情報セキュリティマネジメント試験 用語辞典
IDSはその用途から、ネットワークの通信を監視するネットワーク型IDS(NIDS)と、サーバなどにインストールされ、そのマシンの挙動を監視するホスト型IDS(HIDS)に分類される。
(Wikipedia 侵入検知システムより)
侵入検知システム(しんにゅうけんちシステム)は、別名 Intrusion Detection System 略して IDS とも呼ばれ、コンピュータセキュリティ用語の上で、「ネットワーク上などへの不正なアクセスの兆候を検知し、ネットワーク管理者に通報する」機能を持つソフトウェア、またはハードウェアである。
概要
コンピュータネットワークは、一部の業務系システムのように閉鎖されたLAN等の小さなネットワークだけで稼動するだけでなく、外部ネットワークと接続して稼動する場合がある。
しかし、外部ネットワークと接続することは、不正アクセスと隣り合わせになることを意味する。
このため、外部との接続経路にはファイアーウォールやプロキシサーバ等を配して一元化し、その上で通信を管理・制御することで、不正アクセスや侵入の企てを防護する措置をとる。ただ、それらの防護措置を取っても必ずしも全ての侵入が防ぐ事が可能な訳でも無く(なりすましなど)、また防護の網をかいくぐって侵入してきた不正なアクセスによって、データの改竄やシステムの破壊、更にはデータ窃盗などを受ける懸念を拭い去る事は出来ない。
そこで、IDSを用いて不正なアクセスの兆候を検知し、管理者へ通知する。
管理者は実際の被害に先だって警戒でき、必要なら回線切断等の防衛策を講じ、システムの破壊などを未然に防止できる。IDSが自動的な通信切断やサーバのシャットダウンなどの防衛を実行せず、あくまで管理者にメール(大抵は即応性を重視するために、携帯電話へのメール)を送信して異常を通知するだけなのは、検知した異常が攻撃であるとは限らないためである。
侵入を検知する方法として、「アノマリー型」(異常検知型)と「シグネチャ型」がある。
ファイアーウォールは、一般的にトランスポート層までの情報までを扱うが、IDSは、パケットに含まれる全データを確認する。ただし、昨今のファイアーウォール製品の中には、IDS, 侵入防止システム(IPS)に近い機能を有する製品も少なくない。
これらのシステムは常に通信の量や種類をチェックし、通常業務ではありえない通信種別の偏りや、急激な通信量の増大、更には特定の通信相手以外との接続をチェックする。(アノマリー型)シグネチャ型では、攻撃を受けていると考えられるパケットの特徴から判断する。判断するためのルールを記述したファイルを「シグネチャファイル」と呼ぶ。
通常、不正アクセスを企てる者は、様々な攻撃手法で対象の脆弱性を探り、内部情報へのアクセス権や管理権限を手に入れようとするが、これらの手法は一般化されており、大抵が「ある種の類似性」をもっているため、これを攻撃の予備段階として検知できる。
なお、IDSには普段との比較で異常を検知する物と、予測される攻撃のパターンを予め持っていてそのパターンに合致する現象が起きた際に通報を行う物があるが、後者の方がより普及している。また、ネットワーク型IDS(NIDS)とホスト型IDS(HIDS)といった分類をすることもある。
ネットワーク型IDS(NIDS)
NIDSは、 コンピュータネットワークの通信内容を積極的に検査し、ネットワークの攻撃などといった、不正アクセスの疑いがあると思われるものについては、ただちにネットワークの管理者へ攻撃の事実を通知する。
ホスト型IDS(HIDS)
HIDSは、サーバマシンにソフトウェアとして組み込まれ、対象のサーバに異常が発生していないかを監視する。異常が確認された際には、NIDSと同様に通知を行う。
IPSとの関連
IDSの発展型として、侵入防止システム(IPS: Intrusion Prevention System)がある。
IPSは、異常を通知するだけでなく、通信遮断などのネットワーク防御を自動で行う機能を持つ。現在は、ファイアーウォールと連動して異常な通信を行う対象を自動的に遮断する、異常検知ルールの自動生成や改竄検出など、より能動的な防衛機能を搭載する研究が行われている。
ただし、原理原則としては、通信はそこで扱う内容について一切斟酌しないべきものであるとして、こうした積極的な通知や防衛策を取るIDSやIPSのような仕組みを好ましく思わない技術者もいるdate=2012年7月|。
備考
2003年11月下旬に、長野県が行った住基ネット公開侵入実験において、端末回線の物理的な接続時に発生した電気的ノイズが、住基ネットを管理・運営する地方自治情報センターにある同種の機器に、異常通信として検知されて侵入警報が発令され、この騒動に総務省が長野県に対し「不正アクセスだ」とするコメントを発表して物議を醸しているdate=2012年7月|。
出題例
- ネットワーク型IDSでは,SSLを利用したアプリケーションを介して行われる攻撃を検知できる。
- ネットワーク型IDSでは,通信内容の解析によって,ファイルの改ざんを検知できる。
- ホスト型IDSでは,シグネチャとのパターンマッチングを失敗させるためのパケットが挿入された攻撃でも検知できる。
- ホスト型IDSでは,到着する不正パケットの解析によって,ネットワークセグメント上の不正パケットを検知できる。
正解
- DMZ
- 検疫ネットワーク
- SPF
- URLフィルタリング
- コンテンツフィルタリング
- WEP
- WPA2
- SSID
- SSIDステルス
- ANY接続拒否
- 電子透かし
- ディジタルフォレンジックス
- IDS
- IPS
- ファイアウォール
- WAF
- ホワイトリスト
- ブラックリスト
- フォールスポジティブ
- フォールスネガティブ
- SSLアクセラレータ
- MDM
- BYOD
- コールバック
- アクセス制御
- DLP
- SIEM
- UTM
- ビヘイビア法
- パターンマッチング方式
このページのWikipediaよりの記事は、ウィキペディアの「侵入検知システム」(改訂履歴)の記事を複製、再配布したものにあたり、このページ内の該当部分はクリエイティブ・コモンズ 表示 - 継承 3.0 非移植 ライセンスの下 に提供されています。