連載
» 2004年01月01日 10時00分 公開

セキュリティ用語事典:IDS(Intrusion Detection System)

不正アクセス監視システム / 侵入検知システム

[@IT]

 不正アクセス監視システム、または侵入検知システムと呼ぶ。ネットワークを流れるパケットを監視して、不正アクセスと思われるパケットを発見したときにアラームを表示するとともに、当該通信記録を収集し保存する仕組み。

 ツールによっては、アラームを表示すると同時に当該セッションを切断したり、ファイアウォールやルータのルールを変更するなどの機能を持っている。

 IDSのタイプには、ネットワーク型監視(ネットワーク上のパケットを監視)とサーバ型監視(サーバのI/Oパケットを監視)がある。ネットワーク型監視では、既設のネットワーク構成を変更することなく導入が可能だが、サーバ型監視では、サーバに監視ソフトウェアを導入する必要があるため、すでに動作しているアプリケーションへの影響の有無を事前に検証することが望ましい。

 IDSによる不正アクセス検知の方式には次の2種類がある。

  • “シグネチャ”ベースの侵入検知
  • 統計ベースの侵入検知

 一方でIDSを導入する際には、IDSが持つ機能とIDSの限界を認識したうえで、最適なチューニングおよび運用設計を実施する必要がある。

  • IDSは不審なパケットを検知することができても、対象サーバに対して、そのパケットがもたらす影響、その通信による不正行為が成功したかどうかについては検知できない。
  • ネットワークの高速化に伴い、キャプチャリングのロスが発生したり、パケットシグネチャ分析の速度が追随できない。
  • 誤検知/過剰検知が多く、正常な通信であるにもかかわらず、攻撃として検出されるケースが多い。

関連用語

ファイアウォール

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。