IDS(侵入検知システム) いんとるーじょんでぃてくしょんしすてむ
簡単に言うとこんな感じ!
ネットワークに設置する「警備員カメラ」だよ!不審な動きを検知したら「アラートを鳴らして知らせる」役割なんだ。自分では攻撃を止めないけど、「今ヤバいことが起きてるよ!」って教えてくれる目付き役ってこと!
IDS(侵入検知システム)とは
IDS(Intrusion Detection System:侵入検知システム) とは、ネットワークやコンピューターへの不正アクセス・攻撃をリアルタイムで監視・検知し、管理者に警告を発するセキュリティシステムです。社内ネットワークを流れるパケット(データのかたまり)や、サーバーのログを分析して、怪しいパターンを見つけ出します。
IDSは「検知して通知する」ことに特化しており、攻撃そのものを自動的にブロックする機能は持ちません。ファイアウォールが「門番として入口を制限する」のに対し、IDSは「敷地内の監視カメラ」として、すでに入ってしまった脅威や内部からの攻撃も含めて幅広く目を光らせるのが特徴です。
実務では、IDSが出したアラートをセキュリティ担当者が確認・分析し、対応策を判断します。発注や選定の場面では「検知だけでよいか、それとも自動遮断まで必要か」という点が重要な検討ポイントになります。
IDSの種類と検知方式
設置場所による分類
| 種類 | 正式名称 | 監視対象 | 主な用途 |
|---|---|---|---|
| NIDS | ネットワーク型IDS | ネットワーク全体のパケット | 外部からの攻撃検知 |
| HIDS | ホスト型IDS | 個別サーバー・PCのログ | 内部の不審操作検知 |
検知方式による分類
| 方式 | 別名 | しくみ | 特徴 |
|---|---|---|---|
| シグネチャ検知 | 誤用検知 | 既知の攻撃パターン(シグネチャ)と照合 | 精度が高いが新種攻撃に弱い |
| アノマリ検知 | 異常検知 | 通常の通信との差異を検出 | 未知の攻撃に強いが誤報が多い |
覚え方・語呂合わせ
「IDS=いちおう知らせる、止めない」
IDSは検知して「知らせる(Detect)」だけ。止める(Prevent)のはIPS!
IDS → Detect(検知)、IPS → Prevent(防止)と頭文字で区別しよう。
歴史と背景
- 1980年代前半:米国スタンフォード研究所のジェームズ・アンダーソンが「コンピューター脅威の監視」に関する論文を発表し、IDSの概念が生まれる
- 1987年:ドロシー・デニングが現代IDSの基礎となる「侵入検知モデル」を論文で提唱。シグネチャ検知・アノマリ検知の原型が定義される
- 1990年代:インターネットの急速な普及に伴い、ネットワーク攻撃が激増。商用IDSが登場し始める
- 1998年:オープンソースのNIDS「Snort」が登場。低コストで導入できることから世界中に普及し、IDSのデファクトスタンダードに
- 2000年代:ファイアウォールだけでは防げない攻撃への対策として、IDSが企業のセキュリティ基盤として定着
- 2000年代後半〜現在:自動遮断機能を持つIPS(侵入防止システム) が登場し、IDSとIPSを統合した製品や、AI・機械学習を活用したより高度な次世代型製品が主流に
IDS・IPS・ファイアウォールの関係
セキュリティ製品はそれぞれ役割が異なります。「どこに何を置くか」をイメージすると選定がしやすくなります。
IDSとIPSの使い分けポイント
| 観点 | IDS向き | IPS向き |
|---|---|---|
| ネットワーク規模 | 小〜中規模 | 大規模・重要インフラ |
| 誤検知リスク | 許容できる | 誤検知で業務停止が困る |
| 運用体制 | セキュリティ担当者が対応できる | 自動対処が必要 |
| コスト感 | 比較的安価 | 高機能・高コスト |
実務のポイント:近年はIDSとIPSの機能を統合した製品が多く、「IDS/IPSセット」として導入するケースが一般的です。発注時は「検知のみか、自動遮断まで必要か」を明確にしてから選定しましょう。
関連する規格・RFC
| 規格・RFC番号 | 内容 |
|---|---|
| RFC 4765 | IDMEF(侵入検知メッセージ交換フォーマット)の定義 |
| RFC 4766 | IDMEF のデータモデル仕様 |
| RFC 4767 | IDXP(IDSシステム間通信プロトコル)の定義 |
| ISO/IEC 27001 | 情報セキュリティ管理の国際規格(IDSはその統制手段の一つ) |