IDS(Intrusion Detection System)とは、不正な通信やホストへの侵入、ファイルの改ざんなど、不正な侵入の兆候を検出するシステムである。
IDS(Intrusion Detection System)とは、不正な通信やホストへの侵入、ファイルの改ざんなど、不正な侵入の兆候を検出するシステムである。検出した場合、管理者へ通知を行う。
設置方法で分類するならば、ネットワーク上に設置する「ネットワーク型」と、ホスト上に設置する「ホスト型」の2種類となる。前者はネットワークセグメント上に設置し、トラフィックを監視する。トラフィック全体を監視できる半面、ホストごとの詳細な監視はできない。後者はホスト上に設置し、外部との通信やソフトウェアのログなどを監視する。OSやプロセスなど、詳細な監視ができる半面、監視対象となるホスト1台ずつに導入する必要がある。
不正の検出方法としては「シグネチャ型」「異常検出型」の2種類がある。前者はあらかじめ登録した、「シグネチャ」と呼ばれる不正な通信の特徴情報に基づき、一致した場合に「不正」と判断する。そのため、登録されていないパターンの不正な通信は検出できない。後者は、あらかじめ「監視対象の正常時の状態」を登録することで、その状態に反した場合、不正と判断する。そのため前者のように「特徴を追加する」必要がなく、未知の攻撃を検出できる。なお、多くのIDSでは前者の手法が採用されている。
冒頭で説明したように、IDSは「検出や通知」のみを行う。検出後、通信の遮断を行いたい場合、IDSではなく「IPS(Intrusion Prevention System)」を使用するとよい。
また、IDS/IPSともに「正常な通信を不正と認識する場合」「不正な通信を正常と認識する場合」がある。そのため、「意図した通信を検出できること」だけではなく「意図しない(正常な)通信を誤検出していないか」を確認する必要がある。
【2004/1/1】初版公開。
【2018/10/9】最新情報に合わせて内容を書き直しました(セキュリティ・キャンプ実施協議会 著)。
Copyright © ITmedia, Inc. All Rights Reserved.