情報セキュリティ講座(72) IDSとIPS
ネットワークの水際で外部からの侵入を防御するのがファイアーウォールですが、100%侵入を止められるわけではありません。侵入された後どうするか、ということも考えておく必要があります。
外部からの侵入を探知する仕組みが、IDS(Intrusion Detection System、侵入検知システム)であり、検知するだけでなく侵入者に対する防御も行うのがIPS(Intrusion Prevention System)です。
ファイアーウォールを突破できる侵入方法として、たとえばDoS攻撃があります。一つ一つのパケットは通常のものでも、大量に送り付けることによってサービスの停止を狙う攻撃であり、ファイアーウォールではそれが攻撃なのかどうか判別がつきません。
IDSはパケットの量やパターンを見て判断するので、より効果的に攻撃かどうかを判断できます。IDSには次の2種類があります。
1. NIDS(Network IDS)
ネットワークに接続され、監視します。
2. HIDS(Host IDS)
あるサーバ(ホスト)にインストールされ、そのサーバのみを監視します。
NIDSは各ホストに負荷がかかりませんが、検知能力は下がります。HIDSはその逆で、各ホストに負荷がかかりますが、検知能力は高まります。IPSは、検知と共に防御も行うので、当然防御性能は上がりますが、サーバへの負荷も高くなります。
まずはNIDSを検討し、ネットワークの異常値を監視するのが常道だと言えます。