IDS【Intrusion Detection System】侵入検知システム

概要

防御の対象により、ネットワーク全体を一括して監視する「ネットワーク型IDS」（NIDS：Network-based IDS）と、一台の機器を監視する「ホスト型IDS」（HIDS：Host-based IDS）に大別される。

検知・通報に留まらず、アクセスを遮断する等の防御措置を取る機能を持ったシステムのことは「IPS」（Intrusion Prevention System：侵入防止システム）という。

ネットワーク型IDS （NIDS：Network-based IDS）

NIDSはネットワークを流れる通信をリアルタイムに監視し、不正の兆しのある通信を発見すると記録をとって管理者に知らせる。

必ずしもネットワーク境界に設置する必要はなく、プロミスキャスモード（ステルスモード）と呼ばれる特殊な通信モードでネットワーク上のすべての通信を捕捉するようになっている製品が多い。

汎用のサーバ機で動作するソフトウェアとして実装された製品と、専用の通信機器（アプライアンス）として提供される製品がある。HIDSのように対象の個々のコンピュータにソフトウェアの導入や設定などを行う必要がなく、ネットワーク上のすべての機器に対する攻撃を一台でまとめて監視できる。

ホスト型IDS （HIDS：Host-based IDS）

HIDSはサーバに常駐して動作するソフトウェアで、そのサーバと他の機器との通信を監視して、攻撃の徴候とみなされるアクセスを検知するとサーバの管理者に知らせる。

外部からそのコンピュータへアクセスするための通信内容を取得・解析し、異常がないかを監視する。通信経路上でデータが暗号化されたアクセスも検知でき、不正アクセス等によってコンピュータ内部で生じた異常も監視することができる。

ソフトウェアの動作状況などをOSレベルで詳細に解析することができ、ネットワーク型では検知が難しい攻撃にも対処できる場合がある。ただし、HIDSが動作しているコンピュータしか監視できず、コンピュータごとに個別に導入・設定が必要となる。

シグネチャ検知とアノマリ検知

不正な通信の検知手法には主に二つの方式がある。「シグネチャ検知」（不正検出）と呼ばれる方式は、既知の攻撃手法について特徴的なパターンを登録したデータベースを用意し、パターンに一致するデータを含むパケットが見つかると攻撃の徴候として検出する。誤検知の可能性は低いが未知の手法による攻撃は見過ごしてしまう場合もある。

もう一つは「アノマリ検知」（異常検出）と呼ばれる方式で、普段とは大きく異なる事態や通常はありえない行動などを検知する手法である。いつもと異なる使い方などをすると攻撃と誤認識してしまうこともあるが、未知の手法による攻撃にもある程度対応できる長所がある。

侵入検知サービス （intrusion detection service）

ネットワークやサーバを監視し、外部から不正アクセスがあると管理者に通知してくれるサービスを侵入検知サービスという。

設定された条件に従って単純にパケットを選別するファイアウォールとは違って、ネットワークを通過するパケットをリアルタイムに監視し、ポートスキャンやセキュリティホールに対する攻撃、ブルートフォースなどパスワードに対する攻撃などを検知すると管理者に報告する。侵入検知サービス自体は不正アクセスを防御するわけではないが、不正アクセスや未遂の記録をとることによって効率的にネットワークのセキュリティを強化することが可能になる。