侵入検知システム

侵入検知システム（IDS）と侵入防止システム（IPS）

本稿では、侵入検知システム（IDS）と侵入防止システム（IPS）について解説します。これらのシステムは、ネットワークセキュリティにおける重要な役割を担っています。

侵入検知システム（IDS）

侵入検知システム（Intrusion Detection System、略してIDS）は、ネットワークやシステム内で発生するイベントを監視し、分析することで、不正な侵入や偵察行為などの兆候を検知するシステムです。具体的には、ポートスキャンや不正アクセスなどの不審な活動を検出し、管理者へ通知します。

侵入防止システム（IPS）

侵入防止システム（Intrusion Prevention System、略してIPS）も、不正侵入の兆候を検知する点ではIDSと同様ですが、検知した不正な活動を自動的に遮断する機能が追加されています。これにより、攻撃による被害を未然に防ぐことが可能です。

IDPS

IDSとIPSは、両者を合わせてIDPS（Intrusion Detection and Prevention System）と呼ばれることもあります。IDPSは、セキュリティインシデントの早期発見と対応に役立ちますが、誤検知が発生する可能性があります。そのため、IDPSは適切な設定とチューニングを行い、誤検知を減らす必要があります。特にIPSの場合は、誤って正常な通信を遮断してしまうと、システム全体の動作に影響が出る可能性があるため、より慎重な設定が求められます。

IDPSは頻繁に攻撃の対象となるため、その構成要素を保護することが非常に重要です。

IDPSの主な用途

IDPSは、主に以下の目的で利用されます。

インシデントの特定と対応支援: 不正アクセスやマルウェア感染などのインシデントを特定し、迅速な対応を支援します。
セキュリティポリシーの問題の特定: ファイアウォールと同じルールをIDPSに設定することで、ファイアウォールの設定ミスを検出できます。
脅威の文書化: IDPSのログを分析することで、組織が直面する脅威の傾向や頻度を把握し、適切な対策を講じることができます。
個人のセキュリティポリシー違反の抑止: IDPSによって監視されているという事実が、従業員による不正行為を抑制する効果があります。

IDPSの主な機能

多くのIDPSは、以下の機能を備えています。

イベントの監視、分析、識別: ネットワークやシステムで発生するイベントを監視し、不正な活動を識別します。
イベント情報の記録: ローカルログだけでなく、SIEMなどのシステムと連携してログを統合管理します。
セキュリティ管理者への通知: メールや専用UI、SNMPトラップなどの方法で、重要なイベントを管理者に通知します。
レポートの作成: 監視イベントの概要や詳細な情報をレポートとして出力します。

さらに、以下の機能を持つIDPSもあります。

セキュリティプロファイルの更新: 悪意のある通信を検知した場合に、より詳細な情報収集を行うなどの機能です。
IPSによる攻撃阻止: ネットワーク接続の遮断、アカウントやIPアドレスのブロック、リソースへのアクセス制限などを行います。
攻撃の無害化: マルウェアの除去や通信の正規化などの処理を行います。

IDPSの構成要素

IDPSは主に以下の構成要素から構成されています。

センサー: ネットワークトラフィックを監視し、イベントを収集します。
エージェント: ホスト上で動作し、システムの活動を監視します。
ログ: 収集されたイベントの情報を記録します。
管理サーバ: センサーやエージェントの設定、アラートの管理、レポートの生成などを行います。

センサーやエージェントには、OSバージョンなどの情報収集機能が搭載されている場合があります。ログはローカルと集中ログサーバーの両方に保管することが推奨されます。また、ログの正確な分析のためには、NTPなどを利用してすべての構成要素間で時刻を同期させる必要があります。

IDPSの構成要素間の通信には、標準ネットワークを利用する場合と、専用の管理ネットワークを利用する場合があります。管理ネットワークを使用する方が、IDPS自体のセキュリティを向上させることができますが、コストが増加する可能性があります。VLANを利用してネットワークを分離する方法もありますが、物理的な分離ほどの効果は期待できません。

オープンソースIDPS Snort

オープンソースのIDPSであるSnortを例に管理サーバの中身を解説すると、以下のようになっています。

ルールエンジン: 検出ルールに基づいてイベントを分析します。
アラートエンジン: イベントに基づいてアラートを生成します。
ロギングエンジン: イベントやアラートを記録します。
設定インターフェース: ルールの設定や管理を行います。

パケットキャプチャには、pcapやBPFなどが利用されます。商用IDPSでは、大量のトラフィックを処理するために専用のNICを使用していることが多いです。

IDPSの種類

IDPSは、監視対象や設置場所によって以下の4種類に分類できます。

ネットワークベースIDPS (NIDS/NIPS): ネットワーク境界に設置され、ネットワークトラフィックを監視します。NIDSとNIPSを合わせてNIDPSと呼ぶことがあります。
ホストベースIDPS (HIDS/HIPS): ホストにインストールされ、そのホストの活動を監視します。HIDSとHIPSを合わせてHIDPSと呼ぶことがあります。
ネットワーク行動分析 (NBA): ネットワーク内のトラフィックを監視し、異常な行動を検出します。

NIDS/NIPSは、組織LANと外部ネットワークの境界などに設置され、境界を跨ぐ通信を監視するのに対し、NBAは組織LAN内に設置され、LAN内の通信を監視します。

ネットワークベースIDPSのセンサー設置方法には、インライン型と受動型があります。インライン型は、監視対象の通信が必ず通過する箇所に設置し、遮断機能を利用できます。受動型は、スパニングポートなどを利用して通信をコピーし、監視します。IPSとして機能を利用する場合は、インライン型が必須です。

インライン型の場合、IDPSをファイアウォールの前後に設置することで、異なる情報を取得したり、IDPSへの負荷を調整したりすることができます。ファイアウォールとIDPSの機能を組み合わせたハイブリッド製品も存在します。

受動型は、ネットワークの複数の箇所を監視することが可能です。例えば、ファイアウォールの前後やDMZの通信をすべてコピーして分析できます。

IDPSの検知手法

IDPSの検知手法には、主に以下のものがあります。

シグネチャベース検知: 既知の攻撃パターンを登録しておき、それに一致するパターンを検出します。
アノマリベース検知: 通常の動作パターンを学習し、そこから外れる異常な活動を検出します。アノマリベースは、静的プロファイル型と動的プロファイル型に分けられます。
ステートフルプロトコル分析: 特定のプロトコルに準拠しない異常な通信を検出します。

アノマリベースの静的プロファイル型は、管理者が明示的に変更しない限り、同じプロファイルを使い続けます。動的プロファイル型は、プロファイルを自動的に更新しますが、攻撃者による回避がしやすいという欠点もあります。

これらの検知手法は、以下のような異常検知基準を利用することが多いです。

ポートスキャン: 特定のポートへのアクセス試行を検知します。
不正なログイン: 認証に失敗する試行を検知します。
バッファオーバーフロー: 脆弱性を利用した攻撃を検知します。
DoS攻撃: サービス妨害攻撃を検知します。
マルウェア: マルウェアの感染を検知します。

IDPSの設定は、コンソールからアラートのオン・オフ、優先度、通知方法などを設定できます。また、シグネチャやプロファイルを編集する機能や、プロファイル作成スクリプトの編集機能も備えている場合があります。

参考文献

NIST、日本語訳情報処理推進機構. “NIST SP800-94 侵入検知および侵入防止システム（IDPS）に関するガイド Guide to Intrusion Detection and Prevention Systems （IDPS）”. 2018年11月14日閲覧。
佐々木良一（監修）; 電子情報通信学会（編） (2014/3/20). ネットワークセキュリティ. 現代電子情報通信選書「知識の森」. オーム社. ISBN 978-4274215179

もう一度検索

侵入検知システム