IDSとIPS

株式会社タケキ IT教育事業部出口雄一

2006.09.05

ポイント

●IDS（Intrusion Detection System）とは不正侵入検知システムのことである。ネットワーク型IDS（NIDS）とホスト型IDS（HIDS）がある
●ネットワーク型IDS（NIDS）は，ネットワークを流れるパケットを監視して不正侵入（攻撃）を検知する。ホスト型IDS（HIDS）は，監視対象となるホスト（サーバー）にインストールして使う。ファイルの改ざん検知の機能を持つ製品もある
●IPSとは不正侵入予防システムのこと。不正と判断したパケットを遮断する

　オフィス・ビルの入口で入室管理を行っても，不正な侵入を完全に防ぐことは難しいものです。そこで，館内に警備用のカメラを設置したり，警備員を巡回させたりして，不正な侵入者がいないかをチェックしたりします。ネットワーク・セキュリティの世界でも同様で，ファイアウォールだけでは不正侵入を完全に防ぐのは難しく，IDSと呼ぶ侵入検知のための仕組みを併用したりします。今回は，このIDSを学びます。

IDSとは

　IDSはIntrusion Detection Systemの略で，日本語では不正侵入検知システムと訳します。ネットワークを流れるパケットを監視したり，サーバー上で受信データやログを調べて不正侵入を見つけ，あらかじめ設定されていたアクション（例えば，警告メールを管理者へ送信）を起こします。

　不正侵入を検知したり攻撃を防ぐのであれば，ファイアウォールにもできそうです。しかし，ファイアウォールだけでは，外部からの攻撃を完全に防ぐのは困難です。図1を例に確認しておきましょう。

図1 ファイアウォールは正当なパケットと攻撃パケットを区別できない場合がある

　DMZに置いたWebサーバーを外部に公開するとき，ファイアウォールは外部からWebサーバーへのアクセスを許可します。ここで悪意のあるユーザーが，このWebサーバーに対してサービス妨害を目的に短時間に多数のアクセスを繰り返す攻撃を仕掛けてきたとしましょう。攻撃パケットといっても，パケットそのものは通常のアクセス要求パケットと同じものです。このため通常のファイアウォールは攻撃パケットだと判断できません。このようなケースでも，適切に攻撃パケットを見つけるにはIDSが必要になります。

ネットワーク型IDSとホスト型IDS

　不正侵入検知システムには，大きく分けてネットワーク型IDS（NIDS：Network-Based IDS）とホスト型IDS（Host-Based IDS）があります。

　ネットワーク型IDSは，監視対象となるネットワーク（セグメント）に設置します。そして，当該ネットワーク（セグメント）を流れる通信パケットを監視することによって不正侵入や攻撃がないかをチェックします。

　一方，ホスト型IDSは，監視対象のサーバーなどにインストールして使います。不正侵入検知のほか，サーバー内にあるファイルの改ざんを検知する機能を持った製品もあります。

図2 ネットワーク型IDSとホスト型IDS

　ネットワーク型とホスト型という分け方以外に，不正侵入や攻撃を見つける手法によってIDSを分類することもできます。多くのIDSが採用している発見方法が，シグニチャ型と呼ばれるものです。これは，不正侵入・攻撃パケットを見つける際の手がかりにシグニチャあるいはシグネチャと呼ばれるルール・パターンを使う方法です。IDSはシグニチャと一致したパケットを見つけると，不正侵入（攻撃）あるいは攻撃の予兆とみなします。

　もう一つの発見方法はアノマリ型（異常検出型）です。通常時のプロファイルを設定しておき，これに違反した場合に異常とみなす検知方式です。例えば，通常時のトラフィック量のしきい値を設けておき，これを超えた流量があった場合は異常とみなします。

　なお最近のIDS製品は，シグニチャ型とアノマリ型の両方を採用したものが増えてきています。

フォルス・ネガティブとフォルス・ポジティブ

　不正なパケットと正常なパケットの区別は絶対的なものであるとは限りません。例えば，悪意のない正常なアクセスだったのにトラフィック量がしきい値を超えてしまったため，アノマリ型IDSが誤って異常と検知する場合があります。このように，本来は正常なはずの通信を不正侵入として誤検知してしまうことをフォルス・ポジティブといいます。

　この反対で，本来は検出しなければならない不正な通信を見逃してしまうこともあります。こちらはフォルス・ネガティブといいます。

　どちらもIDSにとっては目的としない動作です。ただしフォルス・ポジティブは，もしそれを検知してしまったとしても，悪い方へは向かわない（不正侵入は発生していない）ため「ポジティブ」，一方のフォルス・ネガティブは不正侵入を許してしまうので「ネガティブ」という訳です。

不正侵入を遮断するIPS

　ここまで紹介してきたIDSは，「侵入を検知する」機器です。IDSが不正侵入や攻撃を検知して管理者に通知し，管理者がそれに対応するまでには時間がかかります。例えば，IDSが管理者の携帯メールに警告メールを送り，それから直ちに管理者がリモート操作で対応をしたとしても数分から数十分の時間がかかるでしょう。不正侵入や攻撃の種類によりますが，この間に被害が拡大することもあり得ます。

　そこで，「もしかしたら，正当なアクセスかもしれないけれど，疑わしきは通さないでおく」ということで，攻撃と思われる通信を自動的に遮断する機能をIDSに持たせることも増えてきました。こうしたシステムはIPS（Intrusion Prevention System）と呼ばれます。IDSとファイアウォールを組み合わせて不正侵入に対する予防的な動作をするシステムと考えればよいでしょう。

図3 IPSは不正侵入や攻撃を見つけると自動的にその通信を遮断する

　なお，この連載ではファイアウォール，IDS，IPSをそれぞれ一つひとつの役割に着目して別々に紹介しました。しかし，実際にベンダーから提供されている製品やソリューションを見てみると，これらの機能を組み合わせたものも販売されています。また，ブロードバンド・ルーターなどはIDSやIPSの機能を備えているとは明示されていなくても，トラフィック量を監視して一定値を超えたら攻撃とみなして通信を遮断する機能を備えていたりします。