IDS（不正侵入検知システム）とは？

IDSは英語の「Intrusion Detection System」の略語で、日本語では「不正侵入検知システム」と訳されます。ネットワークやシステムに不正な侵入がないか、リアルタイムで監視し、検出時には管理者へ通知するセキュリティシステムです。外部からの侵入だけではなく、内部からの不正操作や異常な通信も検知対象となります。

主にネットワーク内部を監視するため、ファイアウォールの内側やネットワーク間に設けるDMZ（緩衝エリア）に設置するのが一般的です。

IDSとIPSの違いとは

IDSと混同されやすいのがIPS（Intrusion Prevention System：不正侵入防止システム）です。どちらもネットワークをリアルタイムで監視する点は共通ですが、IDSは検知と通知、IPSは検知と自動遮断という違いがあります。IDSは異常の兆候をいち早く知らせる警報装置として機能し、即時対応よりも状況把握と分析に向いています。

IDSの種類とメリット、デメリット

IDSには設置箇所や監視方法の違いから「クラウド型」「ホスト型」「ネットワーク型」の3種類があります。

クラウド型

クラウド上に仮想アプライアンスとして設置されており、クラウドサービスを利用するとセキュリティ機能としてユーザーに提供されます。ネットワーク構築やIDSの設定はサービスを提供するベンダーが行うため、低コストで導入可能な点がメリットです。しかし検知精度の設定もベンダーが行うため、ユーザーの要求を満たせないリスクもあります。

ホスト型

監視対象のサーバーにIDSソフトウェアをインストールするタイプで、HIDS（Host-based IDS）とも呼ばれます。監視するサーバーが1台なので、機能に最適化した詳細な設定ができます。内部のデータやログを監視し、不審なプログラムやファイル操作を高精度に検知可能です。

一方、サーバー1台ごとにIDSソフトをインストールするため、複数のサーバーを監視するにはコストが高くなります。

ネットワーク型

大規模な企業や団体が使用する広範囲のネットワークを監視するタイプで、NIDS（Network-based IDS）とも呼ばれます。ネットワークのゲートウェイといった通信の要所にIDSを設置し、通信パケットを監視する方法です。

クラウド型やホスト型と比較して広範囲に対応可能ですが、ホスト型のような詳細設定には適していません。

IDSの検知方法

IDSには、不正アクセスや異常通信を判断し検知する方法として「シグネチャ型」と「アノマリ型」の2種類があります。特定の攻撃に対して検知しやすいのがシグネチャ型、未知の脅威にもある程度検知可能なのがアノマリ型です。

シグネチャ型（不正検出型）

あらかじめ不正アクセスなどの情報処理パターンを登録しておき、通信データが登録内容と一致した時に不正と判断して検出します。この不正アクセスパターンを登録したリストを「署名」を意味するシグネチャと呼びます。

登録しているパターンを参照するため誤検知が少なく、特定の不正アクセスを確実に防ぐのに効果的です。一方で登録されていない未知の脅威や、新しい不正手段には対応できず見逃すリスクがあります。そのため、常に不正アクセスのパターンリストを更新し続けないといけません。

アノマリ型（異常検知型）

アノマリ型であらかじめ登録しておくのは正常なアクセスパターンです。通信データが登録パターンと一致しない際に、登録外の異常として検出する方法です。未知の脅威に対しても検知効果がありますが、シグネチャ型よりも誤検知の発生数も高くなります。

正常アクセスが誤検知されると管理者が確認しなければならないため、業務を妨げるおそれがあり、細かなチューニングで最適化する必要があります。

IDSで防げる代表的な攻撃

サイバー攻撃にはIDSの設置で防御できるものがあります。特定サーバーへ短時間で膨大なデータを集中的に送信するタイプの攻撃は、明らかに異常な通信なのでIDSのネットワーク監視から検知できます。

DoS攻撃・DDoS攻撃

DoS攻撃とは特定のサーバーに大量の通信を送り付け、処理能力を圧迫してサービスを停止させる攻撃です。 1台のコンピュータから行うものを「DoS攻撃」、複数のコンピュータを使って同時に行うものを「DDoS攻撃」と呼びます。

手法自体は古典的ですが、企業にとってはサービス停止や復旧コストによる深刻な被害を引き起こす恐れがあります。

なおIDSは攻撃の検知・通知には対応していますが、IPSのように通信を自動遮断する機能はありません。 そのためIDSによるDDoS攻撃対策は「早期検知による迅速な対応」が前提となります。

バッファオーバーフロー

バッファとはPCのメモリ上で一時的にデータを保持する領域のことです。処理速度の異なる機器間でのデータ受け渡しをスムーズにするために使われます。

このバッファ領域に過剰なデータを送り込み、隣接するメモリを書き換える攻撃がバッファオーバーフローです。スタックやヒープなどの領域を狙い、悪意あるコードを実行したり、情報改ざんを行ったりします。

攻撃手法としてはシンプルなため、IDSのシグネチャに登録しておけば検知は比較的容易です。

SYNフラッド攻撃

SYNフラッド攻撃はDoS・DDoS攻撃の一種で、TCP接続の確立手順を悪用してサーバーを過負荷に陥らせる攻撃です。

TCP接続は「SYN → SYN-ACK → ACK」の3段階で成立しますが、この攻撃ではACKを返さずSYNパケットだけを大量に送り続けます。サーバーは応答待ち状態のまま接続資源を消費し、最終的に処理不能となってサービスが停止または大幅遅延します。

IDSはネットワーク上のSYNパケットの異常な増加を検知できるため、早期に攻撃の兆候を把握し、管理者が迅速に対応することが可能です。

IDSで防げない代表的な攻撃

IDSの不正アクセス検知機能だけでは防げないサイバー攻撃も存在します。たとえばアプリケーションやWebサイトの脆弱性を利用する攻撃方法です。

SQLインジェクション

SQLインジェクションとは、Webサイトの入力フォームなどに不正なSQL文を入力し、データベースを不正操作する攻撃です。

脆弱なフォームでは不正なSQL文がそのまま実行され、情報の漏えい・改ざん・削除などの被害が発生します。クレジットカードの不正利用や、管理者権限の乗っ取りといった深刻な二次被害につながる恐れもあります。

SQLインジェクションは見た目上は正常な通信に見えるため、IDSでの検知は難しく、WAFやアプリケーション側での防御が重要です。

クロスサイトスクリプティング（XSS）

クロスサイトスクリプティング（XSS）とは、Webサイトの入力フォームに悪意あるスクリプトを埋め込み、ユーザーを偽サイトへ誘導したり、ブラウザ上で不正な操作を行わせたりする攻撃です。

掲示板やSNSなど、ユーザーの入力をもとにページが生成されるWebアプリで発生しやすく、ID・パスワードの盗用やCookie情報の悪用、アカウント乗っ取りなどの被害につながります。

XSSは見た目が通常の通信と変わらないため、IDSでは検知が難しくWAFやアプリ側での対策が不可欠です。 対策としてはスクリプトの入力を制限するバリデーション処理や、無害化するサニタイジングなどが有効です。

OSコマンドインジェクション

OSコマンドインジェクションとは、Webサイトの入力フォームに不正なOSコマンドを入力し、サーバーに意図しない操作を実行させる攻撃です。

入力内容がそのまま「シェル」と呼ばれるサーバー内の実行環境に渡されることで、情報の流出やデータ改ざん・破壊などが引き起こされます。

SQLインジェクションと同様、通信内容が正常に見えるためIDSでは検知が難しく、アプリケーション側での対策が重要です。有効な対策としては、シェルを呼び出す関数の使用を避ける、バリデーションで入力内容を制限する、エスケープ処理でコマンドを無効化するなどがあります。

IDS、IPSで防げない攻撃はどうする？

IDSやIPSは通信の異常を検知・遮断できますが、すべてのサイバー攻撃に対応できるわけではありません。SQLインジェクションやOSコマンドインジェクションのようなWebアプリケーションの脆弱性を突いた攻撃は、通常の通信と見分けがつきにくく、検知が困難です。

そのためこれらの攻撃にはWAFとの併用が有効です。WAFはアプリケーション層の通信を解析し、不正なスクリプトやコマンドを検知・遮断することで、Webアプリケーション特有の脅威に対応します。

総合セキュリティ対策なら
パロアルトネットワークス

パロアルトネットワークスは、世界中のさまざまな企業や組織へ総合セキュリティ対策を提供してきました。そのAIを利用したリアルタイム・ネットワーク・セキュリティは、増え続ける脅威を監視し、防御に役立ってくれるでしょう。総合セキュリティ対策の導入を考えている企業様は、パロアルトネットワークスへご相談ください。

• パロアルトネットワークスが手がけるサイバーセキュリティ

まとめ

IDSはサイバー攻撃の兆候や不正アクセスを高精度に検知するシステムですが、あくまで「通知」に特化しており、遮断などの防御機能はありません。

常に新たな攻撃手法に対応するためには、検知パターンの更新も欠かせません。そのため、DDoS攻撃などの異常通信をいち早く察知して人の手で対応する補助役として活用するのが有効です。

実用的なセキュリティ対策を実現するために、IDSによるネットワーク監視とWAFによるアプリケーション層の防御を組み合わせ、効果的な多層防御を構築していきましょう。