IDS・IPSなら不正侵入をリアルタイムで検知！それぞれの違いや防げる5つの攻撃

• 2024.3.29 (金)
  Posted by NTT東日本

「IDSとIPSの違いが分からない」「IDS・IPSを導入する目的が知りたい」「他のセキュリティとのちがいは？」とお悩みの方は多いのではないでしょうか。

IDSとIPSは、ネットワークへの不正侵入を検知または防御するシステムです。常にネット上のサービスを提供していたり、クレジットカード番号などの個人情報を扱ったりする企業は、外部からの不正侵入を事前に防ぐ必要があります。

そこで今回の記事では、IDS・IPSの基礎知識や導入する目的について解説します。システム障害や情報漏えいを防ぎ、顧客離れなどの損失から会社を守れる確率が上がるので、ぜひ最後までお読みください。

IDSとIPSは、ネットワークへの不正侵入を検知や防御を行うシステムです。ECサイトやネットバンキングなどネットワーク上のサービスを提供している企業は、ネットワークへの不正侵入を防ぎ、顧客の大切な個人情報を守る義務があります。

従来のセキュリティ対策である「ファイアウォール」は、外部からのアクセスを制限することで不正侵入を防ぎます。しかし、サービスを提供するために外部のアクセスを許可していると、充分なセキュリティを発揮できません。

IDS・IPSを活用すれば、堅固なセキュリティを確保した上でサービス提供が行えます。IDSとIPSでは不正侵入に対するアプローチに違いがあるので、それぞれの特徴を知ったうえで活用を検討しましょう。

IDSは不正侵入を検知すると、管理者へ迅速に通知してトラブルを回避します。リアルタイムで不正侵入の通知を受けられるので、管理者は迅速に対応することができます。

しかし、IDSは通知が行われるだけなので、管理者が常駐しなければなりません。不正侵入に対応することで、業務が圧迫される可能性があるでしょう。

IPSは不正侵入を検知すると管理者への通信を行いつつ、不審なアクセスを遮断します。不審なアクセスを即時に遮断することで、情報漏洩や大規模なシステムの停止を防げるでしょう。また、不正侵入を素早く防いでくれるので情報セキュリティ対策の効率化に役立ちます。

一方で、IPSが誤検知した場合でもシステムが停止します。業務に大きな影響を与えるので、管理者は注意が必要です。

IDSとIPSには、監視や検知に種類があり方法がそれぞれ違います。導入を検討する場合は、自社の事例に合った種類を選ぶ必要があるため把握しておきましょう。

IDS・IPSの監視方法は、ネットワーク型とホスト型の2種類あります。広範囲にわたって検知するネットワーク型の監視方法は、具体的には以下の通りです。

	特徴	メリット・デメリット
ネットワーク型	・ネットワーク上の監視システムで検知する	・全体を監視するので導入しやすい ・ウイルスに感染しても検知ができる ・パソコンごとの細かな設定ができない
ホスト型	・サーバーごとの監視システムで検知する	・暗号通信やファイルの改ざんにも対応できる ・細かい設定ができる ・パソコンごとに管理を行う必要がある

それぞれの監視方法を把握すれば、自社の情報セキュリティ対策に活用できます。

IDSとIPSの検知方法には、シグネチャ型・アノマリ型の2種類があります。それぞれの特徴やメリット、デメリットを以下のようにまとめたので、参考にしてください。

	特徴	メリット・デメリット
シグネチャ型	・事前に不正な情報処理パターンを登録し、一致した通信を検知する方法	・誤検知が少ない ・未登録の不正アクセスに対応できない
アノマリ型	・正常な情報処理パターンを登録し、異常な通信を検知する方法	・未知の不正アクセスに対応する ・誤検知が多い

既存のサイバー攻撃に強さを発揮するシグネチャ型と、未知なる攻撃に対応するアノマリ型への理解を深めると、自社の業務に合った検知方法を選択できます。

IDS・IPSを導入する目的は、既存の情報セキュリティ対策では不正侵入を防げないからです。具体的な理由を知り、導入の参考にしてください。

IDS・IPSは、ファイアウォールでは対応できない不正アクセスを検知します。ネットワーク通信における情報セキュリティ対策は、ファイアウォールが不正アクセスに対応してきました。

しかし、ファイアウォールは発信元や宛先の確認はしますが、通信内容を調べることができないため不正アクセスを許してしまいます。

データベースの内容との一致で判断するIDSとIPSは、ファイアウォールで見落とした不正アクセスを検知できます。

IDS・IPSの最大の特徴は、リアルタイムで検知や防御を行うことです。アクセスのデータ解析を行った後では不正侵入を許してしまいますが、IDS・IPSは異常を検知したら即座に対応するので、問題の深刻化が防げます。

大切な顧客情報を守るには、不正アクセスにスピード感を持って対処できるIDS・IPSが非常に有効です。

IDS・IPSの最大の特徴は、複雑な処理を行うミドルウェアへの攻撃を防ぐことです。ファイアウォールでは防げないWebサーバーやOSの脆弱性を突く攻撃や、大量のデータによるシステム停止を未然に予防できます。

システム障害による被害は、顧客離れや企業の信用低下に繋がってしまいます。また、復旧作業による高額なコストも加味すると、IDS・IPSの予防効果は高く評価できるでしょう。

大量のアクセスでサーバーに負荷をかける攻撃はファイアウォールでは防げませんが、IDS・IPSなら検知できます。IDS・IPSが効果を発揮するサイバー攻撃を知っておきましょう。

DDoS攻撃は、アクセス障害やシステムダウンを狙う攻撃です。攻撃の特徴は、複数のパソコンを踏み台として大量のメールやデータをアクセスさせて、ターゲットのサーバーに負荷をかけます。アクセス障害やシステムダウンが生じて、売上の損失や顧客の信用低下を招く攻撃手法です。

DDoS攻撃が怖いのは、以下のような理由があります。

• 通常のアクセスと見分けがつかない
• 複数のパソコンを使うので、犯人を特定できない

近年、金銭目的や抗議活動の一環として行われています。巧妙に隠ぺいしたり、攻撃に加担させられたりしますが、IDS・IPSなら未然に攻撃を防げます。

Synフラッド攻撃は、通信プロトコルを利用した攻撃です。通信プロトコルとは、データを共有するための規約をさします。通信プロトコルとして信頼性の高いSynパケット（接続要求）を偽のIPアドレスから膨大に送信することで、システムダウンを狙います。

Synフラッド攻撃の狙いは、サーバーに負荷をかけることによるサービス停止です。しかし、IPアドレスを精査するIDS・IPSなら高い確率で攻撃を回避できるでしょう。

バッファオーバーフロー(BOF)は、システムの誤作動や停止を狙う攻撃です。大量のデータやコードを送信し、メモリー領域の許容量を超えさせて悪意のあるコードを実行させることを狙っています。

DDoS攻撃やSynフラッド攻撃との違いは、悪意のあるコードを実行させることです。プログラムの強制終了や管理者の乗っ取りなどがあり、実際に科学技術庁や総務省などの中央官庁のWebサイトが乗っ取られてしまいました。

しかし、IDS・IPSのネットワーク監視機能なら、アプリケーションの強制終了やマルウェアの感染などを防いでくれます。

マルウェアは、悪意のあるソフトウェアのことです。代表的な5つを以下のようにまとめました。

マルウェア	特徴
コンピュータウイルス	プログラムを書き換え自己増殖する
ワーム	高い感染力と自分で複製できる
ボット	攻撃者の指示で情報漏えいや迷惑メールを送る
ランサムウェア	ファイルを暗号化し金銭を要求する
トロイの木馬	個人情報を外部に送信する

昨今では、日々新しいマルウェアが誕生しているので対策に追われています。IDS・IPSをはじめ、複数の情報セキュリティ対策が望ましいでしょう。

最新のマルウェア対策は、NTT東日本が提供する「おまかせアンチウイルスEDRプラス」がおすすめです。ウイルス対策ソフトの役割であるウイルス侵入の検知・防御だけでなく、EDRが担うウイルス感染の早期発見・早期対応まで行います。万が一ウイルス感染が疑われる際には、NTT東日本のセキュリティ人材が、調査・復旧支援を行います。

ウイルス感染症対策を効率的に行いたい場合は、無料の資料をダウンロードして検討してください。

「おまかせアンチウイルスEDRプラス」の詳細はこちら

バックドアは、悪意のある攻撃者がシステム内に侵入した後に出入りするドアを作成することです。次からは簡単にシステム内部へと侵入が可能になり、不正なプログラムの感染や個人情報を盗むなどのサイバー攻撃を受けやすくなってしまいます。

バックドアのように、システム内部からの攻撃はファイアウォールでは防げません。IDS・IPSをシステム内部に設置することで、攻撃の痕跡を見つけられます。

近年では、次々に新しいサイバー攻撃が誕生しています。すでにウイルス対策ソフトを導入していても安心はできないため、複数のセキュリティを知り、複合的な対策をおすすめします。

ファイアウォールは、ネットワークの保護を目的とした情報セキュリティ対策です。インターネット経由でのネットワークを行う際、外部からの不正アクセスを防ぐ目的でつくられました。

具体的な機能は、通信データのフィルタリングです。ポート番号やIPアドレスを基に発信元や宛先をフィルタリングすることで、通信の発信と遮断を行います。最大の特徴は、社内のみに使われるシステムに対して、外部からのアクセスを制限することです。

しかし、外部に公開しているアプリケーションと通信内容についてのフィルタリングは制限ができません。また、メールに添付されたウイルスにも対応ができないので注意しましょう。

WAFは、Webアプリケーションの複雑化によって発生する脆弱性を突いた攻撃の情報セキュリティ対策です。ECサイトなどのWeb経由でサ－ビスを行っている企業は、外部とのネットワークが必用不可欠です。しかし、従来のファイアウォールでは外部へのアプリケーションに制限ができません。

そこで、外部に公開しているWebアプリケーションにはWAFを活用しましょう。WAFは、Webアプリケーションに対するアクセスパターンを記録し、照合することで通信を判断する仕組みです。以下のような場面でWAFが活躍します。

• Webアプリケーションの管理や改修が直接できない場合
• Webアプリケーションの修正が難しい場合
• 修正に時間が必要ですぐに情報セキュリティ対策を行いたい場合

脆弱性に対しての攻撃は、Cookieの改ざんなど多様化しています。IDS・IPSでも検知できない場合は、WAFによる対策が効果的でしょう。

UTMは、さまざまな情報セキュリティ対策機能を1つにまとめたシステムです。UTMは以下のような情報セキュリティ機能があります。

• ファイアウォール
• アンチスパム
• アンチウイルス
• IDS・IPS
• Webフィルタリング
• アプリケーション制御機能

企業のネットワークは常に脅威にさらされているため、さまざまな情報セキュリティ対策を行う必要があります。そこで、UTMは管理者の負担やコストの増加などを解決するために開発されました。ますます巧妙化するネットワークへのサイバー攻撃に、包括的に対処できるUTMを利用する企業が増えています。

また、UTMは導入して終わりではありません。日々のウイルスチェックや感染時の対処方法など、その後の運用までを検討したうえで導入することが大切です。

UTM導入後の運用において、ウイルス感染時のウイルス駆除対応を任せられる「おまかせサイバーみまもり」が気になる方は、こちらから資料請求してください。

「おまかせサイバーみまもり」の詳細はこちら

顧客情報の漏えいは、企業の存続に関わる重要な問題です。従来のファイアウォールでは守れない情報もIDS・IPSを導入すれば、DDoS攻撃などの大量アクセスに対応できます。

近年の高度化したサイバー攻撃には、それぞれに適した対策を施す必要がありますが、コスト面や管理者の負担が増えてしまいます。そこで、情報セキュリティ対策をセットにしたUTMの活用をおすすめです。

UTMはIDS・IPSをはじめアンチスパムやアプリケーション制御機能などを統合することで、情報セキュリティ対策を一括管理できてコスト軽減にも役立ちます。

ネットセキュリティの対策には、「おまかせサイバーみまもり」がおすすめです。

NTT東日本が提供する「おまかせサイバーみまもり」はプロによる通信状況のモニタリングや、不正通信のブロックによって脅威から守るサービスです。不正なネットワーク通信を発見した際にはすぐにお客さまへ電話で連絡します。該当端末の隔離や、ウイルス駆除の遠隔サポートも可能です。未知の脅威ウイルスに感染するとワクチン提供を月額料金内で対応してくれるので、管理者の負担やコスト低減に役立ちます。さらに、サイバー保険が付帯され、調査や復旧にかかった費用の一部を補償できるのもポイントです。

情報セキュリティ対策の導入を検討している場合は、資料をダウンロードしてください。

「おまかせサイバーみまもり」の詳細はこちら

​

ページの先頭へ

おまかせサイバーみまもりのトップに戻る