
IDS・IPSを推進する開発パートナー選びのポイント
「IDS」「IPS」とは何なのか、さっぱりわからないという方は多いのではないでしょうか。
「IDS」「IPS」はIT用語です。
「IDS」「IPS」はIT機器を守るセキュリティー製品の一つです。
企業・団体のコンピューター・システムのセキュリティー対策に貢献します。
「IDS」の英語名称はIntrusion Detection Systemで、頭文字3文字で構成される略称です。
「IPS」の英語名称はIntrusion Prevention Systemで、頭文字3文字で構成される略称です。
日本語では、通信状況の監視をして異常があると管理者へ警告します。
不正な通信を検知すると遮断を行うセキュリティー・システムです。
従来の「IDS」は監視と警告を担います。
「IPS」は監視と警告に通信異常時に通信の遮断までを実行するセキュリティー・システムのことでした。
近年では、技術の進歩により「IDS」のカテゴリーで通信異常時の遮断をするプロダクトがあります。
「IPS」「IDS」がサイバー攻撃等を検知する方法は、攻撃パターンをシグネチャ(コンピューター・ウイルスに含まれる特徴的なデータ断片・攻撃者からの特徴的な受信データパターンのことを示します。)に登録します。
シグネチャと一致する通信を攻撃として検知する方法、正常な通信状況を機械学習した後に、学習していない異常な通信状況を検知する方法があります。
これから「IDS」「IPS」とは何か、その仕組みを紹介していきます。
目次
1.IDS・IPSとは何か?
「IDS」「IPS」は、ネットワークに不正侵入したコンピューター・ウイルスを検知・防御するシステムのことです。
ネットワークのセキュリティーを防衛するアプリケーションやファイアウォール(ネットワークの防火壁)が知られています。
これから「IDS」「IPS」とは何かを紹介していきます。
「IDS」とは何か紹介します。
「IDS」の英語表記はIntrusion Detection Systemです。
表記の意味は、Intrusion(侵入)をDetection(検知・検出)するSystem(システム・仕組み)となり、和訳すると「侵入検知システム」です。
「IDS」は企業・団体のシステムやイントラネット環境に外部から不正侵入をされたときや、その兆しが予想・確認したときにネットワーク管理者で警告・通知する仕組みです。
「IPS」とは何か紹介します。
「IPS」の英語表記はIntrusion Prevention Systemです。
表記の意味は、Intrusion(侵入)をPrevention(防御・防衛)するSystem(システム・仕組み)となり、和訳すると「侵入防御システム」です。
「IPS」はファイアウォール(ネットワークの防火壁)で防御できない脅威を「IPS」は防御できます。
セキュリティー強化としてファイアウォール(ネットワークの防御)に続けて「IPS(OSやアプリケーションの防衛)」を導入するケースが多くあります。
2.IDSとIPSの違い
「IDS」と「IPS」の違いを紹介します。
「IDS」「IPS」は外部からの不正なアクセスを検知するだけでなく、企業・団体の機密情報が外部へ漏洩していることを検知します。
検知したことをネットワーク管理者に警告する仕組みは共通機能です。
「IDS」「IPS」の違いはどこにあるのでしょうか?「IDS」「IPS」は、企業・団体のシステムやネットワークに、外部からの不正侵入と外部への不正流出を検出するシステムです。
「IDS」「IPS」の相違点は、不正アクセス検出後のアクションが異なります。
「IDS」は不正アクセスを検出後、ネットワーク管理者に通知・警告するだけで、防御・防衛処置をしません。
「IPS」は不正アクセスを検出後、ネットワーク管理者に通知・警告すると同時に、直ちに通信を遮断する防御・防衛処置を実行します。
「IDS」は不正アクセスの検知をネットワーク管理者に通知・警告するだけなので、迅速な処置をしないと被害が拡散するリスクがあります。
「IPS」は「IDS」機能に加えて通信を遮断して被害を最低限の抑える処置をするリスク回避機能があります。
ファイアウォール・WAF(Webアプリケーションの脆弱性を悪用した攻撃からWebアプリケーションを保護するセキュリティー対策の仕組みです。)のコンピューター・ウイルス対策アプリケーションと比較すると知名度がありません。
ファイアウォール・WAFに「IDS」「IPS」を連携して、企業・団体のシステム・イントラネット環境を強靭なセキュリティーで防御する環境を構築できます。
3.IDSとIPSの種類
「IDS」と「IPS」の種類を紹介します。
「IDS(不正侵入検知システム)」は、「NIDS(Network-Based IDS(ネットワーク型IDS))と、「HIDS(Host-Based IDS(ホスト型IDS))の2種類があります。
「IPS」も同様にネットワーク型の「NIPS」とホスト型の「HIPS」の2通りがあります。
それぞれの特徴ですが、「NIDS」「NIDS」は、ネットワーク上でトラフィックを監視して不正アクセスを検知して通知・警告する仕組みです。
「NIPS」「HIPS」は、ホストコンピューターに常駐して不正アクセスの侵入を検知して通信を遮断する仕組みです。
これからネットワーク型、ホスト型を紹介していきます。
第1に「NIDS」「NIPS」ネットワーク型の仕組み紹介します。
ネットワーク型は、ネットワーク上の通信パケットを収集して、異常があるか解析をします。
通常は、企業・団体のイントラネット環境に配置する仕組みです。
ただし、外部公開用のサーバーなどの「DMZ(非武装領域)」はイントラネット環境外・ファイアウォール外に配置するので、「NIDS」「NIPS」を個別に設定する必要があります。
第2に「HIDS」「HIPS」ホスト型の仕組みを紹介します。
ホスト型は、監視対象のサーバー機器にインストールして、ログファイル・ファイルの不正行為を監視します。
OSがもつ監視機能と連携して不正な侵入を検出・検知します。
インストールしたサーバー機器に有効な仕組みです。
サーバー機器が複数あるケースでは、それぞれにインストールする必要になります。
一般的にネットワーク型はホスト型と比較すると導入が容易です。
さらに不正アクセスをリアルタイムで検出・検知して警告するメリットがあります。
4.IDSとIPSが不正侵入を検知する仕組み
「IDS」「IPS」が不正侵入を検知する仕組みを紹介します。
検知する仕組みは「不正検出型」と「異常検出型」の2種類があります。
これから2種類の仕組みを紹介します。
第1に「不正検出型」です。
市場に流通している「IDS」「IPS」が採用している「不正検出(Misuse Detection)」は、事前に登録されたシグネチャ(前章で紹介しています。)と照合させて不正侵入を検出・検知する仕組みです。
「IDS」がシグネチャと合致した通信パケットを検知すると、不正アクセスを・サイバー攻撃があるとみなしてのネットワーク管理者に通知・警告する仕組みです。
「不正検出型」今までに発生した不正アクセスのパターンだけを検出・検知します。
第2に「異常検出型」です。
「異常検出(Anomaly Detection)」は、平時のトラフィックと異質なトラフィックを検出・検知する仕組みです。
今までに経験したことがない、未知の不正アクセス・不正侵入を検出・検知することができます。
平時のログイン時刻・トラフィック量・使用アプリケーション以外のコンテンツを検知しると、異常と判断してネットワーク管理者に通知・警告します。
最近の市場に流通している「IDS」製品は、「不正検出型」「異常検出型」検出技法を搭載しています。
5.IDS・IPSと類似した仕組みのWAF
「IDS」「IPS」と類似した仕組みの「WAF」を紹介します。
「WAF」は、外部ネットワークからの不正アクセスを防ぐ、Webアプリケーションファイアウォールの仕組みです。
WAFはWebアプリケーションの脆弱性を狙った不正アクセスから防御するシステムです。
「WAF」の特徴は、既存のファイアウォール・「IDS」「IPS」で防御することができない範囲を防御する仕組みです。
「WAF」は通信データの内容をアセンブリ単位に解析します。
ファイアウォール・「IDS」「IPS」「WAF」は外部からの不正アクセスを防御する機能を有していますが、監視対象や目的、防衛範囲が異なります。
上記機能を組み合わせることで、より強靭なセキュリティー・システムを構築することができます。
6.IDS・IPSを推進する開発パートナー選びのポイント
「IDS」「IPS」の導入は、企業・団体が導入している基幹システムの開発パートナーに相談してみましょう。
基幹システムを導入している開発パートナー企業はファイアウォール設置・設定とコンピューター・ウイルス防衛アプリケーションを導入しています。
現在のイントラネット環境に「IDS」「IPS」が導入されているか否かは、営業担当かネットワークSEに確認すれば、どのような機能の防衛アプリケーションであるか説明してくれます。
さらに全社のイントラネット環境を強靭にする検討をするのであれば、現行の基幹システムを導入した開発パートナーの営業担当やネットワークSEに相談してみましょう。
まとめ
最近のコンピューター・ウイルスは、ウイルスを防御するアプリケーションよりも高性能な攻撃をするよう進化をしています。
もし、コンピューター・ウイルスに感染したとき、元通り復号できないことがあります。
そこで重要なことが、日々のシステム・データのバックアップです。
元通りに復号できなときは、バックアップをリストアして復号して対応します。
システム開発のITパートナー探しをされるのであれば
システム開発のITパートナー探しをされるのであれば「システム開発コンシェルジュ」で是非ご相談いただければと思います。
以下のフォームより開発でご相談いただきたい内容などご相談ください。