Intrusion Detection System (IDS)

侵入検知システム(IDS)は、不審なアクティビティを検出し、検出されたときにアラートを生成する監視システムです。 これらのアラートに基づいて、セキュリティ オペレーション センター (SOC) アナリストまたはインシデント対応者は問題を調査し、脅威を修復するための適切なアクションを実行できます。

クラウドIDSデモ Frost & Sullivanのレポートを読む

What is an Intrusion Detection System (IDS)?

侵入検知システムの分類

侵入検知システムは、さまざまな環境に展開できるように設計されています。 また、多くのサイバーセキュリティソリューションと同様に、IDSはホストベースまたはネットワークベースのいずれかです。

 

  • ホストベース IDS (HIDS): ホストベースの IDS は、特定のエンドポイントに展開され、内部および外部の脅威からエンドポイントを保護するように設計されています。 このような IDS には、マシンとの間のネットワーク トラフィックを監視し、実行中のプロセスを監視し、システムのログを検査する機能がある場合があります。 ホストベースの IDS の可視性はホストマシンに限定されるため、意思決定に利用できるコンテキストは減少しますが、ホストコンピュータの内部を詳細に可視化できます。
  • ネットワークベース IDS (NIDS): ネットワークベースの IDS ソリューションは、保護されたネットワーク全体を監視するように設計されています。 ネットワークを通過するすべてのトラフィックを可視化し、パケットのメタデータと内容に基づいて判断します。 このより広い視点は、より多くのコンテキストと広範な脅威を検出する能力を提供します。ただし、これらのシステムには、保護するエンドポイントの内部に対する可視性がありません。

 

可視性のレベルが異なるため、HIDSまたはNIDSを単独で展開すると、組織のシステムの保護が不完全になります。 複数のテクノロジーを 1 つのシステムに統合する 統合脅威管理ソリューションは、より包括的なセキュリティを提供できます。

IDS デプロイメントの検出方法

IDS ソリューションでは、デプロイメントの場所だけでなく、潜在的な侵入を特定する方法も異なります。

  • シグネチャ検出: シグネチャベースのIDSソリューションは、既知の脅威のフィンガープリントを使用してそれらを識別します。 マルウェアやその他の悪意のあるコンテンツが特定されると、シグネチャが生成され、IDS ソリューションが受信コンテンツをテストするために使用するリストに追加されます。 これにより、IDS は、既知の悪意のあるコンテンツの検出に基づいてすべてのアラートが生成されるため、誤検知のない高い脅威検出率を実現できます。 ただし、シグネチャベースのIDSは既知の脅威の検出に限定されており、ゼロデイ脆弱性には対応していません。
  • 異常検出: 異常ベースの IDS ソリューションは、保護されたシステムの「正常な」動作のモデルを構築します。 今後のすべての動作がこのモデルと比較され、異常は潜在的な脅威としてラベル付けされ、アラートが生成されます。 このアプローチでは、新しい脅威やゼロデイ脅威を検出できますが、「正常な」動作の正確なモデルを構築することは難しいため、これらのシステムは誤検知(誤ったアラート)と偽陰性(検出の見逃し)のバランスを取る必要があります。
  • ハイブリッド検出: ハイブリッド IDS は、シグネチャベースの検出と異常ベースの検出の両方を使用します。 これにより、どちらかのシステムを単独で使用するよりも低いエラー率で、より多くの潜在的な攻撃を検出できます。

IDSとファイアウォール

侵入検知システムと ファイアウォール は、どちらもエンドポイントやネットワークを保護するために導入できるサイバーセキュリティソリューションです。 ただし、目的は大きく異なります。

IDS は、潜在的な脅威を検出してアラートを生成するパッシブ監視デバイスであり、セキュリティ オペレーション センター (SOC) のアナリストまたはインシデント対応者が潜在的なインシデントを調査して対応できるようにします。 IDS は、エンドポイントまたはネットワークに対して実際の保護を提供しません。 一方、ファイアウォールは、保護システムとして機能するように設計されています。 ネットワークパケットのメタデータの分析を実行し、事前定義されたルールに基づいてトラフィックを許可またはブロックします。 これにより、特定の種類のトラフィックまたはプロトコルが通過できない境界が作成されます。

ファイアウォールはアクティブな保護デバイスであるため、IDSというよりも 侵入防止システム(IPS) のようなものです。 IPSはIDSと似ていますが、単にアラートを発するだけでなく、特定された脅威を積極的にブロックします。 これはファイアウォールの機能を補完するもので、多くの 次世代ファイアウォール(NGFW) にはIDS/IPS機能が統合されています。 これにより、事前定義されたフィルタリングルール(ファイアウォール)を適用し、より高度なサイバー脅威(IDS/IPS)を検出して対応することができます。 IPSとIDSの議論の詳細については、こちらをご覧ください。

IDS ソリューションの選択

IDSは、あらゆる組織のサイバーセキュリティ展開の貴重なコンポーネントです。 単純なファイアウォールはネットワークセキュリティの基盤を提供しますが、多くの高度な脅威はそれをすり抜ける可能性があります。 IDSは防御線を追加し、攻撃者が検出されずに組織のネットワークにアクセスすることをより困難にします。

 

IDS ソリューションを選択する際には、デプロイメントのシナリオを慎重に検討することが重要です。 IDSが最適な場合もあれば、IPSの統合保護がより良い選択肢である場合もあります。 IDS/IPS機能が組み込まれたNGFWを使用すると、統合ソリューションが提供され、脅威の検出とセキュリティ管理が簡素化されます。

 

チェック・ポイントは、非常に低いエラー率で高レベルの脅威検出を提供するIDSおよびIPSシステムの開発に長年の経験があり、SOCアナリストやインシデント対応者が真の脅威を簡単に特定できるようにします。 IDS/IPS機能を統合したNGFWの動作をご覧になりたい方は、 デモをご依頼 いただくか、ご不明な点がございましたら お問い合わせください 。 さらに、 このウェビナーでは、IoTネットワークとデバイスへの攻撃を防ぐ方法について学ぶことができます。

×
  Feedback
このWebサイトでは、機能、分析、およびマーケティング上の目的でCookieを使用しています。本Webサイトの使用を継続した場合、Cookieの使用に同意したことになります。詳細については、Cookieについてのお知らせをご覧ください。
OK