甚語集 › 🔒 セキュリティ › IDS/IPS
【あいでぃヌえす・あいぎヌえす】

IDS/IPS ずは

💡 䟵入を「芋匵る番人IDS」ず「即止める衛兵IPS」のコンビ
📌 このペヌゞのポむント
IDS / IPS の配眮ず違い IDS䟵入怜知 ルヌタヌ サヌバヌ ミラヌ IDS アラヌト通知のみ パッシブ監芖 通信コピヌを分析 IPS䟵入防止 ルヌタヌ IPS サヌバヌ 悪意ある トラフィック むンラむン配眮 䞍正通信を遮断 怜知自動ブロック
IDS/IPSの配眮ず違い
ひよこ ひよこ

IDSずIPSっお名前が䌌おるけど䜕が違うの

ペンギン先生 ペンギン先生

IDSは「䞍正な通信を発芋しお譊告する」だけで通信を止めない。IPSは「発芋したら自動で遮断する」たで行う。監芖員ず譊備員の違いみたいなむメヌゞだよ。

ひよこ ひよこ

どっちを䜿えばいいの

ペンギン先生 ペンギン先生

IPSのほうが自動察応できお速いけど、誀怜知があるず正垞な通信たで止めおしたうリスクがある。重芁な業務システムぞの圱響が倧きい堎合は、最初はIDSで監芖・チュヌニングしお、安定したらIPSに切り替えるずいう手順をずるこずも倚いよ。

ひよこ ひよこ

ファむアりォヌルずIPS、䜕が違うの

ペンギン先生 ペンギン先生

ファむアりォヌルは「蚱可・拒吊のルヌル」で通信を制埡するけど、IDSずIPSは通信の「内容・パタヌン」を分析しお攻撃かどうかを刀断するんだ。ファむアりォヌルで蚱可しおいる通信の䞭に隠れた攻撃も、IDS/IPSは怜知できる堎合があるよ。

ひよこ ひよこ

アノマリベヌスっお䜕

ペンギン先生 ペンギン先生

「通垞ずは違う行動」を攻撃のサむンずしお怜知する方法だよ。䟋えば深倜に倧量のデヌタが送信されおいる、普段アクセスしないサヌバぞ突然アクセスしおいるなど、ベヌスラむンから倖れた挙動を怜知する。新しい攻撃にも察応できる反面、誀怜知が倚くなりやすい課題があるんだ。

ひよこ ひよこ

ネットワヌク型ずホスト型っお違うの

ペンギン先生 ペンギン先生

NIDS/NIPSネットワヌク型はネットワヌク䞊を流れるパケットを監芖するもので、HIDS/HIPSホスト型は個々のサヌバやPCにむンストヌルしおそのシステム内の動䜜を監芖するものだよ。HIDS/HIPSはログやファむルの倉曎・プロセスの動䜜なども監芖できるから内郚の䞍審な動䜜を怜知しやすい。NIDSずHIDSを組み合わせた倚局防埡が理想なんだけど、ログが膚倧になるため管理の耇雑さずトレヌドオフになるこずが倚いんだ。

ひよこ ひよこ

実際に䜿われおいるIDS/IPSのツヌルっおどんなものがあるの

ペンギン先生 ペンギン先生

オヌプン゜ヌスで有名なのがSnortずSuricataだよ。Snortはシグネチャベヌスの老舗で、ルヌル定矩が豊富に公開されおいるんだ。SuricataはSnortのルヌルず互換性を持ち぀぀、マルチスレッド察応で高速凊理できる。クラりドならAWS GuardDutyがAWSの脅嚁むンテリゞェンスず機械孊習で䞍審なAWS操䜜を怜知しおくれる䟿利なサヌビスだよ。

ひよこ ひよこ

シグネチャ型っおパタヌン照合っおこずどうやっお攻撃を芋分けるの

ペンギン先生 ペンギン先生

そうだよ。既知の攻撃パタヌンシグネチャをデヌタベヌス化しおおいお、通信内容ず照合するんだ。䟋えばSQLむンゞェクションの兞型的な文字列や、特定のマルりェアが送るパケットのパタヌンを登録しおおく。怜知粟床が高くお誀怜知が少ない反面、シグネチャに登録されおいない新しい攻撃れロデむには察応できないずいう匱点があるんだね。

ひよこ ひよこ

れロデむ攻撃っおIDS/IPSで防げないの

ペンギン先生 ペンギン先生

シグネチャ型では防ぐのが難しいんだ。ただ公開されおいない脆匱性を突く攻撃はシグネチャが存圚しないからね。アノマリ型であれば「通垞ず異なる挙動」ずしお怜知できるこずもあるけど、完党には防げないのが珟実だよ。だからIDS/IPSを過信せず、WAFやEDRず組み合わせた倚局防埡が重芁なんだね。

ひよこ ひよこ

EDRっお䜕IDS/IPSずどう違うの

ペンギン先生 ペンギン先生

EDREndpoint Detection and ResponseはPCやサヌバなどの゚ンドポむント䞊でのプロセス・ファむル操䜜・通信などを継続的に蚘録しお、攻撃を怜知・察応するものだよ。IDS/IPSが䞻にネットワヌク通信の監芖なのに察しお、EDRは端末内郚の動きたで芋る。䟵入埌の暪展開や䞍審なプロセス起動なども远跡できるから、近幎はEDRずSIEMを組み合わせた運甚が䞻流になっおいるんだ。

ひよこ ひよこ

SIEMっお䜕IDS/IPSのログはSIEMに集めるの

ペンギン先生 ペンギン先生

SIEMSecurity Information and Event Managementはサヌバ・ネットワヌク機噚・IDS/IPS・EDRなど様々なシステムのログを䞀元集玄しお、盞関分析するプラットフォヌムだよ。IDS/IPSが個別の通信で「怪しいパケット」を怜知するのに察しお、SIEMは耇数のシステムのログを暪断的に分析しお「䞀連の攻撃の流れ」を芋぀けるこずができるんだ。

ひよこ ひよこ

誀怜知False Positiveが倚いず䜕が困るの

ペンギン先生 ペンギン先生

正垞な業務通信を攻撃ず誀認しお遮断しおしたうんだよ。䟋えばIPSが瀟内の重芁システムぞのアクセスをブロックしおしたったら、業務が止たっおしたう。だから新しいルヌルを远加するずきは最初はIDSモヌド怜知のみで運甚しお、誀怜知がないか確認しおからIPSモヌドに切り替えるのが安党な手順だね。チュヌニングは地味だけど運甚の栞心なんだ。

ひよこ ひよこ

チュヌニングっお具䜓的にどうやるの

ペンギン先生 ペンギン先生

倧きく2぀のアプロヌチがあるよ。たずホワむトリスト方匏で「このIPアドレスからのこのポヌトぞのアクセスは正垞」ず陀倖ルヌルを远加する方法。もう䞀぀はシグネチャの感床調敎で、誀怜知が倚いルヌルの閟倀を䞊げたり、特定の条件が重なったずきだけアラヌトを出すように倉曎する方法だね。SnortならRuleレベルでの现かい調敎ができるんだ。

ひよこ ひよこ

IDS/IPSっお個人でも䜿えるの䌁業だけのものなの

ペンギン先生 ペンギン先生

個人でも䜿えるよ。SnortやSuricataはオヌプン゜ヌスで無料だし、自宅サヌバや個人のラボ環境にも導入できる。ただ蚭定・チュヌニング・ログ管理にそれなりの知識ず手間がかかるから、個人が本番で䜿うずいうよりはセキュリティ孊習の環境ずしお掻甚するケヌスが倚いね。クラりド環境ならAWS GuardDutyのようなマネヌゞドサヌビスの方が手軜に始められるよ。

ペンギン
たずめざっくりこれだけ芚えればOK
IDS/IPSっお出おきたら「䞍正アクセスを怜知するIDS・自動遮断するIPSのセキュリティ監芖システム」ず思えばだいたいOK
📖 おたけ英語の意味
「Intrusion Detection System / Intrusion Prevention System」  䟵入怜知システム䟵入防止システム
💬 「Intrusion䟵入」を「Detect怜知する」か「Prevent防止する」かの違いだよ。IDSが「譊報を鳎らす」でIPSが「自動で鍵をかける」むメヌゞだね
🔗 あわせお読みたい
← 甚語集にもどる