ids/ips - Cyber SEC TSM | サイバーセキュリティTSM

# IDS/IPS（侵入検知システム/侵入防止システム）

## 概要
IDS（Intrusion Detection System：侵入検知システム）とIPS（Intrusion Prevention System：侵入防止システム）は、ネットワークやシステムに対する不正アクセスや攻撃を検知し、防御するためのセキュリティ技術です。

• **IDS**: ネットワークやシステム上の異常な活動や侵入を検知し、管理者に通知するシステム。
• **IPS**: IDSの機能に加えて、検知した攻撃をリアルタイムでブロックし、システムへの侵入を防止するシステム。

## IDS（侵入検知システム）

### 機能

• **検知**: ネットワークトラフィックやシステムログを監視し、不正アクセスや異常な活動を検知します。
• **通知**: 検知した脅威を管理者にアラートとして通知します。
• **記録**: 検知したイベントをログに記録し、後から解析できるようにします。

### 種類
1. **ネットワーク型IDS（NIDS）**

   - **概要**: ネットワーク全体を監視し、異常なトラフィックを検知します。
   - **配置**: 通常、ネットワークの入口や出口、重要なサーバーの前に配置されます。
   - **メリット**: ネットワーク全体の異常を広範囲に検知できます。

2. **ホスト型IDS（HIDS）**

   - **概要**: 個々のシステムやサーバーを監視し、そのシステム内での異常な活動を検知します。
   - **配置**: 各ホストシステム（サーバーやPC）にインストールされます。
   - **メリット**: システム内部の詳細な監視が可能で、内部攻撃や不正操作を検知できます。

### 検知方式
1. **シグネチャベース検知**

   - **概要**: 既知の攻撃パターンやウイルスのシグネチャ（署名）を用いて異常を検知します。
   - **メリット**: 既知の攻撃に対して高い検出率を誇ります。
   - **デメリット**: 新しい攻撃や未知の攻撃には対応できないことがある。

2. **アノマリベース検知**

   - **概要**: 通常のネットワークトラフィックやシステム活動のベースライン（正常状態）を定義し、それから逸脱する異常を検知します。
   - **メリット**: 未知の攻撃や新しい攻撃を検出できる可能性が高い。
   - **デメリット**: 誤検知（ファルスポジティブ）が発生しやすい。

## IPS（侵入防止システム）

### 機能

• **検知**: IDSと同様に異常な活動を検知します。
• **防御**: 検知した攻撃をリアルタイムでブロックし、ネットワークやシステムへの侵入を防ぎます。
• **通知と記録**: 検知した脅威を管理者に通知し、ログに記録します。

### 種類
1. **ネットワーク型IPS（NIPS）**

   - **概要**: ネットワークトラフィックを監視し、異常を検知してリアルタイムでブロックします。
   - **配置**: 通常、ネットワークの入口や出口に配置されます。
   - **メリット**: 広範囲のネットワーク攻撃をリアルタイムで防御できます。

2. **ホスト型IPS（HIPS）**

   - **概要**: 個々のホストシステムを監視し、異常を検知してリアルタイムでブロックします。
   - **配置**: 各ホストシステムにインストールされます。
   - **メリット**: システム内部の詳細な防御が可能で、内部攻撃や不正操作を防ぎます。

### 防御方式
1. **シグネチャベース防御**

   - **概要**: 既知の攻撃パターンやウイルスのシグネチャを用いて異常を検知し、ブロックします。
   - **メリット**: 既知の攻撃に対して高い防御力を発揮します。
   - **デメリット**: 新しい攻撃や未知の攻撃には対応できないことがある。

2. **アノマリベース防御**

   - **概要**: 通常のネットワークトラフィックやシステム活動のベースラインから逸脱する異常を検知し、ブロックします。
   - **メリット**: 未知の攻撃や新しい攻撃を防御できる可能性が高い。
   - **デメリット**: 誤検知が発生しやすい。

## 導入のポイント

• **ネットワークの可視性**: NIDS/NIPSを導入する場合、ネットワークのどの部分を監視するかを明確にし、重要なトラフィックを見逃さないように配置します。
• **システムのパフォーマンス**: IDS/IPSはリアルタイムでトラフィックを監視するため、システムのパフォーマンスに影響を与えることがあります。パフォーマンスとセキュリティのバランスを考慮することが重要です。
• **誤検知対策**: アノマリベースの検知や防御では、誤検知（ファルスポジティブ）を最小限に抑えるために、ベースラインの調整やルールのチューニングが必要です。

## まとめ
IDSとIPSは、ネットワークやシステムを不正アクセスや攻撃から守るための重要なセキュリティ技術です。IDSは異常を検知して通知し、IPSはさらにその攻撃をリアルタイムで防御します。シグネチャベースとアノマリベースの両方の技術を組み合わせることで、既知の攻撃と未知の攻撃の両方に対する防御を強化することができます。導入時には、ネットワークの可視性やシステムのパフォーマンス、誤検知対策を考慮することが重要です。