IDS(侵入検知システム)とは?

深夜に、外部から侵入してくる人がいると、大きな音で、住民に知らせてくれる装置を、自宅に設置している人は沢山いると思います。

同様に、ネットワークに不正に侵入してくる動きを、知らせてくれるシステムは存在するのでしょうか?

もしも、それを知らせてくれれば、ひとまず外部のネットワークとの接続を、すぐに遮断することによって、重要なデータの流出を防ぐことが可能となります。

そのような機能を実現するには、不正な侵入を検知できる機器や専用のソフトウェアが必要になりそうです。

そのようなセキュリティ対策を可能とするシステムを「IDS(侵入検知システム)」と呼んでいます。

 

IDSとは?

IDSとはネットワークを流れているパケット(行き先などの情報+データを小分けにしたもの)を監視することによって、不正なアクセスを発見することができるシステムです。

問題を発見したときには、そのネットワークを管理している担当者に、メールなどを送信して、知らせるように設計されているのが通常です。

その他にも、ネットワークの接続を自動的に遮断したり、同じネットワークに接続されている、他のセキュリティ関連の機器に対して、ネットワーク上に、セキュリティ上の問題が発生したことを知らせたりすることも可能です。

自動的に、ネットワークを遮断するタイプを、IPS(侵入防止システム)とも呼んでいます。

最近は、IDSからの情報によって、問題のある通信端末の通信に限定して、ネットワークから切り離すことができるタイプの機器を、同じネットワーク上に設置している場合もあります。

これは、SDN技術を利用したセキュリティ対策であり、今後の主流、となる可能性もあります。

IDSには、このように、ネットワーク上に流れているパケットを監視するタイプと、運用しているサーバーに出入しているパケットを専門に監視するタイプが存在します。

 

IDSの効果

一般的なセキュリティ対策方法である「ファイアーウォール」では、通信自体を監視して、実際に流れているパケットの内容を、監視する機能を持っていません。

そのため、形式的には、問題のないアクセスであっても、それが不正な目的を含んでいる場合には、このIDSのような存在が必要となります。

IDSでは、パケットを構成する全データを、確認することができますので、ファイアーウォールの網をかい潜った不正なパケットであっても、IDSからは逃れることができません。

両者を併用することによって、高度なセキュリティ対策を行うことが可能となります。

しかし、侵入者にとっては、このIDS自体も攻撃の対象となり得ますので、その存在を知られないことが必要です。

 

そのため、最近の機種では、このシステム自体には、IPアドレスを設定しないようにして、その存在を隠すことができるように設計されています。

また、少ない人員で、高い防御能力を発揮するには、ファイアーウォールの内側にこのシステムを配置する方法が有効です。

IDSからの警告に対応して、実際に、ネットワークを守るのは管理担当者となります。

そのため、このシステムからの警告に対して、即座に対応することができない状況であれば問題です。

その場合は、他のシステムと連携して、すぐに、ネットワークを自動的に遮断できるような体制で運用する必要があります。

また、パケットが、不正であるかを判断するルール(シグネチャ)は、新手の侵入パターンが発見されるたびに更新する必要があります。

 

IDSは安心?

このシステムの運用には、担当者による定期的なメンテナンスが、必要であることを理解しなければいけません。

例えば、標準的なルールによると、必要な通信にも、問題が発生する場合には、管理者によってその必要な通信だけを例外として登録する必要があります。

また、自社で独自に利用しているシステムが、現在のルールによって遮断されるような場合も予想されます。

常に、IDSのルールを最新の状態に更新する手間はかかります。

しかし、それ以上に、安心を感じることができそうです。

パケットの中身まで、監視できるシステムであれば、これまでは、素通りしていた不正なパケットであっても、途中の「検問」で止めることができる点は、ネットワークの管理者であれば無視できない話です。