IDS/IPSの基本概念

IDS（Intrusion Detection System）は「不正侵入検知システム」、IPS（Intrusion Prevention System）は「不正侵入防止システム」の略です。これらは、通信を監視し、不正な侵入を検知または対策するシステムです。

IDS/IPSの役割と必要性

IDSよりもIPSのほうが優れた製品のように感じますが、誤検知があると正常な通信が遮断されてしまう可能性があるため、設定・運用をより慎重に考えなければならないという視点も重要です。最近では攻撃を遮断する機能を持つIDS製品も登場し、両者は一体的に「IDS/IPS」として扱われることが増えています。近年の巧妙化するサイバー攻撃に対処するため、IDS/IPSの導入は企業のIT資産保護に不可欠です。

IDS/IPSと他セキュリティ製品（FW/WAF）の違い

IDS/IPSと混同されがちなセキュリティ製品に、ファイアウォール（FW）やWAF（Web Application Firewall）があります。これらは似たような領域をカバーするものの、役割や対象範囲に明確な違いがあります。

FW（ファイアウォール）

ネットワークの境界に位置し、パケットのフィルタリングや不正な通信の遮断を行います。IDS/IPSはネットワークの内部に位置するので、ここが大きな違いです。

また一般的なFW製品は通信の遮断だけを行うため、検知やアラートといった機能がIDS/IPSに比べると欠けています。後述しますがIDS/IPSは未知の攻撃に対して一定の効果があるのに対し、FWは既知の攻撃に対する遮断しか持っていないことも違いとして挙げられます。

概してFWのほうが仕組みが単純なため、簡単に運用可能です。一方でIDS/IPSは過剰な検知を抑止するためにノウハウが必要になってきます。

WAF（Web Application Firewall）

WAFの対象はSQLインジェクションやクロスサイトスクリプティングといったWebアプリケーションの脆弱性を狙った攻撃です。そのため、ネットワーク全体に対しての攻撃、例えば内部ネットワークへの不正侵入やDoSなどといった攻撃を防ぐことはできません。

こうした違いを理解し、自社のセキュリティニーズに合った製品を選択することが重要です。

IDS/IPSの検知方法と仕組み

IDS/IPSが不正侵入を検知する仕組みとしては、「シグネチャベース」、すなわち過去に存在した攻撃のパターンを持ち、それと同じような通信が存在した場合に不正侵入と判断する方法と、「異常検知」といって、正常な通信のパターンを学習し、そこから外れるような通信を不正侵入の試みとして判断する方法があります。

シグネチャベース

過去の攻撃パターンを蓄積し、それに基づいて不正を検知します。既知の攻撃に対して有効ですが、新たな攻撃パターンには対応できないため、定期的なシグネチャ更新が必要です。

異常検知

学習された「正常な通信」を学習し、それから外れるものを検知する手法です。注意点として、ネットワーク内部の機器構成が変わったり、外部から新たな（ただし、正常な）アクセスパターンが起きた場合など、正常な通信を誤検知するリスクがあり、運用には注意が求められます。

これらの仕組みを理解することで、IDS/IPSの効果を最大化し、運用上のリスクを最小限に抑えることが可能です。

防げる攻撃と防げない攻撃

IDS/IPSは、特定の種類の攻撃には非常に効果的ですが、すべての攻撃に対応できるわけではありません。それぞれの得意分野と限界を理解することが重要です。

防げる攻撃

IDS/IPSが防げる攻撃としては、「DoS/DDoS攻撃」「ポートスキャン」「ワーム」「トロイの木馬」「ゼロデイ攻撃」などがあります。

防げない攻撃

IDS/IPSが防げない、あるいは効果的でない攻撃としては「内部不正アクセス（内部犯行）」「ソーシャルエンジニアリング」「物理的な攻撃」「Webアプリケーションの脆弱性を狙った攻撃」などがあります。

IDS/IPSの導入を検討する際は、防げる攻撃と防げない攻撃を整理し、総合的なセキュリティ対策を構築する必要があります。

IDS/IPSの監視・運用方法

IDS/IPSが検知した異常をどのように知って管理するのがよいでしょうか。以下のポイントを押さえると効果的です。

リアルタイムアラート

異常を検出したときにメールやSMS、プッシュ通知などで担当者に知らせます。このときアラートに優先順位をつけて、高い優先順位のものだけを通知するといったようにしておかないとアラートに埋もれることになりますので注意しましょう。

SIEMとの連携

複数のセキュリティ製品からのログを集中管理し、可視化するツールです。異なるイベント間の関係性を分析して複雑な攻撃シナリオを突き止めることも可能です。

自動化と専門家の役割

可能な限り運用を自動化することで、日々の分析コストを減らすことが重要です。また、セキュリティ専門家による分析も必要です。自動化されたシステムでは検知できない、より高度な脅威を人間が分析し、適切な対応策を判断します。

適切な監視体制と運用方法を取り入れることで、IDS/IPSのパフォーマンスを最適化できます。

SOCのススメ: セキュリティ監視・分析サービスの活用

IDS/IPSを効果的に活用するに、重要になるのがSOC（Security Operation Center）です。SOCは企業のIT環境全体のセキュリティを監視し、インシデント発生時に迅速に対応する組織です。

SOC（Security Operation Center）の役割

SOCでは以下の業務を行います。

• IDS/IPSのアラート対応や誤検知の排除。
• ログ分析や複雑な攻撃シナリオの可視化。
• インシデント発生時の迅速な対応とその改善策の提案。

自社でSOCを運用することは理想的ですが、高いコストや専門人材の確保が必要です。こうした課題を解決するために、外部のSOCサービスを活用する企業が増えています。

まとめ

IDS/IPSはサイバー攻撃対策の中核を担う重要なツールです。他のセキュリティ製品との違いや運用方法を理解し、SOCサービスを活用することで、企業のIT環境をより強固なものにすることができます。SHIFT SECURITYも「監視・運用支援」という名の外部SOCサービスを提供しておりますので、ぜひご活用ください。