侵入検知システム
出典: フリー百科事典『ウィキペディア(Wikipedia)』
侵入検知システム(しんにゅうけんちしすてむ)は、別名Intrusion Detection system略してIDSとも呼ばれ、コンピュータセキュリティ用語の上で、「ネットワーク上などへの不正なアクセスの兆候を検知し、ネットワーク管理者に通報する」機能を持つソフトウェア、またはハードウェアである。
目次 |
[編集] 概要
コンピュータネットワークは、一部の業務系システムのように閉鎖されたLAN等の小さなネットワークだけで稼動するだけでなく、外部ネットワークと接続して稼動する場合がある。
しかし、外部ネットワークと接続することは、不正アクセスと隣り合わせになることを意味する。 このため、外部との接続経路にはファイアーウォールやプロキシサーバー等を配して一元化し、その上で通信を管理・制御することで、不正アクセスや侵入の企てを防護する措置をとる。
ただ、それらの防護措置を取っても必ずしも全ての侵入が防ぐ事が可能な訳でも無く(なりすましなど)、また防護の網をかいくぐって侵入してきた不正なアクセスによって、データの改竄やシステムの破壊、更にはデータ窃盗などを受ける懸念を拭い去る事は出来ない。
そこで、IDSを用いて不正なアクセスの兆候を検知し、管理者へ通知する。 管理者は実際の被害に先だって警戒でき、必要なら回線切断等の防衛策を講じ、システムの破壊などを未然に防止できる。
IDSが自動的な通信切断やサーバのシャットダウンなどの防衛を実行せず、あくまで管理者にメール(大抵は速攻性を重視するために、携帯電話へのメール)を送信して異常を通知するだけなのは、検知した異常が攻撃であるとは限らないためである。
ファイアーウォールは、一般的にトランスポート層までの情報までを扱うが、IDSは、パケットに含まれる全データを確認する。ただし、昨今のファイアーウォール製品の中には、IDS, IPSに近い機能を有する製品も少なくない。 これらのシステムは常に通信の量や種類をチェックし、通常業務ではありえない通信種別の偏りや、急激な通信量の増大、更には特定の通信相手以外との接続をチェックする。
通常、不正アクセスを企てる者は、様々な攻撃手法で対象の脆弱性を探り、内部情報へのアクセス権や管理権限を手に入れようとするが、これらの手法は一般化されており、大抵が「ある種の類似性」をもっているため、これを攻撃の予備段階として検知できる。
なお、IDSには普段との比較で異常を検知する物と、予測される攻撃のパターンを予め持っていてそのパターンに合致する現象が起きた際に通報を行う物があるが、後者の方がより普及している。また、ネットワーク型IDS(NIDS)とホスト型IDS(HIDS)といった分類をすることもある。
[編集] ネットワーク型IDS(NIDS)
NIDSは、 コンピュータネットワークの通信内容を積極的に検査し、ネットワークの攻撃などといった、不正アクセスの疑いがあると思われるものについては、ただちにネットワークの管理者へ攻撃の事実を通知する。
[編集] ホスト型IDS(HIDS)
HIDSは、サーバマシンにソフトウェアとして組み込まれ、対象のサーバに異常が発生していないかを監視する。異常が確認された際には、NIDSと同様に通知を行う。
[編集] IPSとの関連
IDSの発展型として、侵入防止システム(IPS: Intrusion Protection System)がある。 IPSは、異常を通知するだけでなく、通信遮断などのネットワーク防御を自動で行う機能を持つ。
現在は、ファイアーウォールと連動して異常な通信を行う対象を自動的に遮断する、異常検知ルールの自動生成や改竄検出など、より能動的な防衛機能を搭載する研究が行われている。
ただし、原理原則としては、通信はそこで扱う内容について一切斟酌しないべきものであるとして、こうした積極的な通知や防衛策を取るIDSやIPSのような仕組みを好ましく思わない技術者もいる。
[編集] 備考
2003年11月下旬に、長野県が行った住基ネット公開侵入実験において、端末回線の物理的な接続時に発生した電気的ノイズが、住基ネットを管理・運営する地方自治情報センターにある同種の機器に、異常通信として検知されて侵入警報が発令され、この騒動に総務省が長野県に対し「不正アクセスだ」とするコメントを発表して物議を醸している。
[編集] 関連項目
- IPS
- クラッカー(スクリプトキディ)
- コンピュータセキュリティ
- コンピュータウイルス
- 辞書攻撃
- DoS攻撃
- ポートスキャン
- 不正アクセス行為の禁止等に関する法律
- データマイニング
- 免疫アルゴリズム(ディジタル免疫システム、免疫型システム、免疫系)
