不正侵入検知システム(Intrusion Detection System:IDS)とは、システムやネットワークに対して外部から不正なアクセスがあったり、その兆候が検知されたりした場合に管理者へ通知するシステムです。
監視をする場所によるIDSの違い
ネットワーク型IDS
ネットワーク上を流れるパケットを監視し、そのデータや通信手順を解析します。特徴としては直接接続しているネットワークについてのみ監視することしかできないので、DMZ(非武装地帯)、社内のネットワーク、ファイアウォールの外側など、監視したい部分にそれぞれ配置する必要があります。
ホスト型IDS
監視対象となるサーバにインストールすることで、OSに記録されているログやサーバ内のファイルが改ざんされていないかどうかを監視するものです。
当然、アプリケーションなので、インストールされているサーバ上でしか動作しないため、保護したいサーバやルータ、ファイアウォールなどの全ての機器にインストールする必要があります。
IDSの2種類の検出方法
不正検出型
このタイプは多くのIDSで採用されており、あらかじめ登録されたシグネチャという通常のネットワークの状態に一致しないデータの挙動を「ウイルスの侵入」として検知する仕組みです。
ただ、シグネチャに登録されていない手口には対応できないという大きな欠点もあります。
異常検出型
通常のネットワークの状況(トラフィック、使用コマンド)に対して適正な値を設定しておき、この値を超える振る舞いがあれば異常と判断します。
シグネチャと異なり、ネットワークの正常な状態を設定しておくことで、その値を超えれば全て不正なアクセスとして管理者へ報告できるメリットがあります。
最近のIDS製品では不正検出・異常検出の両方を採用したものが主流で、より確実に不正アクセスを検知できる仕組みとなっています。
顧客情報や企業の機密情報、社員の個人情報などの情報資産を護る情報セキュリティは企業活動において必須のものになっています。その中においてIDSは、はじめの一歩といったところでしょう。
企業のネットワークは常に外部からの不正アクセス等の攻撃を受けていると考えても過言ではありません。そうした環境の中で、IDS製品などの技術面だけでなく、情報セキュリティを専門に扱う人材の確保・育成に積極的に投資していくことも合わせて必要になっている現状を把握すべきときが来ています。