不正侵入検知システム（IDS）は、システム上での不正アクセスや攻撃などを検知するためのものです。

本記事では、不正侵入検知システムの種類や仕組み、導入だけではブロックできない脅威をご紹介します。

そのほか、Webアプリケーションの脆弱性を狙った攻撃方法や不正侵入検知システムとの併用におすすめのツールもお伝えするので、セキュリティ対策を検討している方はぜひ参考にしてください。

不正侵入検知システム（IDS）とは？

不正侵入検知システムは、ネットワークやシステム上での不正なアクセスや攻撃を検知するためのセキュリティツールです。

通常、ネットワーク上のトラフィックやシステムのログを監視し、事前に定義された規則やパターンに基づいて不正な活動や攻撃を検出します。

不正侵入防御システム（IPS）との違い

不正侵入検知システムと不正侵入防御システムは、両方とも不正なアクティビティや攻撃を検知するためのセキュリティツールですが、それぞれ異なる役割と機能を持ちます。

不正侵入防御システムは、不正侵入検知システムと同様に不正なアクティビティや攻撃を検知しますが、検知されたアクティビティに対して自動的に防御アクションを実行する能力を持ちます。これにより、攻撃を検知した直後に対処することが可能です。

また、不正なアクティビティを検知した場合に、そのアクティビティを遮断するなどの防御アクションを自動的に実行します。そのため、攻撃の影響の軽減につながるでしょう。

不正侵入防御システムは、自動的にアクションを実行するため、誤検知や誤報があると正当な通信を遮断してしまう可能性があります。運用や管理には、より慎重なアプローチが求められます。

不正侵入検知システムの種類

ここでは、不正侵入検知システムの種類を2つご紹介します。

ネットワーク侵入検知システム（NIDS）

ネットワーク侵入検知システムは、ネットワーク上のトラフィックを監視して不正なアクティビティや攻撃を検知するセキュリティツールです。

通常、ネットワークの要所に配置され、パケットキャプチャやパケット解析を行い、事前に設定されたシグネチャやパターンに基づいて不正な行動を検知します。

具体的には、不正なネットワークトラフィックや攻撃を検知し、警告やアラートを生成します。これにより、ネットワークへの不正侵入を検知し、防止することが可能です。

また、マルウェアの通信や動作を検知し、早期にマルウェアの侵入を検知できます。マルウェアの拡散を防止し、ネットワークのセキュリティの維持につながります。

ホスト侵入検知システム（HIDS）

ホスト侵入検知システムは、ホスト上での不正なアクティビティや攻撃を検知するセキュリティツールです。

具体的には、個々のホスト上のログやファイルの変更、システムのアクティビティ、プロセスの動作などを監視し、不審な活動を検知します。

ホスト侵入検知システムは、ネットワーク全体の監視に比べて詳細なレベルでの監視が可能であり、ホストごとのセキュリティを強化するための重要なツールです。

ネットワーク侵入検知システムと組み合わせて使用することで、ネットワーク全体とホストレベルのセキュリティを網羅的に強化することが可能です。

不正侵入検知システムの仕組みは2種類

ここでは、不正侵入検知システムの仕組み2種類について解説します。

シグネチャ型

シグネチャ型の不正侵入検知システムは、特定の攻撃パターンやシグネチャに基づいて不正なアクティビティや攻撃を検知する仕組みです。

シグネチャは、攻撃や不正アクティビティを特定するためのパターンとして使用されます。これらのパターンは、通常、正規表現や特定のバイト列などで表現されます。

また、シグネチャ型は、事前に定義された攻撃パターンに基づいて検知を行うため、高い検出率を実現します。

一方で、シグネチャ型は特定の攻撃パターンに依存しており、新しい攻撃やゼロデイ攻撃など、シグネチャが存在しない攻撃には対応できない可能性があります。

アノマリ型

アノマリ型の不正侵入検知システムは、通常のネットワークトラフィックやシステムの動作と比較して異常な振る舞いやパターンを検知する仕組みです。

アノマリ型は、通常のネットワークトラフィックやシステムの動作を学習します。これにより、システムやネットワークの正常な状態を理解し、異常を検知する基準を設定します。

また、事前に定義されたシグネチャやパターンに依存せず、通常の振る舞いからの逸脱を検知するため、新しい脅威やゼロデイ攻撃にも対応できます。

ただし、アノマリ型は通常の振る舞いを学習するため、学習フェーズ中に通常とは異なるアクティビティが検出されると誤検知が発生する可能性があるでしょう。

不正侵入検知システムでブロックできない脅威

不正侵入検知システムは、ネットワークやシステム上での不正なアクティビティや攻撃を検知するセキュリティツールですが、全ての脅威を完全にブロックすることはできません。

不正侵入検知システムは、事前に定義された攻撃パターンやシグネチャに基づいて検知を行うため、新しい脅威やゼロデイ攻撃に対しては有効な検知が難しい場合があります。攻撃者が既知の脆弱性を利用せずに新たな攻撃手法を用いる場合、不正侵入検知システムはその攻撃を検知できません。

ネットワーク上のトラフィックが暗号化されている場合、IDSはその内容を解読できず、検知や解析が困難になります。攻撃者が暗号化を使用して通信を隠蔽する場合、IDSはその通信を効果的に検知できません。

不正侵入検知システムは、通常、ネットワーク上のトラフィックやシステムのログを監視して不正なアクティビティを検知しますが、低レベルの攻撃や物理的な攻撃には対処できません。

たとえば、電源ボタンを押すなどの物理的な攻撃や、ファームウェアへの攻撃などが該当します。

Webアプリケーションの脆弱性を狙った攻撃手法

ここでは、Webアプリケーションの脆弱性を狙った攻撃手法を2つご紹介します。

SQLインジェクション

SQLインジェクションは、攻撃者がWebアプリケーションのフォームやURLパラメーターなどの入力フィールドに不正なSQLクエリを挿入することによって、データベースに対する攻撃を行います。

攻撃者がSQLインジェクション攻撃に成功すると、データベース内の機密情報を盗み出すことが可能です。これには、ユーザーの個人情報やクレジットカード番号などが含まれる可能性があります。

また攻撃者は、SQLインジェクションを利用してデータベース内の情報を変更できるようになります。そのため、不正な広告やスパムの挿入、システムの破壊などが発生する恐れがあるでしょう。

XSS攻撃

XSS攻撃は、攻撃者がWebアプリケーション上の入力フィールドやURLパラメーターなどに不正なスクリプトを挿入し、それを被害者のブラウザで実行させる手法です。

XSS攻撃を使用すると、攻撃者は被害者のブラウザで実行されるスクリプトを介して、被害者のクッキー情報を盗み出すことができます。そのため、セッションハイジャックやアカウント乗っ取りなどの攻撃が可能になります。

攻撃者が被害者のセッションクッキーを盗み出すと、そのセッションを使用して被害者のアカウントにログインが可能です。具体的には、攻撃者は被害者のアカウント権限を乗っ取り、機密情報にアクセスしたり、不正な操作を行ったりすることができます。

不正侵入検知システムとの併用がおすすめのツール

ここでは、不正侵入検知システムとの併用がおすすめのツールを4つご紹介します。

ファイアウォール

ファイアウォールは、ネットワーク上を流れるトラフィックを監視し、許可された通信のみを許可します。これにより、不正なアクセスや攻撃からネットワークを保護します。

また、送信されるネットワークパケットのヘッダー情報を分析し、特定のルールに基づいてパケットの送信を許可またはブロックが可能です。アプリケーションレベルでの通信を制御し、特定のアプリケーションに対するアクセスを制限することもできます。

WAF

WAFは、Webアプリケーションのアプリケーション層での通信を監視し、攻撃パターンを検出して阻止します。これにより、SQLインジェクション、XSS、CSRFなどの攻撃からWebアプリケーションを保護します。

また、受信したHTTPリクエストをフィルタリングし、悪意のあるリクエストをブロックします。不正なパラメーター、不正なURL、不正なリクエストメソッドなどを検出し、適切に処理します。

WAFは、事前に定義されたセキュリティポリシーに基づいてリクエストを評価し、ブロックまたは許可します。これにより、適切なセキュリティレベルを適用してWebアプリケーションを保護することが可能です。

NDR

NDRは、ネットワーク上のトラフィックをリアルタイムで監視し、通常の通信パターンや不審なアクティビティを検知します。これには、パケットキャプチャやフローデータの分析が含まれます。

また、ネットワーク上のデバイスやユーザーの振る舞いを監視し、異常なアクティビティを検知します。異常なアクティビティとは、通常のユーザーのパターンや権限を超えたアクセスなどです。

NDRは、外部の脅威情報やセキュリティインテリジェンスを活用して、新たな攻撃パターンや脅威を検知します。そのため、より高度な攻撃にも対応することが可能となります。

SASE

SASEは、安全なアクセスを提供するために、ゼロトラストアーキテクチャを採用しています。これにより、ユーザーやデバイスの認証、アクセスポリシーの適用、アプリケーションのセキュリティ機能の統合などが可能となります。

また、クラウドベースのセキュリティサービスを提供し、ネットワーク全体にわたる一元化されたセキュリティポリシーの実装を可能にします。そのため、オンプレミスとクラウドのリソースに対するセキュリティを統合的に管理できるでしょう。

SASEは、セキュリティとネットワークの機能を統合し、統一された管理と可視性を提供します。その結果、セキュリティイベントとネットワークトラフィックの分析が容易になります。

まとめ

不正侵入検知システムは、ネットワーク上での不正なアクティビティを監視し、検知するセキュリティツールです。

一方、不正侵入防御システムは、不正アクティビティを検知した後、阻止する能力があります。違いとしては、検知のみを行うか、検知したアクティビティを阻止するかです。

不正侵入検知システムの種類によっては、ネットワークとホストのレベルで監視できます。

しかし、SQLインジェクションやXSS攻撃などのブロックできない脅威もあります。

そのため、ファイアウォール、WAF、NDR、SASEなどのツールを組み合わせて、ネットワークやシステムのセキュリティをより包括的に強化することがポイントです。