IDS・IPSとは？検知の仕組みから追加すべき対策までを解説

好きな所から読む

1 IDS・IPSとは？
- 1.1 IDS
- 1.2 IPS
2 IDS・IPSの検知の仕組みとは？
- 2.1 シグネチャ型
- 2.2 アノマリ型
3 IDS・IPSで防げる4つのサイバー攻撃とは？
4 ファイアウォールとの違いは？
5 IDS・IPSで防げないサイバー攻撃の種類とは？
6 IDS・IPSと併用すべき2つのセキュリティソリューションとは？
- 6.1 WAF
- 6.2 UTM

IDS・IPSとは？

外部からの不正アクセスやサイバー攻撃を防ぐ不正侵入検知防止システムと呼ばれるセキュリティソリューションです。IDSとIPSでは仕組みや役割が異なりますが、決定的な違いは防御処置の有無です。IDSが検知のみに留まるの対し、IPSは不正アクセスのブロックを遮断し脅威の侵入を防ぎます。

IDS

IDS(Intrusion Detection System：不正侵入検知システム)はリアルタイムで通信状況を監視し、外部からの不正アクセスの検知・通知を行うシステムです。
通信状況を監視する方法が2種類存在し、ネットワーク型とホスト型に分類されます。
一般的にはネットワーク型のイメージが広く定着しているIDSですが、近年はセキュリティレベル向上の面でホスト型が注目されています。

ネットワーク型(NIDS：Network-Based IDS）

監視対象のネットワーク上に流れるデータ通信を監視し、不正を感じた場合に異変を管理者に伝えるのがネットワーク型の特徴です。
外部からのアクセス監視を強化したい場合はルーターとファイアウォールの間、内部漏洩対策を強化したい場合は内部トラフィックの監視など、目的に応じてIDSの設置場所は異なります。

また、IDSをネットワーク上に設置するだけなので、比較的導入がしやすい点がメリットとして挙げられます。
ただし、監視したいネットワーク対象が複数あった場合は個々にIDSを導入しなければなりません。
さらに、ホスト型と異なり暗号化されたデータを検知できない点がデメリットとして挙げられます。

ホスト型(HIDS：Host-Based IDS）

監視対象のサーバーにインストールし、特定のデータファイルのログや改ざんの有無を監視します。
OSと連携して不正侵入を検知しており、監視対象のPCが多いほどインストールをする必要があるため、ネットワーク型と比べ利便性はやや低下します。
一方、外部からのHTTPS (Hypertext Transfer Protocol Secure) やVPN(Virtual Private Network）ネットワークを活用した場所からのアクセスなど、暗号化された通信の検知も可能な点がメリットとして挙げられます。

IPS

IPS(Intrusion Prevention System：侵入防止システム)は不正アクセスを検知した場合、ブロックまでの防御処置を実行するのが特徴です。
IPSも同様にネットワーク型とホスト型が存在しますが、基本的な特徴はIDSと似ています。

IDS・IPSの検知の仕組みとは？

不正アクセスの傾向をデータベースとして作成するシグネチャ型、正常なアクセスパターンから大きく外れたデータ通信は全て不正アクセスと見なすアノマリ型が存在します。
シグネチャ型は既知の攻撃や検知精度が高いというメリットがあり、アノマリ型は未知の攻撃にも対応可能です。

シグネチャ型

不正検出（Misuse Detection）型と呼ばれるシグネチャ型は、多くのIDS・IPSで採用されている検出方法です。
事前に不正アクセスのパターンを何種類か登録し、通信内容が一致した場合はプロックします。

つまり、過去のデータベースとアクセス要求があった通信内容を照合し、似たような要素が入っていないかを確認してアクセス許可の判断を下します。
既知のサイバー攻撃やマルウェアには強さを発揮するものの、データベースに登録されていない未知の攻撃に対しては対応できません。

アノマリ型

異常検出型（Anomaly Detection）と呼ばれるアノマリ型は正常なアクセスパターンを登録しておき、データベースとは一致しないアクセスだった場合は全て不正アクセスと判断する方法です。
シグネチャ型とは正反対のデータベースを作成し、不正アクセスの有無を判断します。

アノマリ型は未知のマルウェアやサイバー攻撃にも対応できる一方、シグネチャ型と比べると誤検知が多くなる点がデメリットとして挙げられます。

IDS・IPSで防げる4つのサイバー攻撃とは？

DDoS攻撃、SYNフラッド攻撃、バッファオーバーフロー攻撃など、複数のPCを利用して大量の負荷を掛けてくる攻撃に対して強さを発揮します。
また、自己増殖を行い感染スピードが速いのが特徴なワームも防げます。

DDoS攻撃

複数のPCを踏み台として利用し、大量のメールやリクエストを送ってターゲット対象のサーバーやWebサイトをシステムダウンに追い込む攻撃です。
DDoS攻撃の特徴は通常のアクセスと見分けが付きづらく、複数のPCを利用することで攻撃者の特定をすることが難しい点が特徴として挙げられます。
過去にはソニーやスクウェア・エニックスで被害が発生し、特に最近はセキュリティレベルが他のデバイス機器と比べて脆弱なIoT機器をターゲットにした攻撃が増大しています。

SYNフラッド攻撃

複数のPCから大量のスパムメールやリクエストを送ぅてサーバーリソースを低下させ、システムダウンに追い込む攻撃です。
SYNフラッド攻撃の特徴はトランスポート層における接続を悪用している点です。

TCPと呼ばれる接続を完了させるには、以下の流れで進む3ウェイ・ハンドシェイクを完了させないと接続が完了しません。
SYNフラッド攻撃はサーバーから2番のステップでサーバーから受け取ったデータを返さず、サーバーをレスポンス待ちの状態にして機能低下に追い込みます。

また、送信元の偽装や架空の送信先を指定することもできる点が、被害を拡大させる要因となっています。

3ウェイ・ハンドシェイクの流れ

ユーザーからSYNパケットをターゲットサーバーに送信
サーバーがユーザーにSYN/ACKパケットを返信
受け取ったユーザーがACKパケットを返信後、サーバーとの接続スタート

バッファオーバーフロー攻撃

情報を保管するバッファにキャパシティ以上のデータを送り、誤作動を起こさせる攻撃です。
OSやアプリのデータ処理における脆弱性を利用し、処理しきれなくなったデータを溢れさせPCを自由に操作できる状態に追い込みます。
Webサイトの改ざん・データ破壊の他、DDoS攻撃の踏み台としてPCを悪用されるリスクが高まります。

ワーム

自己増殖が可能なマルウェアで、PC機能の低下やSNS・メールの自動転送などといった悪影響を招きます。
感染スピードが非常に速いのが特徴で、過去にはランサムウェアの要素をミックスさせたWannaCryが世界中で猛威を振るいました。

ファイアウォールとの違いは？

ファイアウォールは外部から内部への不正アクセスをブロックするのが役割で、発信元や送信先(IPアドレス、ポート番号)から不正アクセスかどうかを判断しています。
ですが、データの中身まではチェックしないため、IPアドレスやポート番号が正しい内容であれば社内ネットワークへの侵入を許可してしまいます。

そのため、複数のPCを乗っ取って攻撃を仕掛けるDDoS攻撃やSYNフラッド攻撃はファイアウォールでは見分けられません。
一方、IDS・IPSの場合はシグネチャ型・アノマリ型に関わらず、アクセス内容がデータベースの内容と一致するかどうかで許可の判断を行うため、ファイアウォールでは防げない送信先を偽装して大量のデータを送りつけるDDoS攻撃やSYNフラッド攻撃などを防ぐことが可能です。

IDS・IPSで防げないサイバー攻撃の種類とは？

Webアプリケーションの脆弱性を突いた攻撃を始め、SQLインジェクションやクロスサイトスクリプティングには対応できません。

Webアプリケーションの脆弱性を突いた攻撃

Webサーバー上で作動するWebアプリケーションの脆弱性を突いた攻撃には対応できません。
IDS・IPSは内・外部のネットワークから隔離された場所に設置されネットワーク監視を行っているため、Webアプリケーションを狙った攻撃を検知する能力は備わっていません。

SQLインジェクション

アプリケーションの脆弱性を利用し、データベース言語「SQL」に侵入しデータの改ざん・破壊などを行う攻撃です。
オンラインショップを運営し、顧客の個人情報やクレジットカード情報などを扱うWebサイトや企業での被害が増加しています。

クロスサイトスクリプティング

掲示板やTwitterなど、入力フォームを利用したWebアプリケーションの脆弱性を突いた攻撃です。
犯罪者がスクリプト付きの不正リンクを入力フォームに貼り、ユーザーがリンクをクリックすることで別のWebサイト(クロスサイト)で不正行為が実行されます。
画面に入力フォームや広告表示が何度も出現する場合は注意が必要です。

IDS・IPSと併用すべき2つのセキュリティソリューションとは？

IDS・IPSではカバーできないWebアプリケーションの脆弱性を突いた攻撃をカバーするWAF(Web Application Firewall)は、必ず導入すべきです。
また、UTM(Unified Threat Management：総合脅威管理)は1台で複数の機能を搭載しており、低コストでセキュリティレベルを高められます。

WAF

WAFはGmailやYouTubeなど、Webアプリケーションの脆弱性を狙ったサイバー攻撃を防ぐことに特化したセキュリティソリューションです。
ファイアウォールのアプリケーション版として認識されており、SQLインジェクションやクロスサイトスクリプティングを防ぎます。
WAFの特徴は外部からのアクセスをシグネチャを利用して判断している点です。

シグネチャはブラックリスト型とホワイトリスト型に分類されます。
ブラックリスト型は既知の攻撃への検知に強さを見せる一方、未知の攻撃には対応できません。
ただし、シグネチャのデータは定期的にアップデートされており、クラウド型のWAFを利用するとベンダー側でアップデートの対応を行ってくれます。

ホワイトリスト型は正常なアクセスとして登録したパターン以外のアクセスを全てブロックします。
未知の攻撃にも対応できる一方、個々の企業でシグネチャの内容を定義する必要があるため、専門的な知識やスキルを持った社員が必要です。
そのため、セキュリティ分野に精通した社員がいない企業にはややハードルが高くなっています。

また、Webアプリケーションを脆弱性を完全に無くした状態で導入するのは困難です。
納期までの間に全ての作業工程で脆弱性を見つけ出すのは難しく、開発者が気づかない脆弱性を犯罪者が見つけることもあります。
Webアプリケーションの脆弱性攻撃に対応するためにも、WAFの導入は必要です。

WAFの機能

	機能・メリット	防御が可能なサイバー攻撃
外部からのアクセス監視・制御	シグネチャを基にアクセスの許可を判断ブラックリスト型とホワイトリスト型を事前に登録 Webアプリケーションを狙った攻撃のリスク軽減	SQLインジェクションクロスサイトスクリプティングバッファオーバーフロー攻撃ブルートフォースアタック DDoS攻撃ディレクトリトラバーサル
シグネチャ自動更新機能	クラウド型はベンダーが自動更新新しいサイバー攻撃にも対応管理者の業務負担軽減
Cookie保護	犯罪者からの攻撃対象を減少不正アクセスのリスク軽減
特定URL除外・IPアドレス拒否	警戒する必要が無いと判断したWebサイトを防御対象から除外特定のIPアドレスからのアクセスをブロック利便性の確保不正アクセスのリスク軽減
ログ・レポート機能	検知した不正アクセスやサイバー攻撃の確認セキュリティ対策を見直す参考データとして活用

UTM

UTMは複数の機能を兼ね備えたセキュリティソリューションです。
IDS・IPSの機能も備えており、IDS・IPSシステムを単独で導入するよりも多くの攻撃に対応できる体制を低コストで整えられます。

UTMの機能

	機能	防げる攻撃
ファイアウォール	外部からの不正アクセスをブロック	DDoS攻撃スパムメールフィッシング詐欺 SYNフラッド攻撃バッファオーバーフロー攻撃ワーム
アンチウイルス	スマートフォンやタブレット端末に入ったウイルスを検知・駆除
IDS・IPS	外部からの不正アクセスの検知・遮断
アンチスパム機能	スパムメールやフィッシング詐欺対策
アプリケーション制御	業務上必要性が低いと判断したWebアプリケーションの使用制限・禁止部署やチームごとにアクセス範囲を制限ユーザー行動の可視化
Webフィルタリング	業務上必要性の低いWebサイトの閲覧を制限・禁止社員が許可した以外のWebサイトにアクセスした場合、ブロック