IDSとは不正通信を検知する仕組みのこと！防げるサイバー攻撃やセキュリティについても解説

• 2024.3.29 (金)
  Posted by NTT東日本

「サイバー攻撃による損失が不安」「サイバー攻撃の対策をしたいけど、何からはじめれば良いのかわからない」とお悩みの企業は多いのではないでしょうか。

サイバー攻撃は年々複雑化しており、セキュリティソフトを入れておけば大丈夫という時代は終わりました。サイバー攻撃に遭うと「損害賠償による金銭の損失」「社会的評価が下がることによる顧客の喪失」などが発生し、最悪の場合、経営が追い込まれる可能性も考えられます。

サイバー攻撃への対策には、IDSが有効です。IDSならばサイバー攻撃を24時間365日監視し、ファイアウォールを通過してしまった不正アクセスも防げます。異常を検知した際は管理者へ報告を行うので、万が一誤検知だった場合もシステムを不用意に停止する必要もありません。

そこで本記事では、IDSについての解説と導入したら防げるサイバー攻撃の種類を紹介します。

IDSを導入しなければいけない理由や導入するメリットがわかる内容になっていますので、情報セキュリティ対策に悩まれている企業の方は、ぜひ最後までお読みください。

IDSとは、コンピューターネットワーク内の不正アクセスや攻撃を検知し、管理者にアラートを送信するシステムです。自社サービスへアクセスしてくる通信は、ユーザーからの正当な要求の場合もあれば、サイバー攻撃の可能性もあります。

サイバー攻撃に備えて、アクセス通信を全て遮断するわけにはいきません。IDSならばアクセスを止めずに不正な通信を検知できるため、攻撃の被害を受けていることにいち早く気付けます。

IDSの導入方法は、ネットワーク型とホスト型の2種類があります。ネットワーク型は社内の通信パケットを監視し、ホスト型はサーバー上の受信したデータやログを監視する仕組みです。用途によって導入方法は異なりますが、セキュリティ上の脅威を素早く検知して対処できるのがIDSを用いるメリットです。

ネットワークのセキュリティを向上させ、ファイアウォールで検知できない不正アクセスから守るために、多くの企業がIDSを導入しています。

IDSと並んでよく紹介されるのが、IPSです。

IPSは、ファイアウォールで検知できない不正アクセスの侵入をその場で遮断します。管理者への対応を待たずに不正通信を遮断できるのが、IDSと違う点です。

IPSはその場で通信を遮断するため早く被害を食い止められる利点がありますが、誤検知をしてサービス停止になってしまう場合もあります。導入するICTによってIDSとIPSは使い分けましょう。IPSの種類もネットワーク型とホスト型の2種類があります。

ファイアウォールとユーザーのネットワーク間に設置すれば、複数のユーザーを管理できるのがネットワーク型です。ホスト型は端末それぞれに設置するので、不正通信があったとしても端末上でブロックできます。

IDSの検知方法は2種類あり、シグネチャ型とアノマリ型です。多くの企業は、IDSの検知精度を向上させるために、両方を併用しています。それぞれの検知方法について解説していきます。

シグネチャ型は、登録していたパターンから不正アクセスを割り出します。パターンを登録しておき、通信の内容が一致すれば不正と判断して管理者へ報告します。登録パターンと照らし合わせるため、誤検知が少ないのが特徴です。

しかし、シグネチャ型は、登録されているパターンのみに対応するため、新種のウイルスや未知の脅威には対応できません。防御したいサイバー攻撃が明確な場合は、シグネチャ型が有効です。

アノマリ型は、登録しておいた正常な振る舞いと異なるものを検知する方法です。正常とは何かをまずは定義して、それに違反するものはすべて異常として判断します。登録するパターンの例を上げると、ログイン時間やトラフィック状況などです。

通常の振る舞いと異なる通信に対して検知するので、未知のサイバー攻撃にも対応できるのが特徴です。ただし、異なる振る舞いに反応するため、アノマリ型は常に誤検知に対する調整が必要です。

企業がセキュリティ強化する上で、IDSを導入するメリットは3つあります。

• 通信を止めない
• ファイアウォールを通過したサイバー攻撃を検知する
• システム障害を未然に防げる
  

• 情報セキュリティ対策にIDSの導入を検討している方は、ぜひ詳細をご確認ください。

IDSを導入するメリットは、異常な通信を検知した際にその場で遮断せずに、管理者へ報告する点です。通信を遮断しない理由は、少なからず誤検知をする可能性があるからです。

誤検知によって通信を遮断してしまうと、業務やサービスの停止につながるため、経済的な損失や社会的な信用を失う恐れが発生します。そのリスクを考慮して、IDSは不正アクセスがあった際に、まずは管理者へ報告します。

報告を受けて異常内容を確認してから対応を検討するので、万が一誤検知だった際もサービスを停止しなくて済むでしょう。誤検知によるサービスを停止せずに、通信を検知して管理者へ報告するのがIDSのメリットです。

ただし、報告後に確認が遅れれば、異常な通信をそのまま受け入れ続けることになるため、注意が必要です。また、IDSはネットワークを常に監視するため、リソースを必要とします。

導入する端末のCPUやメモリーなどのパワーは充分に考慮しましょう。

ファイアウォールで検知できない通信を、IDSでは検知します。ファイアウォールは、ネットワーク通信の内側までは見られませんが、IDSは内部まで確認できるからです。

サイバー攻撃は外部からの応答に見せかけた不正アクセスが多く、ファイアウォールで検知できません。IDSは通信内容まで確認できるため、ファイアウォールを通過した不正な通信を検知可能です。

ただし、IDSにも誤報があるので注意が必要です。登録していたパターンから不正アクセスを割り出すシグネチャ型でも、ある程度の誤報は避けられません。IDSを導入する際は、誤報があることも考慮しながら、異常検出の警告を設定しましょう。

IDSを導入すると、システム障害を未然に防げます。IDSはネットワーク上の不審な通信だけでなく、システム障害を狙うサイバー攻撃への対策としても有効だからです。

DoS攻撃(DDoS攻撃)やSYNフラッド攻撃など、サーバーに大量のアクセスを送信して負荷をかけ、サーバーダウンさせるようなサイバー攻撃に対しても、検知して未然に防ぎます。不正アクセスの侵入から、システム障害やウイルス感染を未然に防げるのもIDS導入のメリットです。

しかし、IDSには防御しにくい苦手な攻撃もあります。Webアプリケーションに特化した攻撃は防御しにくく、対処できない可能性もあります。それらを考慮した上で、情報セキュリティ対策を行いましょう。

IDS以外にも複数のセキュリティシステムが存在します。IDSに関わる以下の3つのセキュリティサービスを解説します。

• ファイアウォール

• WAF
• UTM
  

それぞれのセキュリティシステムを理解すれば、よりIDSの役割の理解が深まるでしょう。

ファイアウォールは、パソコンやサーバーを不正なアクセスから守るためのセキュリティシステムです。ネットワークの通信を、その場で検知・遮断する仕組みを持っています。ファイアウォールには大きく2種類あり、家庭用と企業などのネットワーク全体を守るものです。

企業のネットワーク全体を守るファイアウォールの場合、外部と会社のLAN上に設置して、不正アクセスを検知・遮断します。

WAFは、アプリケーション上の脆弱性を悪用したサイバー攻撃から守るためのセキュリティツールです。脆弱性を狙ったサイバー攻撃が増えたため、開発されました。Webアプリケーションのセキュリティが弱い部分を突いた攻撃には、主に以下の3つがあります。

1. • SQLインジェクション
2. • クロスサイトスクリプティング
3. • リモートファイルインクルージョン
     

WAFは、ファイアウォールとIDと/IPSで防げないサイバー攻撃を無効化できます。Webアプリケーションのセキュリティが弱い部分から保護するために開発されたのが、WAFです。

UTMとは、複数の異なるセキュリティ機能を1つにまとめたツールです。ネットワーク上のサイバー攻撃から総合的に情報セキュリティ対策を行います。UTMはさまざまな機能がありますが、主なものは3つです。

1. Webフィルタリング
2. アンチウイルス
3. アンチスパム
   

Webフィルタリングは、利用者が誤って悪意あるサイトや疑わしいWebサイトにアクセスしても遮断します。アンチウイルスは、パソコンがウイルス感染しないように、脅威となるプログラムがあれば隔離・削除を行う機能です。

アンチスパムは迷惑メールに対して、ユーザーに渡る前に確認して排除します。トータル的に情報セキュリティ対策を行えるのがUTMです。

IDSとIPSを導入して防げる主なサイバー攻撃を4つ紹介します。

1. マルウェア感染
2. DoS(DDoS)攻撃
3. SYNフラッド
4. バッファオーバーフロー
   

また、IDSとIPSの違いは、以下の記事で詳しく解説しているので、ぜひご覧ください。

マルウェアとは、悪意のあるソフトウェアの総称です。マルウェアには幾つか種類がありますが、IDSを導入すれば感染を検知し侵入を防げます。マルウェアの標準的な種類は以下の4つです。

1. ウイルス
2. ワーム
3. トロイの木馬
4. スパイウェア
   

この中でも特にワームは、自身で増殖できる特徴があります。増殖は、感染して1度ネットワークに侵入すると、次々とコンピューターに入り有害な動作を行います。IDSとIPSを導入すれば、マルウェア感染を防げます。

DoS(DDoS)攻撃とは、メールやWebサーバーへの要求などを大量に送りつけるサイバー攻撃です。サーバーへ高負荷をかけてダウンさせ、ネットワーク上のサービスを一次提供不能にします。

DoS攻撃はパソコン1台で行うのに対し、DDoS攻撃はウイルスなどで複数のパソコンを乗っ取り同時に攻撃します。DoS攻撃は海外のサーバーを経由して仕掛けられます。

対応するためには、IPアドレスや海外サイトからのアクセスに制限をかける必要がありますが、IDSとIPSを導入すればDoS(DDoS)攻撃を防げます。

SYNフラッドはDos攻撃の一種で、サーバーのリソースを消費させて、サービスを停止させるサイバー攻撃です。サーバーへ負荷を与えてシステムをダウンさせ、サービスを停止させます。SYNフラッド攻撃の恐い所は、攻撃者が大量の信号を送信し続ける間に、脆弱性も発見される点です。

早急な対応を行わないと2次被害が発生するため、迅速な対応が求められるサイバー攻撃の1つです。IDSとIPSを導入すれば、SYNフラッド攻撃も未然に防げます。

メモリー内のバッファの許容値を超えた際の脆弱性を悪用したサイバー攻撃です。悪意のある攻撃者が大量のデータやコードを送り、パソコンの処理能力を超えた作業を発生させます。バッファオーバーフローの攻撃を受けると、DoS攻撃の踏み台にされ、管理者権限が乗っ取られる被害を受けます。

DoS攻撃との違いは、サーバーの脆弱性を突き、大量のデータを含んだ悪意のあるコードの実行を狙う点です。不正なアクセスを検知できるので、IDSとIPSを導入すれば、バッファオーバーフローの攻撃も防げます。

IDSとIPSの導入では防げない主なサイバー攻撃を3つ紹介します。

IDSとIPSは基本的にネットワーク上の通信を検知・遮断するため、Webアプリケーションのセキュリティの弱い部分を狙った攻撃には対応できません。

SQLインジェクションは、Webアプリケーションのセキュリティの弱い部分を突くサイバー攻撃です。SQLインジュクションを受けると、不当なSQL文が作成され、データベースを不正に操作されます。

例えば、Webサイトに設置されたお問い合わせフォームに対し、不正に情報を搾取するためのSQL文を入力して、情報を抜き取られます。IDSとIPSはネットワーク通信を監視するので、Webアプリケーションの弱点を狙ったサイバー攻撃には対応できません。

Webページの入力フォームに、罠を仕掛けて個人情報を搾取するサイバー攻撃です。攻撃者が悪意あるスクリプトを埋め込むことで、cookieなどのデータを盗み出します。

SQLインジェクションと同じように、Webアプリケーションのセキュリティが弱い所を突いたサイバー攻撃のため、IDSとIPSでは防げません。

クロスサイトスクリプティングは、文字コードを圧縮・変換して読みづらくしているため、ネットワーク通信の中身まで見られないIDSとIPSでは検知できません。

OSコマンドインジェクションとは、サーバーへのリクエストに、OSへのコマンドを紛れ込ませて、不正にプログラムを実行させるサイバー攻撃です。攻撃を受けると、主に以下の被害が発生します。

• サーバー内のファイルの改ざん
• 他のシステムへの攻撃の踏み台
• 個人情報の流出
  

OSコマンドインジェクションの脆弱性がある場合、悪意ある攻撃により、サーバーで意図しないコマンドを実行させられ、上記のような被害が発生する可能性があります。Webアプリケーションの弱い部分を利用した攻撃のため、ネットワーク上の通信を検知するIDSとIPSでは防げません。

サイバー攻撃の手口は年々複雑化しており、ウイルスソフトを1つ付けておけばよいという時代は終わりました。社内のセキュリティ強化をしなければいけないのはわかるけれど、何からはじめたらよいのかわからないという担当者の方も多いのではないでしょうか？

こういった担当者の方には、おまかせアンチウイルスEDRプラスがおすすめです。外部からの不正アクセスであるウイルスやスパイウェアに対して、端末の情報セキュリティ対策を行います。おまかせアンチウイルスEDRプラスは、IDS機能もついているためさまざまな経路から侵入するウイルスの検知状況を把握できるのがメリットです。

また、インストールされている端末は、一元管理でウイルス対策ソフトのバージョンを更新するので、常に最新の状態に保てます。万が一のウイルス感染時も、サポートデスクが電話を行い、監視するので安心です。

おまかせアンチウイルスEDRプラスを導入すれば、より社内の情報セキュリティ対策を強化できるでしょう。

ページの先頭へ

おまかせサイバーみまもりのトップに戻る