Zenn
🔩

IDS入門 - Cyber Security Roadmap

2024/11/29に公開
ids
tech

IDS

はじめに

セキュリティ対策には、システムに侵入されないよう防ぐ「防御」のみならず、万が一侵入された場合の「検知」が重要です。このような不正な侵入を検知する役割を担うのが、侵入検知システム(IDS: Intrusion Detection System) です。

IDSは、ネットワークやシステム上の異常なアクティビティを監視し、不正アクセスや攻撃の兆候を検知します。

今回の記事では、以下の内容を通じてIDSの基本を学んでいきます:

  • IDSとは?
  • 主なIDSの種類
  • IDSの仕組み
  • 実際の活用例
  • セキュリティ向上のためのポイント

IDSとは?

IDS(Intrusion Detection System)は、ネットワークやホスト(サーバーやPC)上で発生するアクティビティを監視し、攻撃の兆候を検知するシステムです。IDSの目的は、セキュリティ侵害が発生している可能性を迅速に知らせ、被害を最小限に抑えることです。

IDSの役割

  1. 監視:トラフィックやシステムログをリアルタイムで監視します。
  2. 検知:攻撃パターンや異常な行動を見つけ出します。
  3. アラート:攻撃が疑われる場合に管理者に通知します。

IDSは単体でも機能しますが、前回の投稿で解説したSIEM(セキュリティ情報イベント管理)などのシステムと連携することで、より高度なセキュリティ対策が可能になります。
例えば、IDSが検知したアラートをSIEMが統合・分析し、複雑な攻撃パターンや相関関係を明らかにすることで、セキュリティ体制全体を強化する役割を果たします。

イメージとしては、IDSはシステムの「目」としてリアルタイムの異常を捉え、SIEMはそれを「頭脳」として広範囲で分析する関係にあり、両者を併用することでシステムの防御力が向上します。

主なIDSの種類

IDSには、監視対象や動作原理に基づいて以下の2種類があります:

1. ネットワーク型IDS(NIDS: Network-based IDS)

  • 概要:ネットワーク上のトラフィックを監視し、不正な通信を検知します。
  • 設置場所:ネットワークのゲートウェイやスイッチ。
  • :Snort、Suricata。
  • 得意分野:DoS攻撃やポートスキャンなどのネットワーク攻撃の検知。

2. ホスト型IDS(HIDS: Host-based IDS)

  • 概要:特定のホスト(サーバーやPC)上のログやファイル変更を監視します。
  • 設置場所:サーバーやクライアントPC。
  • :OSSEC、Tripwire。
  • 得意分野:ログイン試行やファイル改ざんの検知。

IDSの仕組み

IDSは、以下の手法で不正行為を検知します。

1. シグネチャベース検知

  • 攻撃パターン(シグネチャ)をあらかじめ登録しておき、それに一致するアクティビティを検知。
  • メリット:既知の攻撃に対して正確に検知可能。
  • デメリット:未知の攻撃には対応できない。

2. 異常検知(アノマリーベース検知)

  • 通常のアクティビティを学習し、それから逸脱する行動を異常として検知。
  • メリット:未知の攻撃にも対応可能。
  • デメリット:誤検知(False Positive)のリスクがある。

3. ハイブリッド型

  • シグネチャベースと異常検知を組み合わせた手法。幅広い攻撃を効率的に検知可能。

実際の活用例

例1: ネットワーク型IDSでDDoS攻撃を検知

  1. NIDSをネットワークのゲートウェイに設置。
  2. 大量の不正トラフィックを検知し、管理者にアラートを送信。
  3. 管理者はファイアウォールで攻撃元をブロック。

例2: ホスト型IDSでファイル改ざんを検出

  1. 重要なサーバーにHIDSを導入。
  2. Webサーバーの設定ファイルが予期せず変更されたことを検知。
  3. 直ちに管理者が対応し、不正アクセスの痕跡を確認。

セキュリティ向上のためのポイント

  1. IDSとIPSの併用
    IDSは検知、IPS(侵入防止システム)は防御を担当します。両者を組み合わせることでセキュリティを強化できます。

  2. ルールの定期更新
    シグネチャベース検知を使う場合、新たな攻撃手法に対応するためにルールを定期的に更新しましょう。

  3. 適切なアラート設定
    誤検知を減らし、本当に重要なアラートだけを受け取るように設定することで、管理者の負担を軽減します。

  4. 監視の統合
    SIEM(セキュリティ情報イベント管理)と統合することで、IDSのデータを他のセキュリティデバイスと連携させ、効率的なインシデント対応が可能になります。

まとめ

IDSは、ネットワークやシステムの監視と攻撃検知のための基本ツールです。NIDSとHIDSを適切に使い分けることで、システム全体のセキュリティを強化できます。

一方、IDSは「検知」が主な役割であり、実際に攻撃を防ぐためには他のツールや対策との併用が望ましいと思います。

IDSを活用することで、より堅牢なシステムを作ることができます。

Discussion