ホーム Topics 侵入検知システム 侵入検知システム(IDS)とは何ですか?
IBMの侵入検知ソリューションの詳細はこちら セキュリティー・トピックの最新情報を購読する
クラウド、携帯電話、指紋、チェックマークのピクトグラムをコラージュしたイラスト
IDSとは

侵入検知システム(IDS)は、既知の悪意のあるアクティビティ、不審なアクティビティ、またはセキュリティ・ポリシー違反について、ネットワーク・トラフィックやデバイスを監視する ネットワーク・セキュリティ ・ツールです。

IDSは、既知または潜在的な脅威についてセキュリティー管理者に警告を発したり、集中管理型のセキュリティー・ツールにアラートを送信したりすることで、ネットワーク上の脅威検知の迅速化と自動化に役立ちます。セキュリティー情報およびイベント管理(SIEM)システムなどの集中管理型のセキュリティー・ツールは、他のソースからのデータを組み合わせることで、他のセキュリティー対策では見過ごされてしまうようなサイバー脅威をセキュリティー・チームが特定し、対応するのに役立ちます。

IDSは、コンプライアンスの取り組みもサポートできます。PCI-DSS(Payment Card Industry Data Security Standard)などの特定の規制では、組織に侵入検知対策の導入を義務付けています。

IDS単体ではセキュリティー上の脅威を阻止することはできません。現在、IDS機能は通常、侵入防止システム(IPS)に統合または組み込まれています。IPSはセキュリティ上の脅威を検知し、自動的に脅威を阻止する機能を備えています。
IBM Security X-Force Threat Intelligenceインデックス

IBM Security X-Force Threat Intelligence Indexを使用することで、より迅速かつ効果的にサイバー攻撃に備え、対応するためのインサイトを得ることができます。
関連コンテンツ

データ侵害コスト・レポートに登録する
侵入検知システムの仕組み

IDSは、エンドポイントにインストールするソフトウェア・アプリケーション、またはネットワークに接続する専用のハードウェア・デバイスです。一部のIDSソリューションはクラウド・サービスとして利用できます。どのような形態であっても、IDSはシグネチャベースまたは異常ベース検知という2つの主要な脅威検知方法のいずれか、または両方を使用しています。
シグネチャベースの検出

シグネチャベースの検知は、ネットワーク・パケットを分析して、攻撃シグネチャ(特定の脅威に関連付けられた固有の特性や動作)を検知します。特定のマルウェアの亜種に現れる一連のコードは、攻撃シグネチャの一例です。

シグネチャベースのIDSは、ネットワーク・パケットを比較する攻撃シグネチャのデータベースを維持します。パケットがシグネチャのいずれかに一致した場合、IDSがそれを検知します。シグネチャのデータベースを有効に活用するには、新たなサイバー攻撃が出現したり、既存の攻撃が進化したりした場合に、新しい脅威インテリジェンスでデータベースを定期的に更新する必要があります。シグネチャの分析がまだ行われていないまったく新しい攻撃は、シグネチャベースのIDSを回避できます。
異常ベースの検出

異常ベースの検知方法では、機械学習を使用して、通常のネットワーク・アクティビティのベースライン・モデルを作成し、継続的に改良します。次に、ネットワーク・アクティビティをモデルと比較し、通常よりも多くの帯域幅を使用するプロセスやデバイスがポートを開くといった逸脱にフラグを立てます。

異常ベースのIDSは異常な動作を報告するため、シグネチャベースの検知を回避する可能性がある新たなサイバー攻撃を検知できることがよくあります。例えば、異常ベースのIDSは、ゼロデイ・エクスプロイトを検知できます。ゼロデイ・エクスプロイトとは、ソフトウェア開発者がその脆弱性を認識し、パッチを適用する時間的余裕がないうちに、ソフトウェアの脆弱性を悪用する攻撃のことです。

しかし、異常ベースのIDSは誤検知が発生しやすい可能性もあります。権限を持つユーザーが機密性の高いネットワーク・リソースに初めてアクセスするなど、無害なアクティビティであっても、異常ベースのIDSを起動させる可能性があります。
あまり一般的ではない検出方法

レピュテーションベースの検知は、悪意のある、または疑わしいアクティビティに関連するIPアドレスやドメインからのトラフィックをブロックします。ステートフル・プロトコル分析は、プロトコルの動作に重点を置いています。たとえば、短い時間内に多数のTCP接続要求を同時に行う単一のIPアドレスを検知することで、サービス拒否(DoS)攻撃を特定することができます。

どのような方法を使用する場合でも、IDSが潜在的な脅威やポリシー違反を検出すると、インシデント対応チームに通知して調査を開始します。また、IDSはセキュリティー・インシデントの記録を、独自のログまたはセキュリティー情報およびイベント管理(SIEM)ツールでログとして残します(下記「IDSおよびその他のセキュリティー・ソリューション」を参照)。これらのインシデント・ログは、新しい攻撃シグネチャを追加したり、ネットワーク動作モデルを更新したりするなど、IDSの条件をより厳密にするための基準として使用できます。
不正侵入防御システムのタイプ

IDS は、システム内のどこに配置され、どのようなアクティビティを監視するかに基づいて分類されます。

ネットワーク侵入検知システム(NIDS)は、ネットワーク上のデバイスへの入出力トラフィックを監視します。NIDSはネットワークの戦略的なポイントに配置され、多くの場合、ネットワーク境界のファイアウォールのすぐ後ろに設置されます。これにより、突破を試みる悪意のあるトラフィックを検知できます。

NIDSは、内部脅威やユーザー・アカウントをハイジャックしたハッカーを捕まえるために、ネットワーク内に設置されることもあります。たとえば、サブネット間を流れるトラフィックを監視するために、セグメント化されたネットワーク内の各内部ファイアウォールの背後にNIDSを配置する場合があります。

正規のトラフィック妨げにならないように、NIDSは「帯域外」に配置されることが多く、トラフィックが直接そこを通過しないようになっています。NIDSは、ネットワーク・パケットそのものではなく、そのコピーを分析します。そうすることで、正規のトラフィックは分析を待つ必要がなくなりますが、NIDSは引き続きは悪意のあるトラフィックを検知して警告することができます。

ホスト侵入検知システム (HIDS) は、 ラップトップ、ルーター、サーバーなどの特定のエンドポイントにインストールされます。HIDS は、そのデバイスとの間のトラフィックを含む、そのデバイス上のアクティビティのみを監視します。HIDS は通常、重要なオペレーティング システム ファイルのスナップショットを定期的に取得し、これらのスナップショットを経時的に比較することによって機能します。HIDS は、ログ ファイルの編集や構成の変更などの変更を検知すると、セキュリティ チームに警告します。

セキュリティ・チームは、ネットワーク・ベースの侵入検知システムとホスト・ベースの侵入検知システムを組み合わせて使用することがよくあります。NIDSはトラフィック全体を監視しますが、HIDSは価値の高い資産をさらに保護できるセキュリティ対策となります。HIDSは、感染したデバイスからランサムウェアが拡散するなど、ネットワーク・ノードが侵害された場合に悪意のあるアクティビティを検知するのにも役立ちます。

NIDSとHIDSが最も一般的ですが、セキュリティ・チームは特殊な目的で他のIDSを使用することもできます。プロトコルベースのIDS(PIDS)は、サーバーとデバイス間の接続プロトコルを監視します。PIDSは、HTTPまたはHTTPS接続を監視するためにWebサーバー上に設置されることが多いです。

アプリケーション プロトコル ベースの IDS (APIDS) は アプリケーション層で動作し、アプリケーション固有のプロトコルを監視します。APIDS は、SQL インジェクションを検出するために、Web サーバーと SQL データベースの間に配置されることがよくあります。

 
IDS回避戦術

IDSソリューションは多くの脅威を検知できますが、ハッカーはそれらを回避できます。IDSベンダーは、これらの施策を考慮してソリューションを更新することで対応しています。しかし、こうしたソリューションの更新は、ハッカーとIDSが互いに一歩先を行こうとする、一種のせめぎ合いを生み出しています。

一般的な IDS 回避戦術には次のようなものがあります。

  • 分散型サービス拒否 (DDoS) 攻撃 -複数のソースから明らかに悪意のあるトラフィックを IDS に大量に送り込み、IDS をオフラインにします。IDS のリソースがおとりの脅威によって圧倒されると、ハッカーが忍び込みます。

  • スプーフィング- IP アドレスと DNS レコードを偽装して、トラフィックが信頼できる送信元から送信されているかのように見せかけます。

  • 断片化- マルウェアやその他の悪意のあるペイロードを小さなパケットに分割し、署名を曖昧にして検出を回避します。ハッカーは、戦略的にパケットを遅らせたり、順序を間違えて送信したりすることで、IDS がパケットを再構築して攻撃に気づくことを防ぐことができます。

  • 暗号化 -使用 IDS に対応する復号キーがない場合に、IDS をバイパスするための暗号化プロトコル。

  • オペレーターの疲労- インシデント対応チームの実際の活動から注意をそらすために、意図的に大量の IDS アラートを生成します。
IDS およびその他のセキュリティソリューション

IDS はスタンドアロンツールではありません。 これらは総合的なサイバーセキュリティ システムの一部となるように設計されており、多くの場合、次の 1 つ以上のセキュリティ ソリューションと緊密に統合されています。
IDSおよびSIEM(セキュリティ情報およびイベント管理)

IDS アラートは多くの場合、組織の SIEM に集められ、そこで他のセキュリティ ツールからのアラートや情報と組み合わせて、単一の一元化されたダッシュボードにすることができます。IDS と SIEM を統合することで、セキュリティ チームは脅威インテリジェンスと他のツールからのデータを使用して IDS アラートを強化し、誤報を除外し、修復のためのインシデントに優先順位を付けることができます。
IDS および IPS (侵入防止システム)

前述したとおり、IPSは、IDSと同様にネットワーク・トラフィックを監視して疑わしいアクティビティを検知し、接続を自動的に切断したり、他のセキュリティー・ツールを起動したりすることで、脅威をリアルタイムで阻止します。IPSはサイバー攻撃を阻止することを目的としているため、通常はインラインに配置されます。つまり、すべてのトラフィックはネットワークの残りの部分に到達する前にIPSを通過する必要があるということです。

一部の組織では、IDSとIPSを別々のソリューションとして導入しています。多くの場合、IDSとIPSは1台の侵入検知および防御システム(IDPS)に組み込まれ、侵入検知、ログへの記録、セキュリティチームへの警告発信、自動対応を行います。
IDS とファイアウォール

IDSとファイアウォールは相互に補完しあうものです。ファイアウォールはネットワークの外側に設置され、事前に定義されたルールセットを使用してトラフィックを許可または拒否を行う壁として機能します。IDSはファイアウォールの近くに設置されることが多く、ファイアウォールをすり抜けてくるものを捕えます。一部のファイアウォール、特に次世代ファイアウォールには、IDSおよびIPS機能が組み込まれています。
関連ソリューション
IBM X-Forceインシデント対応サービス

組織のインシデント対応プログラムを改善し、侵害の影響を最小限に抑え、サイバーセキュリティー・インシデントへの迅速な対応を実現します。

 X-Forceインシデント対応サービスの詳細はこちら
IBM Security AIサイバーセキュリティー・ソリューション

脅威検知の迅速化、対応の迅速化、ユーザーIDとデータ・セットの保護を行うことで、アナリストの時間を最適化する、革新的なAI搭載ソリューション。

 AIサイバーセキュリティー・ソリューションの詳細はこちら
IBM Cloudネットワーク・セキュリティー

クラウド インフラストラクチャをより詳細に制御し、サーバーとネットワークを保護します。

 IBM Cloudネットワーク・セキュリティーの詳細はこちら
参考情報 インシデント対応とは何ですか?

正式なインシデント対応計画により、サイバーセキュリティ チームはサイバー攻撃やセキュリティ侵害による被害を制限または防止できます。

 ネットワークでの検知と対応(NDR)とは何か?

NDR は、人工知能、機械学習、行動分析を使用して、不審なネットワーク アクティビティを検出し、対応します。

 セキュリティー情報およびイベント管理(SIEM)とは何か?

SIEMは、セキュリティー関連のイベントをリアルタイムで監視・分析し、コンプライアンスや監査の目的でセキュリティー・データを記録します。
次のステップ

IBMのサイバーセキュリティー・サービスは、アドバイザリー、統合、マネージド・セキュリティー・サービスに加え、攻撃および防御機能を提供します。 弊社は、専門家からなるグローバルチームと独自のパートナー・テクノロジーを組み合わせて、リスクを管理するカスタマイズされたセキュリティ・プログラムを共創します。

 サイバーセキュリティー・サービスはこちら Thinkニュースレターの購読