IDS
概要
IDS (Intrusion Detection System=アイディーエス)とは「侵入検知システム」を指す。不正侵入などを検知し、管理者へ警告メールを送るなどのアクションを起こす。IDSがあることで管理者はインシデントや危機を予兆し、先立って警戒や防衛策を講じることができ、システムの改ざんや破壊などを未然に防止できる。
設置場所による分類
IDSは、どこで何を検知するかによって、ネットワーク上に設置する「ネットワーク型」と、ホスト上に設置する「ホスト型」の2種類に分類される。
ネットワーク型はネットワークを流れる通信パケットを監視する。トラフィック全体を監視できるというメリットがある一方で、ホストごとの詳細な監視はできない。
ホスト型はホスト上に設置され、通信の結果生成された受信データやログを監視する。OSやプロセスといった詳細な監視のほか、ファイルの改ざんにも対応できるが、ホスト1台ずつに導入する必要がある。
データ収集方法による分類
IDSが何を不正として検出するかによって、「不正検出(シグネチャ)型」と「異常検出型」の2種類がある。
不正検出型は、不正アクセスのパターンを登録したシグネチャという検出ルールから、不正なアクセスを検出する。そのため登録されていないパターンの不正な通信は検出できない。
異常検出型は、正常時の状態を登録しておき、通常とは違ったトラフィックを検出した場合は不正と判断する。登録されていない方法での侵入も見つけることが可能となる。
IDSとIPS
IDSと似た働きをするものに、IPS (Intrusion Prevention System =侵入防止システム)がある。どちらもシステムやネットワークに対する不正侵入の兆候を検知するが、IPSは検知したトラフィックなどに対し、自動的に遮断などの防御措置をとる点で異なる。
