侵入検知システム(IDS)は、既知の悪意のあるアクティビティ、不審なアクティビティ、またはセキュリティ・ポリシー違反について、ネットワーク・トラフィックやデバイスを監視する ネットワーク・セキュリティ ・ツールです。
IDSは、既知または潜在的な脅威についてセキュリティー管理者に警告を発したり、集中管理型のセキュリティー・ツールにアラートを送信したりすることで、ネットワーク上の脅威検知の迅速化と自動化に役立ちます。セキュリティー情報およびイベント管理(SIEM)システムなどの集中管理型のセキュリティー・ツールは、他のソースからのデータを組み合わせることで、他のセキュリティー対策では見過ごされてしまうようなサイバー脅威をセキュリティー・チームが特定し、対応するのに役立ちます。
IDSは、コンプライアンスの取り組みもサポートできます。PCI-DSS(Payment Card Industry Data Security Standard)などの特定の規制では、組織に侵入検知対策の導入を義務付けています。
IDS単体ではセキュリティー上の脅威を阻止することはできません。現在、IDS機能は通常、侵入防止システム(IPS)に統合または組み込まれています。IPSはセキュリティ上の脅威を検知し、自動的に脅威を阻止する機能を備えています。
Thinkニュースレター
AI、サイバーセキュリティ、データ、自動化に関する厳選されたニュースをThinkニュースレターで購読しているセキュリティリーダーに加わりましょう。専門家によるチュートリアルと解説をメールで直接配信することで、手軽に学ぶことができます。IBMプライバシー・ステートメントをご覧ください。
サブスクリプションは英語で配信されます。すべてのニュースレターに登録解除リンクがあります。サブスクリプションの管理や解除はこちらから。詳しくはIBMプライバシー・ステートメントをご覧ください。
IDSは、エンドポイントにインストールするソフトウェア・アプリケーション、またはネットワークに接続する専用のハードウェア・デバイスです。一部のIDSソリューションはクラウド・サービスとして利用できます。どのような形態であっても、IDSはシグネチャベースまたは異常ベース検知という2つの主要な脅威検知方法のいずれか、または両方を使用しています。
シグネチャベースの検知は、ネットワーク・パケットを分析して、攻撃シグネチャ(特定の脅威に関連付けられた固有の特性や動作)を検知します。特定のマルウェアの亜種に現れる一連のコードは、攻撃シグネチャの一例です。
シグネチャベースのIDSは、ネットワーク・パケットを比較する攻撃シグネチャのデータベースを維持します。パケットがシグネチャのいずれかに一致した場合、IDSがそれにフラグを立てます。シグネチャのデータベースを有効に活用するには、新たなサイバー攻撃が出現したり、既存の攻撃が進化したりした場合に、新しい 脅威インテリジェンス でデータベースを定期的に更新する必要があります。シグネチャの分析がまだ行われていないまったく新しい攻撃は、シグネチャベースのIDSを回避できます。
異常ベースの検知方法では、 機械学習 を使用して、通常のネットワーク・アクティビティのベースライン・モデルを作成し、継続的に改良します。次に、ネットワーク・アクティビティをそのモデルと比較し、通常よりも多くの帯域幅を使用するプロセスやデバイスがポートを開くといった逸脱にフラグを立てます。
異常ベースのIDSは異常な動作を報告するため、シグネチャベースの検知を回避する可能性がある新たなサイバー攻撃を検知できることがよくあります。例えば、異常ベースのIDSは、ゼロデイ・エクスプロイトを検知できます。ゼロデイ・エクスプロイトとは、ソフトウェア開発者がその脆弱性を認識し、パッチを適用する時間的余裕がないうちに、ソフトウェアの脆弱性を悪用する攻撃のことです。
しかし、異常ベースのIDSは誤検知が発生しやすい可能性もあります。権限を持つユーザーが機密性の高いネットワーク・リソースに初めてアクセスするなど、無害なアクティビティであっても、異常ベースのIDSを起動させる可能性があります。
レピュテーションベースの検知は、悪意のある、または疑わしいアクティビティに関連するIPアドレスやドメインからのトラフィックをブロックします。ステートフルプロトコル分析は、プロトコルの動作に重点を置いています。たとえば、短期間に多数の同時TCP接続要求を行う単一のIPアドレスを検知することで、サービス拒否(DoS)攻撃を特定できます。
どのような方法を使用しても、IDS は潜在的な脅威またはポリシー違反を検知すると、 インシデント対応 チームに調査するよう警告します。IDS はまた、セキュリティ・インシデントの記録を、独自のログに記録するか、 セキュリティ情報およびイベント管理 (SIEM) ツールを使用して記録します (下記の「IDS およびその他のセキュリティ・ソリューション」を参照)。これらのインシデント・ログは、新しい攻撃シグネチャの追加やネットワーク動作モデルの更新などによって、IDS の基準を調整するために使用できます。
IDS は、システム内のどこに配置され、どのようなアクティビティを監視するかに基づいて分類されます。
ネットワーク侵入検知システム(NIDS)は、ネットワーク上のデバイスへの入出力トラフィックを監視します。NIDSはネットワークの戦略的なポイントに配置され、多くの場合、ネットワーク境界のファイアウォールのすぐ後ろに設置されます。これにより、突破を試みる悪意のあるトラフィックを検知できます。
NIDSは、内部脅威やユーザー・アカウントをハイジャックしたハッカーを捕まえるために、ネットワーク内に設置されることもあります。たとえば、サブネット間を流れるトラフィックを監視するために、セグメント化されたネットワーク内の各内部ファイアウォールの背後にNIDSを配置する場合があります。
正規のトラフィック妨げにならないように、NIDSは「帯域外」に配置されることが多く、トラフィックが直接そこを通過しないようになっています。NIDSは、ネットワーク・パケットそのものではなく、そのコピーを分析します。そうすることで、正規のトラフィックは分析を待つ必要がなくなりますが、NIDSは引き続きは悪意のあるトラフィックを検知して警告することができます。
ホスト侵入検知システム (HIDS) は、 ラップトップ、ルーター、サーバーなどの特定のエンドポイントにインストールされます。HIDS は、そのデバイスとの間のトラフィックを含む、そのデバイス上のアクティビティのみを監視します。HIDS は通常、重要なオペレーティング システム ファイルのスナップショットを定期的に取得し、これらのスナップショットを経時的に比較することによって機能します。HIDS は、ログ ファイルの編集や構成の変更などの変更を検知すると、セキュリティ チームに警告します。
セキュリティ・チームは多くの場合、ネットワーク・ベースの侵入検知システムとホスト・ベースの侵入検知システムを組み合わせます。NIDS はトラフィック全体を監視しますが、HIDS は高価値資産の周囲に追加の保護を追加できます。HIDS は、感染したデバイスから拡散する ランサムウェア など、侵害されたネットワーク・ノードからの悪意のあるアクティビティを捕捉するのにも役立ちます。
NIDSとHIDSが最も一般的ですが、セキュリティ・チームは特殊な目的で他のIDSを使用することもできます。プロトコルベースのIDS(PIDS)は、サーバーとデバイス間の接続プロトコルを監視します。PIDSは、HTTPまたはHTTPS接続を監視するためにWebサーバー上に設置されることが多いです。
アプリケーション プロトコル ベースの IDS (APIDS) は アプリケーション層で動作し、アプリケーション固有のプロトコルを監視します。APIDS は、SQL インジェクションを検出するために、Web サーバーと SQL データベースの間に配置されることがよくあります。
IDSソリューションは多くの脅威を検知できますが、ハッカーはそれらを回避できます。IDSベンダーは、これらの施策を考慮してソリューションを更新することで対応しています。しかし、こうしたソリューションの更新は、ハッカーとIDSが互いに一歩先を行こうとする、一種のせめぎ合いを生み出しています。
一般的な IDS 回避戦術には次のようなものがあります。
分散型サービス妨害 (DDoS) 攻撃 -複数のソースから明らかに悪意のあるトラフィックを IDS に大量に送り込み、IDS をオフラインにします。IDS のリソースがおとりの脅威によって圧倒されると、ハッカーが忍び込みます。
スプーフィング- IP アドレスと DNS レコードを偽装して、トラフィックが信頼できる送信元から送信されているかのように見せかけます。
断片化- マルウェアやその他の悪意のあるペイロードを小さなパケットに分割し、署名を曖昧にして検知を回避します。ハッカーは、戦略的にパケットを遅らせたり、順序を間違えて送信したりすることで、IDS がパケットを再構築して攻撃に気づくことを防ぐことができます。
暗号化:IDS に対応する復号キーがない場合、暗号化されたプロトコルを使用して IDS をバイパスします。
オペレーターの疲労- インシデント対応チームの注意を実際の活動からそらすために、意図的に大量の IDS アラートを生成します。
IDS はスタンドアロンツールではありません。 これらは総合的なサイバーセキュリティ システムの一部となるように設計されており、多くの場合、次の 1 つ以上のセキュリティ ソリューションと緊密に統合されています。
IDS アラートは多くの場合、組織の SIEM に集められ、そこで他のセキュリティ ツールからのアラートや情報と組み合わせて、単一の一元化されたダッシュボードにすることができます。IDS と SIEM を統合することで、セキュリティ チームは脅威インテリジェンスと他のツールからのデータを使用して IDS アラートを強化し、誤報を除外し、修復のためのインシデントに優先順位を付けることができます。
前述したとおり、IPSは、IDSと同様にネットワーク・トラフィックを監視して疑わしいアクティビティを検知し、接続を自動的に切断したり、他のセキュリティー・ツールを起動したりすることで、脅威をリアルタイムで阻止します。IPSはサイバー攻撃を阻止することを目的としているため、通常はインラインに配置されます。つまり、すべてのトラフィックはネットワークの残りの部分に到達する前にIPSを通過する必要があるということです。
一部の組織では、IDSとIPSを別々のソリューションとして導入しています。多くの場合、IDSとIPSは1台の侵入検知および防御システム(IDPS)に組み込まれ、侵入検知、ログへの記録、セキュリティチームへの警告発信、自動対応を行います。
IDSとファイアウォールは相互に補完しあうものです。ファイアウォールはネットワークの外側に設置され、事前に定義されたルールセットを使用してトラフィックを許可または拒否を行う壁として機能します。IDSはファイアウォールの近くに設置されることが多く、ファイアウォールをすり抜けてくるものを捕えます。一部のファイアウォール、特に次世代ファイアウォールには、IDSおよびIPS機能が組み込まれています。