侵入検知システム (IDS) と侵入防止システム (IPS) の主な違いは、IDS が監視システムで、IPS が制御システムであることです。 IDSはネットワークトラフィックを変更しませんが、IPSはパケットの内容に基づいて配信するパケットを防止し、ファイアウォールがIPアドレスによってトラフィックを防止するのと同じです。

IDS はネットワークを監視し、システムやネットワークで疑わしい活動が検出されるとアラートを送信するために使用され、IPS はサイバー攻撃に対してリアルタイムで反応し、標的となるシステムやネットワークへの攻撃を防止することを目的としています。 しかし、IDS と IPS の両方が同じ監視および検出方法を実装できることに注意することが重要です。

この記事では、侵入の特徴、サイバー犯罪者がネットワーク セキュリティを侵害するために使用できるさまざまな攻撃ベクトル、IDS/IPS の定義、およびそれらがネットワークを保護しサイバー セキュリティを向上させる方法について概要を説明します。

ネットワーク侵入とは

ネットワーク侵入とは、コンピューター ネットワーク上での不正な活動のことです。 侵入を検出するには、ネットワーク アクティビティと一般的なセキュリティ脅威を明確に理解することが必要です。 ネットワーク侵入検知システムおよびネットワーク侵入防止システムを適切に設計および配備することにより、機密データの窃盗、データ侵害の原因、およびマルウェアのインストールを目的とする侵入者をブロックすることができます。

ネットワークおよびエンドポイントは、世界のどこにでも存在し、攻撃対象を悪用しようとする脅威行為者からの侵入に対して脆弱である可能性があります。

一般的なネットワークの脆弱性には、以下のようなものがあります:

  • マルウェア。 マルウェア、または悪意のあるソフトウェアは、コンピュータのユーザーにとって有害なプログラムやファイルです。 マルウェアの種類には、コンピューターウイルス、ワーム、トロイの木馬、スパイウェア、アドウェア、ランサムウェアなどがあります。 マルウェアに関する詳しい記事はこちら
  • ソーシャルエンジニアリング攻撃。 ソーシャルエンジニアリングとは、人間の心理や感受性を悪用して被害者を操り、機密情報や機密データを漏らしたり、通常のセキュリティ基準を破るような行動を取らせたりする攻撃手法です。 ソーシャルエンジニアリングの一般的な例としては、フィッシング、スピアフィッシング、ホエーリング攻撃などが挙げられます。 ソーシャルエンジニアリングに関する詳しい記事はこちら
  • 古い、またはパッチが適用されていないソフトウェアやハードウェア。 古い、またはパッチの適用されていないソフトウェアやハードウェアには、CVEに記載されているような既知の脆弱性がある可能性があります。 脆弱性とは、サイバー攻撃によって悪用され、コンピュータシステムに不正にアクセスしたり、不正な動作を行ったりすることができる弱点のことです。 特に、WannaCryransomwareにつながったようなワーム型の脆弱性はリスクが高いです。 詳しくは、脆弱性に関する記事をご覧ください。
  • データ記憶装置。 USBや外付けハードディスクなどのポータブルストレージデバイスは、ネットワークにマルウェアを持ち込む可能性があります。

侵入検知システム (IDS) とは?

侵入検知システム (IDS) は、ネットワークまたはシステムを監視して悪意のある活動やポリシー違反を検出するデバイスまたはソフトウェア アプリケーションです。 悪意のあるトラフィックや違反は、通常、管理者に報告されるか、セキュリティ情報およびイベント管理 (SIEM) システムを使用して一元的に収集されます。

侵入検知システム(IDS)の仕組み

侵入を監視するためにIDSが採用している一般的な検知方法は3種類あります。

  1. シグネチャベースの検出。 ネットワーク・トラフィックのバイト配列や、マルウェアが使用するシグネチャ(既知の悪意のある命令配列)など、特定のパターンを探すことで攻撃を検出します。 この用語は、これらのパターンをシグネチャと呼ぶアンチウイルス・ソフトウェアに由来しています。 シグネチャベースのIDSは、既知のサイバー攻撃を容易に検出できる一方で、パターンが存在しない新しい攻撃を検出することは困難です。
  2. アノマリーベースの検知。 システムの活動を監視し、正常と異常のいずれかに分類することで、ネットワークとコンピュータの両方の侵入と不正使用を検出する侵入検知システム。 マルウェアの急速な発達もあり、未知の攻撃を検知するために開発されたセキュリティシステムの一種である。 基本的なアプローチは、機械学習を用いて信頼できる行動のモデルを作り、新しい行動をそのモデルと比較することである。 このモデルは、特定のアプリケーションやハードウェアの構成に応じて学習させることができるため、従来のシグネチャベースのIDSと比較して、より汎用性の高い特性を有している。 しかし、誤検出が多いという問題がある。
  3. レピュテーションベースの検出。

侵入検知システム(IDS)の種類は?

IDSシステムは、単一のコンピュータから大規模ネットワークまで幅広く、一般的に2種類に分類されます:

  • ネットワーク侵入検知システム(NIDS)。 受信したネットワーク・トラフィックを分析するシステム。 NIDSは、ネットワーク内の戦略的なポイントに配置され、デバイスとの間のトラフィックを監視する。 サブネット全体の通過トラフィックの分析を行い、既知の攻撃のライブラリと照合する。 攻撃が確認された場合、管理者にアラートを送信することができます。
  • Host-based intrusion detection system (HIDS)。 個々のホストまたはデバイス上の重要なオペレーティング・システム・ファイルを実行および監視するシステム。 HIDSは、デバイスからのインバウンドおよびアウトバウンドのパケットを監視し、疑わしい活動を検出した場合、ユーザーまたは管理者に警告を発します。 既存のシステム・ファイルのスナップショットを取得し、重要なファイルが変更または削除されている場合は、以前のスナップショットと照合し、警告を発します。

侵入防止システム(IPS)とは?

侵入防止システム(IPS)または侵入検出および防止システム(IDPS)は、悪意のある活動の可能性を特定し、情報を記録し、試みを報告し、それを防止しようとするネットワークセキュリティアプリケーションです。 IPSシステムは、多くの場合、ファイアウォールの後ろに直接設置されます。

さらに、IPS ソリューションは、セキュリティ戦略の問題を特定し、既存の脅威を文書化し、個人がセキュリティポリシーに違反するのを阻止するために使用することができます。

攻撃を阻止するために、IPSはファイアウォールを再設定したり、攻撃の内容を変更したりして、セキュリティ環境を変更することができる。

侵入防止システムは、ネットワーク トラフィックやシステム アクティビティを監視して悪意のあるアクティビティを検出するため、多くの人が侵入検出システムの拡張とみなしています。

侵入防止システム (IPS) はどのように機能するのですか?

侵入防止システム (IPS) は、次の検出方法の 1 つ以上を使用して、すべてのネットワーク トラフィックをスキャンすることによって機能します。

  1. シグネチャベースの検出。 シグネチャベースの検出:シグネチャベースの IPS は、ネットワーク内のパケットを監視し、シグネチャとして知られる事前に設定され決定された攻撃パターンと比較します。 異常ベースのIPSは、ネットワーク・トラフィックを監視し、確立されたベースラインと比較します。 このベースラインは、ネットワークで何が「正常」であるか、たとえば、どのくらいの帯域幅が使用されているか、どのプロトコルが使用されているかなどを特定するために使用されます。 このタイプの異常検出は、新しい脅威を特定するには適していますが、帯域幅の正当な使用がベースラインを上回った場合、またはベースラインの設定が不十分な場合、誤検出を引き起こす可能性もあります。
  2. ステートフルプロトコル解析検出。 この方法は、観測されたイベントを、一般に受け入れられている良性活動の定義のあらかじめ決められたプロファイルと比較することによって、プロトコル状態の逸脱を識別します。

検出されると、IPSはネットワークを通過するすべてのパケットに対してリアルタイムのパケット検査を実行し、疑わしいと見なされた場合、次のいずれかのアクションを実行します。

  • 悪用された TCP セッションを終了する
  • 問題の IP アドレスまたはユーザー アカウントが、アプリケーション、ホスト、またはネットワーク リソースにアクセスできないようにブロックする
  • 後日同様の攻撃が発生しないように、ファイアウォールを再プログラムまたは再構成する
  • 攻撃後に残る悪質なコンテンツをペイロードを再パッケージ化して削除または置換する。 ヘッダー情報の削除、感染ファイルの破壊

正しく展開されれば、IPSは悪意のあるパケットや不要なパケット、その他のさまざまなサイバー脅威によって引き起こされる深刻な被害を防ぐことが可能になります。

  • 分散型サービス拒否(DDOS)
  • エクスプロイト
  • コンピューター ワーム
  • ウイルス
  • ブルート フォース攻撃

侵入防御システム(IPS)の種類は何でしょうか。

侵入防御システムは、一般に4つのタイプに分類されます。

  1. ネットワークベースの侵入防御システム(NIPS)です。 NIPSは、ネットワーク全体のパケットを分析することにより、悪意のある活動や疑わしい活動を検出し、防止します。 インストールされると、NIPSはホストとネットワークから情報を収集し、ネットワーク上で許可されたホスト、アプリケーション、およびオペレーティングシステムを識別します。 また、通常のトラフィックに関する情報をログに記録し、ベースラインからの変化を特定します。 NIPS は、TCP 接続の送信、帯域幅の使用制限、またはパケットの拒否によって攻撃を防止することができます。 有用ではありますが、一般的に、暗号化されたネットワーク・トラフィックの解析、高トラフィック負荷の処理、それらに対する直接の攻撃には対応できません。
  2. ワイヤレス侵入防止システム(WIPS)。 WIPSは、電波スペクトルを監視して不正なアクセスポイントの存在を確認し、自動的に対策を施して排除する。 このシステムは通常、既存の無線LANインフラストラクチャにオーバーレイとして実装されますが、組織内で無線禁止ポリシーを実施するために単独で展開される場合もあります。 先進的な無線LANインフラには、WIPSの機能が統合されているものもある。 不正アクセスポイント、設定ミスアクセスポイント、中間者攻撃、MACスプーフィング、ハニーポット、サービス拒否攻撃などです。
  3. ネットワーク動作解析(NBA)。 このタイプの侵入防止システムは、異常ベースの検知に依存し、システムまたはネットワークにおける正常な動作と見なされるものからの逸脱を探します。 つまり、何が正常とみなされるかをプロファイリングするためのトレーニング期間が必要です。 学習期間が終了すると、不整合は悪意のあるものとしてフラグが立てられます。 これは新しい脅威を検出するのには適していますが、学習期間中にネットワークが侵害された場合、悪意のある動作が正常とみなされる可能性があり、問題が発生する可能性があります。 さらに、これらのセキュリティ・ツールは誤検出を引き起こす可能性があります。
  4. ホストベースの侵入防止システム (HIPS)。 重要なコンピュータシステムを保護するために採用されたシステムまたはプログラム。 HIPS は、単一のホスト上の活動を分析し、主にコードの動作を分析することによって、悪意のある活動を検出および防止します。 HIPSは、暗号を使用した攻撃を防ぐことができるため、よく評価されている。 また、HIPSは、個人を特定できる情報(PII)や保護された医療情報(PHI)などの機密情報がホストから抽出されるのを防ぐために使用されることもある。 HIPS は単一のマシン上で動作するため、ネットワークベースの IDS や IPS と共に使用するのが最適です。

侵入検知システム (IDS) と侵入防御システム (IPS) の制限事項とは何ですか。

IDS と IPS の制限事項は次のとおりです。

  • Noise.NO.NO.NO.NO.NO.NO.NO.NO.NO.NO.NO.NO.NO.NO.NO。 バグから生成された不良パケット、破損した DNS データ、および逃亡したローカルパケットは、侵入検知システムの有効性を制限し、高い誤警報率を引き起こす可能性があります。 実際の攻撃の数が誤報の数より少ないことは珍しくありません。
  • 古いシグネチャ データベースのため、実際の攻撃が見逃されたり無視されたりすることがあります。 多くの攻撃は、既知の脆弱性を悪用するため、シグネチャのライブラリが最新の状態でないと効果がないことを意味します。 古いシグネチャデータベースは、新しい戦略に対して脆弱なままにしておくことができます。
  • 発見と適用との間のラグ。 シグネチャベースの検知では、新しいタイプの攻撃を発見してから、シグネチャがシグネチャデータベースに追加されるまでにタイムラグが生じることがあります。 この間、IDSは攻撃を識別できません。
  • 弱い識別や認証からの保護が限定的であること。
  • 暗号化されたパケットの処理能力不足。 暗号化されたパケットを処理しない:ほとんどのIDSは暗号化されたパケットを処理しないので、ネットワークへの侵入に利用され、発見されない可能性がある。 多くのIDSは、ネットワークに送信されたIPパケットに関連付けられたネットワークアドレスに基づく情報を提供します。 これは、IPパケットが正確であれば有益ですが、偽造やスクランブルされる可能性があります。 詳しくは、IP属性の限界に関する投稿をご覧ください。
  • 保護するために設計されたのと同じプロトコルベースの攻撃を受けやすい。 NIDS の性質上、また捕捉したプロトコルを分析する必要があるため、特定の種類の攻撃に対して脆弱になる可能性があります。 例えば、不正なデータやTCP/IPスタックへの攻撃は、NIDSのクラッシュを引き起こす可能性があります。

侵入検知システム (IDS) と侵入防止システム (IPS) の違いは何ですか。

主な違いは、IDS が監視システムで、IPS が制御システムであることです。 IDS/IPS はどちらもネットワーク パケットを読み取り、その内容を既知の脅威またはベースライン アクティビティのデータベースと比較します。 ただし、IDS はネットワーク・パケットを変更しないのに対し、IPS は、ファイアウォールが IP アドレスに対して行うのと同様に、その内容に基づいてパケットの配信を阻止できます。 このような場合、ネットワーク・セキュリティは、その使用目的によって異なります。 IDSは、既知の脅威、セキュリティ・ポリシー違反、およびオープン・ポート・スキャンと現在のネットワーク・アクティビティを比較します。 IDSは、人間または別のシステムが結果を見て対応策を決定する必要があり、事後的なデジタル・フォレンジック・ツールとして優れている。 また、IDS はインラインではないので、トラフィックはIDS を通過する必要はありません。

  • 侵入防止システム (IPS)。 IPSにも検出機能がありますが、既知のセキュリティ脅威であると判断した場合、ネットワーク・トラフィックを積極的に拒否します。
  • IDS と IPS は一緒に動作しますか。

    Yes IDS と IPS は一緒に動作します。 最近のベンダーの多くは、IDSやIPSとファイアウォールを組み合わせています。 このような技術は、次世代ファイアウォール(NGFW)または統合脅威管理(UTM)と呼ばれています。

    侵入検知システム (IDS) および侵入防止システム (IPS) は、ファイアウォールとどのように違うのですか?

    従来のネットワークファイアウォールは、ネットワーク接続を許可または拒否する静的なルールセットを使用しています。 これは、適切なルールが定義されていることを前提に、侵入を防ぐことができます。 基本的に、ファイアウォールは侵入を防ぐためにネットワーク間のアクセスを制限するように設計されていますが、ネットワーク内部からの攻撃は防げません。

    IDS と IPS は、侵入の疑いがある場合に警告を送信し、ネットワーク内部からの攻撃も監視します。 なお、次世代ファイアウォールは一般に、従来のファイアウォール技術にディープ・パケット・インスペクション、IDS、IPSを組み合わせたものである。

    IDS と IPS が重要な理由

    セキュリティ チームは、データ分岐やデータ漏洩からコンプライアンス罰金まで、セキュリティに関する懸念事項が増え続ける一方で、予算や企業政治による制約を受けています。 IDS と IPS のテクノロジーは、セキュリティ管理プログラムの重要な部分をカバーするのに役立ちます。 IDSとIPSは、一度設定すれば、通常は手を煩わせることがありません。 多くの規制では、機密データを保護するための技術に投資していることを証明する必要があります。 IDSやIPSを導入することで、多くのCIS対策に対応することができます。 さらに重要なこととして、これらの製品は、あなたとあなたの顧客の最も機密性の高いデータを保護し、データセキュリティを向上させることができます。 IDSとIPSは、ネットワーク・レベルでの情報セキュリティ・ポリシーの実施を支援するように設定することができます。 たとえば、1つのオペレーティングシステムしかサポートしていない場合、IPSを使用して他のオペレーティングシステムから来るトラフィックをブロックできます。

    アップガードがIDSおよびIPS技術を補完する方法

    Intercontinental Exchange、テイラーフライ、The New York Stock Exchange、IAG、ファーストステートスーパー、アカマイ、モーニングスター、NASAなどの会社は、データの保護、データ漏洩防止、セキュリティ運用状況の評価にアップガードのセキュリティ評価法を使用しています。

    情報セキュリティ管理の評価については、アップガード・ブリーチサイトは、シンプルでわかりやすいサイバーセキュリティ評価を提供する70以上のセキュリティ管理について組織を監視し、S3バケット、Rsyncサーバー、GitHubレポなどにおける漏洩した認証情報とデータの露出を自動的に検出することが可能です。

    UpGuard Vendor Riskは、ベンダーの質問票を自動化し、ベンダーの質問票テンプレートを提供することにより、組織が関連および第三者の情報セキュリティ管理の評価にかける時間を最小限に抑えることができます。

    また、現在および将来のベンダーを業界に対して瞬時にベンチマークし、その積み上がりを確認できます。

    アップガードと他のセキュリティ評価ベンダーとの大きな違いは、データ侵害およびデータ流出の防止に関する専門知識が非常に公に証明されていることです。

    当社の専門知識は、ニューヨークタイムズ、ウォールストリートジャーナル、ブルームバーグ、ワシントンポスト、フォーブス、ロイター、TechCrunch などで紹介されています。

    Gartner レビューで、当社の顧客の声についてもっと読むことができます。

    組織のセキュリティ評価を確認したい場合は、ここをクリックして無料のサイバー セキュリティ評価をリクエストしてください。

    UpGuard プラットフォームの 7 日間無料トライアルを今すぐご利用ください。

    コメントを残す

    メールアドレスが公開されることはありません。