情報セキュリティ講座(72)　IDSとIPS

ネットワークの水際で外部からの侵入を防御するのがファイアーウォールですが、100%侵入を止められるわけではありません。侵入された後どうするか、ということも考えておく必要があります。

外部からの侵入を探知する仕組みが、IDS(Intrusion Detection System、侵入検知システム)であり、検知するだけでなく侵入者に対する防御も行うのがIPS(Intrusion Prevention System)です。

ファイアーウォールを突破できる侵入方法として、たとえばDoS攻撃があります。一つ一つのパケットは通常のものでも、大量に送り付けることによってサービスの停止を狙う攻撃であり、ファイアーウォールではそれが攻撃なのかどうか判別がつきません。

IDSはパケットの量やパターンを見て判断するので、より効果的に攻撃かどうかを判断できます。IDSには次の２種類があります。

1. NIDS(Network IDS)
ネットワークに接続され、監視します。

2. HIDS(Host IDS)
あるサーバ（ホスト）にインストールされ、そのサーバのみを監視します。

NIDSは各ホストに負荷がかかりませんが、検知能力は下がります。HIDSはその逆で、各ホストに負荷がかかりますが、検知能力は高まります。IPSは、検知と共に防御も行うので、当然防御性能は上がりますが、サーバへの負荷も高くなります。

まずはNIDSを検討し、ネットワークの異常値を監視するのが常道だと言えます。