リモートワークの推進やモノ・サービスのシステム化によって以前よりもセキュリティに対する関心が企業や個人の中で高まっています。
セキュリティを高めるために、WAFやファイヤーウォールを導入している方も多いですが、それらと同等の重要なセキュリティシステムがIDSです。
そのため、システムを安全に保つために、IDSを無視することはできません。
この記事では、IDSとはなにかについて説明し、IPSの違いについてもご紹介します。
また、種類や仕組み、必要性についても解説しますので、導入を検討している方は参考にしてください。
目次
IDSとは?
IDSとは、Intrusion Detection Systemの略称で侵入検知システムのことです。
具体的には、ネットワークやサーバーのホスト内で不正アクセスやその兆候を検知して管理者に通知してくれるシステムを意味します。
セキュリティを語る上で欠かせないのがファイヤーウォールです。
IDSの説明を聞いてファイヤーウォールとなにが違うのかわからない方もいるでしょう。
ファイヤーウォールは外部ネットワークと内部ネットワークの間に設置された頑丈な壁です。
外部から不正アクセスを防ぎ、安全な内部ネットワーク環境を構築してくれます。
一方、IDSは外部から流れてくるパケットを監視して不正アクセスの兆候を知らせるシステムです。
外部と内部の中間に設置された監視カメラであるとイメージすればわかりやすいのではないでしょうか。
IDSを導入すると不正アクセスを検知してもらうことができます。
しかし、役割は管理者に不正アクセスやその兆候を知らせることだけです。
実際に、脅威から身を守るためには、それを防ぐ必要があります。
そのため、ファイヤーウォールと同様に、IDSを語る上でIPSというキーワードも欠かすことができません。
よく比較されるIPSとは?
IPSとは、Intrusion Prevention Systemの略称で、侵入防止システムのことです。
IPSは、外部から流れるパケットの中身を監視して、不正アクセスや兆候を検知し、通信を遮断してくれます。
つまり、通知ではなく、防御まで行ってくれるのがIPSであると考えるとわかりやすいでしょう。
IDSとIPSの違い
IDSとIPSには、具体的にどのような違いがあるのでしょうか。
わかりやすいように表にまとめましたので、それを参考に比較してみてください。
違い | IDS | IPS |
不正アクセスの検知 | ○ | ○ |
管理者への通知 | ○ | △ |
防御 | ☓ | ○ |
つまり、不正アクセスを検知したあとの行動に大きな違いがあります。
IDSは、監視カメラであり、検知することに特化しているのが特徴です。
逆に、IPSは検知と防御、両方の役割に担います。
IPSには、監視カメラと警備員が備わっているイメージです。
このように、両者には検知後の行動に大きな違いがあるといえるでしょう。
IDSの種類
IDSと一言で言っても数多くの種類が存在します。
代表的な種類は、下記の3点です。
- ホスト型
- ネットワーク型
- クラウド型
それぞれの種類について詳しく解説します。
ホスト型
ホスト型とは、VPSなどのサーバー上にインストールして使用する種類です。
主に、サーバーが受信したパケットやログ・イベント、ファイルの変更、システム・コールを監視します。
管理者が指定した特定の異変やイベントを検知して通知される仕組みです。
ホスト型は、検知したイベントの信頼性が高いため、誤検知の手間を少なくすることができます。
また、暗号化通信に対応することができる、不正アクセス以外のイベントを検知できるという点が大きなメリットです。
ネットワーク型
ネットワーク上の不正アクセスを監視してくれます。
一般的に、Network base Intrusion Detection Systemの略称、NIDSと呼ばれることが多いです。
コンピューターと外部をつなげるパイプの中で監視しているようなイメージになります。
現在は、コンピューター技術の進歩により、攻撃方法が多様化していますが、ネットワークの中で監視を行うことで、セキュリティ効果が高いです。
また、兆候を検知するだけでなく、感染後の異常も知らせてくれるので、監視の大部分をカバーしてくれます。
クラウド型
クラウド型は、クラウド上で監視してくれるIDSです。
ネットワーク構成の変更、新規ネットワークの構築が不要なため、メリットとして導入しやすいことが挙げられます。
また、設定もシンプルなため、運用のしやすさも特徴のひとつです。
しかし、通信障害などが発生すると大きな影響を受けてしまいます。
そのため、ベンダー依存であるといえるでしょう。
IDSが不正アクセスを検知する仕組み
不正アクセスを検知する仕組みは、大まかに分けて2つあります。
どのような仕組みで監視を行っているのか、ぜひチェックしてください。
Misuse Detection
1つ目は、Misuse Detectionです。
直訳すると悪用検出などと訳されます。
異常なシステムをあらかじめ定義して、それ以外を正常とするシステムです。
Misuse Detectionは、シグネチャ型に分類されます。
厳密に不正な動きを定義するのではなく、過去のアクセス要求と比較して許可・拒否の判断を下すというのが一般的です。
しかし、攻撃を検知するためには、データベースに記録された不正とする定義がなければなりません。
もちろん、定義されていない攻撃は検知できないため、すり抜ける可能性があります。
よく知られたサーバー攻撃やマルウェアへの検知は得意ですが、新しい攻撃には対応できないという点がデメリットです。
Anomaly Detection
Anomaly Detectionはアノマリ型に分類されます。
異常検出型と呼ばれることが多いです。
Anomaly Detectionによる検出の仕組みは、まず正常なアクセスをデータベースに記録します。
そして、アクセスに対してそのパターンと一致しないものはすべて異常と判断する仕組みです。
Misuse Detectionとは真逆の方法になります。
アノマリ型のメリットは、セキュリティがとても高いことです。
例えば、既存の攻撃はもちろんのこと、知られていない攻撃方法にも対応することができます。
そのため、アノマリ型を採用したシステムを導入すれば、セキュリティへの脅威を取りこぼす心配がありません。
しかし、データベースに登録されていないパターンはすべて異常と検知してしまうため、正常のアクセスに対しても異常であると判断してしまう恐れがあります。
IDSが必要な2つの理由
ファイヤーウォールがインストールされていないパソコンを使用することに不安を覚える方も多いでしょう。
なぜなら、ファイヤーウォールはパソコンを脅威から守ってくれるため、それがないとウイルスに感染してしまう恐れがあるからです。
しかし、現在はコンピューター技術の進歩により、ファイヤーウォールだけでは外的脅威から身を守ることは難しくなっています。
そのため、同じぐらいIDSは必要不可欠な存在です。
なぜ必要なのかその理由を2つご紹介しますので、ぜひ参考にしてください。
必要性①ファイヤーウォールをすり抜ける攻撃を検知できるから
1つ目の理由は、ファイヤーウォールで対処できない攻撃を検知できるからです。
基本的に、ファイヤーウォールはパケットフィルタリング型とゲートウェイ型に分類することができます。
前者は送信元のプロトコルやポート番号などを確認して侵入の許可・拒否の判断を下す種類です。
そのため、ヘッダー情報だけを見てパケットの中身は確認しません。
つまり、拒否されないヘッダー情報であれば、どのようなパケットを送信してもセキュリティを通過することになります。
また、後者はアプリケーションレベルで脅威かどうかを判断しますが、バグを狙った攻撃も存在しており、ファイヤーウォールを突破できるハッカーは珍しくないのです。
このように、ファイヤーウォールだけでは不十分なので、IDSが必要になります。
IDSは、パケットの中身を監視するため、ヘッダー情報が正しいものでも悪意のあるパケットであれば管理者に知らせてくれるシステムです。
そのため、導入することでより安全なシステムを構築することが可能になります。
必要性②業務停止を阻止できる
2つ目の必要性は、業務停止の事態を阻止できることです。
事前に不正アクセスを検知することで、対策を講じることができます。
つまり、システムダウンのリスクを大幅に下げることができるのです。
実際に、攻撃を受けて業務停止となれば、企業は大きな損失を被ることになるでしょう。
例えば、ECサイトがダウンすれば、本来得るはずだった顧客からの購入を逃すことになります。
また、ユーザー離れにつながる危険性もあるので、今後の経営にも大きな影響を与えるのです。
IDSを導入して素早く対応できるようにしておくことで、企業の経営リスクを下げることにもつながるので、必要性は高いといえるでしょう。
IDSのデメリットとは?
IDSには、いくつかのデメリットがあり、それを知らないとシステム運用に大きな影響を及ぼすことがあります。
具体的に2つのデメリットについて解説しますので、導入を検討している方は、ぜひ参考にしてください。
数多くのリソースを消費する
1つ目のデメリットは、多くのリソースを消費することです。
IDSを導入すると受信するパケットを常に監視している状態になります。
つまり、常にプロセスが稼働しているため、リソースを消費するのです。
もし、メモリ不足に陥った場合、DoS攻撃でIDSを無効化されてしまい不正アクセスを受ける可能性があります。
そのため、導入するときは十分なCPU、メモリを所有するサーバーを選択しなければなりません。
新しい攻撃に決して強くない
2つ目のデメリットは、新しい攻撃に対して弱いという点です。
新しい攻撃が見つかったとき、シグニチャを更新する必要があります。
しかし、反映されるまでに時間がかかるので、攻撃を検知できない可能性もあるのです。
また、ソフトウェアに対してパッチをあてるなどの対策も必要になるため、手間がかかります。
IDSが検知できる攻撃の種類
IDSで検知しやすい攻撃の種類は3つです。
どのような攻撃なのか詳しく解説します。
DoS攻撃
1つ目がDoS攻撃です。
Dos攻撃は、ApacheなどのWebサーバーに対して膨大なパケットを送信し、Webサーバーに負荷を与えて機能不全に陥らせる手口のことになります。
例えば、Webサイトで応募すると抽選で1名様に100万円当たるプレゼントキャンペーンを有名人が企画したとします。
すると、応募者が殺到してWebサイトが落ちることがあります。
また、有名なアイドルのライブ会場周辺のホテルに予約が殺到し、ホテル予約サイトが落ちたことも実際にあります。
このような状況を意図的に作り出すのがDoS攻撃です。
IDSを導入すれば、不正なパケットを検知してDos攻撃からWebサイトを守ってくれます。
DoS攻撃はIDSが検知を得意とする攻撃のひとつです。
BOF
BOFは、バッファオーバーフロー攻撃といいます。
バッファオーバーフローの脆弱性を突き、システムやアプリケーションに大量のデータを送信して動作異常を起こさせる攻撃のことです。
スタック領域型、ヒープ領域型などの種類があります。
実際に、日本ではBOFによって中央省庁のホームページが改ざんされる事件などが発生しています。
SYNフラッド攻撃
SYNフラッド攻撃は、TCPを悪用したハッキング手法です。
トランスポート層であるTCPに接続し、SYNパケットだけを送信します。
高負荷によってサーバーを麻痺させ、Webサーバーなどを落とす攻撃です。
この攻撃によってニコニコ動画が2007年サービス停止を余儀なくさせられる被害に遭っています。
IDSが苦手とする攻撃とは?
一方、IDSが苦手とする攻撃の種類も存在します。
実際に、検知できない攻撃をチェックしていきましょう。
SQLインジェクション
IDSが特に苦手とする攻撃がSQLインジェクションです。
SQLインジェクションとは、アプリケーションの脆弱性を利用したSQL文を作成・注入し、データベース操作を不正に行うことです。
実際に、SQLインジェクションの攻撃を受けるとデータを読み取られる心配があるため、情報漏えいに繋がります。
IDSは、このような難読化攻撃に弱いため、検知することができません。
まとめ
今回は、IDSの基本概要やIPSとの違い、仕組みや必要性について解説しました。
これまで説明した通り、セキュリティリスクを減らすためには、IDSの導入が欠かせません。
もし、攻撃の被害に遭うとサービスの停止を余儀なくさせられたり、ユーザー離れが発生したりする恐れもあります。
実際に、インターネットを利用する機会はものすごく多いため、外部と通信しながら安全な内部ネットワーク環境を構築することが求められるでしょう。
現在、社内のセキュリティが気になる方は、この機会に導入を検討しましょう。
