までを実行したいのであればIDSでは不十分で、IPSの導入が必要となります。

また、WEBアプリへの攻撃を防ぐのであれば、IDS・IPSでは対応できません。

セキュリティを担保したい範囲を明確にする

ターゲット

企業で運営されるシステムは利用者数、対象業務、扱うデータの種類などが様々で、システムによって必要なセキュリティレベルが異なります。

どの範囲でセキュリティを担保すべきなのかを明確にすることが重要です。

その上で、ネットワーク型とホスト型のどちらにするかを選択するのが良いでしょう。

コストとセキュリティレベルのバランス

バランス

目的が明確になった後は、予算内で導入できる仕組みを検討します。

当然ながら導入する仕組みが高機能になるほどコストは上がっていきますので、どのレベルで妥協できるかを決めることが重要です。

例えば、システムで扱っているデータが個人情報マイナンバーを含む場合は、コストをかけてでも対策を打つ必要があります。

個人情報の漏洩は直接的な被害もさることながら、会社の信用を大きく損ねるので、決して無駄な投資にはなりません。

まとめ

今回はシステムへの不正アクセスを検知するIDSの仕組みついてご紹介しました。

セキュリティ対策の検討には、目的から逆算して必要な対策を考える姿勢が求められます。

IDSはセキュリティ対策における一つの手段にすぎません。

IDSでできることとできないことを正しく理解して、場合によっては手段を変えることも必要です。

実現したいセキュリティレベルコストを加味して、必要な対策を検討していきましょう。

最後までお読み頂きありがとうございました。

本サイトの記事は犯罪に巻き込まれない、犯罪を未然に防ぐという観点から書かれたものであり、 実際に犯罪に巻き込まれた場合や身に迫る危険がある場合はすぐに最寄りの警察署までご相談ください。

■警察庁 各都道府県警察の被害相談窓口
https://www.npa.go.jp/higaisya/ichiran/index.html