侵入検知システム 種類

ウィキペディア

侵入検知システム

出典: フリー百科事典『ウィキペディア（Wikipedia）』 (2023/09/23 04:59 UTC 版)

種類

IDPSは以下の4種類に分類できる^[3]：

分類	センサー・エージェントの主な設置・インストール場所	主な検知イベント	備考	技術的制約
ネットワークベースIDPS	ネットワーク境界[9]	IPアドレスのなりすましや不正なIPヘッダなどネットワーク層の偵察・攻撃[10] ポートスキャン、異常なパケット分割、SYNフラッド攻撃などトランスポート層の偵察・攻撃[10] バナー取得、バッファオーバーフロー、書式文字列攻撃、パスワード推測、マルウェア伝送などのアプリケーション層の偵察・攻撃[10] トンネリングされたプロトコル、バックドア、許可されていないアプリケーションサービスが稼働しているホストなどの特定[10] ウェブサイトの不適切な利用や禁止したアプリケーションプロトコルの使用など[10]	シグナチャベース、アノマリベース、ステートフルパケット解析を組み合わせて解析する製品がほとんどである[11]。 通信の解析により、監視対象のホストに導入されているアプリケーションやそのバージョン等を把握し[12]、攻撃でついてくる脆弱性がホストで有効であるか否かを調べる事により、攻撃成功可能性の高さを判断できる[12]。またあるホストへの攻撃を検知したとき同一のアプリが入っているホストへのアラートの優先度を上げる事ができる[12]。 センサの監視用インターフェースにIPアドレスを振らないで動作させる事をステルスモードという。ステルスモードのセンサーには他の機器から接続できないので、セキュリティが向上する[13]。	一台のIDPSで数百～数千ものホストを監視する事もある為、観測内容の全てをIDPSが把握するのは不可能である[14]。また監視対象となる環境毎にチューニングやカスタマイズに多大な手間がかかってしまう。 高負荷がかかった場合、オーバーヘッドが大きいステートフルパケット解析ではパケットの取りこぼしが発生する。インライン型のものだと取りこぼしにより可用性が阻害される[15]。 暗号化データを解析できない[15]。暗号データの解析には復号を行うゲートウェイとの併用が必要[15]。 攻撃者は攻撃パケットを大量の「目くらまし」パケットの中に紛れ込ませる事ができる。この場合IDPSは目くらましパケットの負荷により攻撃パケットを取りこぼす可能性がある[15]。
無線IDPS	監視対象の無線ネットワークの通信範囲内や、無許可の無線ネットワーク活動が行われている懸念のある場所[9]	無許可もしくはセキュリティが十分確保されていないWLANおよびWLAN機器の存在[16] 通常とは異なるWLANの使用パターン[16]。例えばSTAの数が極端に多かったり、トラフィックが極端に大きいアクセスポイントの特定[16] フラッディングやジャミングを利用したDoS攻撃[16] ウォードライビングツールなどの無線ネットワークスキャナの存在[16] なりすまし、中間者攻撃[16]	無線IDPSは専用機器とアクセスポイントや無線スイッチにバンドルされるものとに分類でき[17]、専用機器は特定箇所に固定して設置するものと、持ち運び可能で不正アクセスポイント等を探すためのものとがある[17]。ノートPCにインストールできるタイプのものも一部存在する[17]。 監視対象の無線ネットワークからの影響を避けるため、固定して設置する無線IDPSは優先ネットワークで管理サーバやコンソールと通信するのが普通である。一部に有線ネットワークを必要としないスタンドアロン型のものもある[18]。 ほとんどの無線IDPSには三角測量で監視体調機器の物理的位置を特定する機能がある[19]。 監視対象が無線のみなので、アラートの種類やチューニング項目が少ない[19]。	無線ネットワークは複数の周波数帯からなり、各周波数帯は複数のチャネルからなるが、通常１つの無線IDPSは同一次官には１つのチャネルしか監視できず[20]、一定時間で監視チャネルを切り替えるなどする。このため攻撃者はチャネルの切り替えタイミングと同期する形で攻撃を行うチャネルを変える事で監視の目を逃れたり、２つのチャネルに同時に攻撃を行う事で監視されてない方のチャネルの攻撃を成功させたりできる[21]。 攻撃者による無線ネットワークの受動的盗聴を特定することはできない[21]。 無線LANに対するDoS攻撃の影響を受けやすい。 物理的攻撃の影響も受けやすい[21]。
NBA(Network Behavior Analysis)	組織内ネットワークフローの監視ができる場所、もしくは組織内と外部ネットワークの間の通信フローの監視ができる場所[9]	DoS攻撃[22] スキャン[22] ワームの拡散[22] トンネリングされたプロトコル、バックドア、使用禁止のアプリケーションプロトコルなどの特定[22] 事前に管理者が設定したポリシー（通信相手、通信時間、通信内容、通信量等のポリシー）への違反[22]	NBAの管理サーバは「アナライザ」と呼ばれる事がある[23]。 NBAセンサーは通常アプライアンスであり[23]、ほとんどは受動型（後述）である[24]。 NBAセンサーはネットワークパケットを直接監視するものの他に、ルータなどのネットワーク機器からフロー(NetFlowやsFlow)として供給されるデータを監視するものもある[23]。 検知は主にアノマリベースであるが[25]、限定的にシグナチャベースをサポートしているものもある[26]。 チューニングやカスタマイズはあまり発生しない[25]。	検知は主にアノマリベースなので、新しい機器やサービスの導入をアノマリとして検知してしまう[25]。 フローは数分～数十分置きにバッチでNBAに転送されるため、攻撃検知が遅れる[26]。
ホストベースIDPS	攻撃を受けやすい公開サーバや機密情報が置かれているサーバなどの重要ホスト[9]。その他PCのようなクライアントホストやアプリケーションサービスにもインストールされる[27]。	サンドボックス等を利用したコードの不正解析[28] バッファオーバーランの検知[28] アプリケーション毎のシステムコールの制限および監視[28] 許可済みリストとの比較によるアプリケーションやDLLの種類やバージョンの制限[28] ネットワークトラフィック解析[28]。特にサーバで利用されるサービスに特化したもの ファイルシステムの監視および制限[28] ログ解析[28] ネットワーク設定の監視[28]	ほとんどのホストベースIDPSはホストにエージェントをインストールするタイプである[29]。ただし特定のアプリケーションサーバの保護に特化した製品の場合はアプライアンスのものもある[29]。またエージェントは特定のOSにのみしかサポートしていないので、サポート外のOSの入ったホスト監視するにはアプライアンスを使う必要がある[30]。 ホストベースIDPSはデータがあるコードAから別のコードBに受け渡される際、そのデータをフックし、フックしたデータを解析してそのデータが無害と判断した場合のみBにデータを渡す。この仕組みをAとBの間に挟まれたシム（くさび）という[30]。シムの対象となるデータとしてはネットワークトラフィック、ファイルシステム関連のデータ、システムコール、レジストリ関連のデータ、電子メールやウェブなどよく使われるアプリケーションのデータがある[30]。 リムーバブルメディアの使用制限機能、オーディオビジュアル装置の監視機能、セキュリティ機能が無効になった時に有効にするなどのセキュリティ強化機能、プロセス監視機能、ネットワークトラフィックの監視機能などを備えている場合がある[31]。	チューニングやカスタマイズに多大な手間を要する[32]。この手間を軽減するため、ホストグループに対してポリシーを定める事ができる機能がある[32]。 リアルタイムではない検知手法を併用している場合があり、アラートが遅れる[32]。 ネットワーク負荷を軽減するため、集中サーバへの転送を数十分起きのバッチ処理にしている事が多く、情報の集約に遅延が発生する[32]。 ソフトウェアタイプが多いので、他のセキュリティ製品と競合して不具合を起こす場合がある[32]。 ホストベースIDPSのアップグレードに際してホストの再起動が必要な場合がある[32]。

ネットワークベースのIDPSとNBAはどちらもネットワークを監視する点では共通しているが、前者は主に組織LANと外部ネットワークの境界などネットワーク境界に設置され、境界をまたぐ通信を監視するのに対し、NBAは組織LAN内に設置され、LAN内の通信を監視する点に違いがある。

ネットワークベースIDS、IPSを略してそれぞれNIDS、NIPSと呼ぶ。同様にホストベースIDS、IPSをそれぞれ略してHIDS、HIPSという。

ネットワークベースのIDPSのセンサー設置方法としては、監視対象の通信が必ず通る場所にIDPSを設置するインライン型と^[33]、監視対象の通信が必ず通る場所にスパニングポート、ネットワークタップ、IDSロードバランサ等を設置する事で監視対象の通信をコピーし、コピーした通信をIDPSで監視する受動型がある^[33]。攻撃の遮断や回避のようなIPSとしての機能を利用する場合はインライン型が必須である^[33]。

インライン型の場合、ファイヤーウォールが攻撃と考えられる通信を遮断するのでファイヤーウォールの前に設置するか後ろに設置するかで取得できる情報や、IDPSへの負荷が異なる。ファイヤーウォール前後両方を監視するためにIDPS機能とファイヤーウォール機能がハイブリッドになった製品もある^[33]。

受動型はネットワークの複数箇所の通信をコピーして集約した上で解析できるという利点がある。例えばファイヤーウォールの前後およびDMZの通信を全てコピーして解析するといった行為が可能になる^[33]。

脚注

1. ^ “IDS（Intrusion Detection System）とは”. セキュリティ用語辞典. ＠IT (2018年10月9日). 2018年10月29日閲覧。
2. ^ NIST SP800-94 侵入検知および侵入防止システム（IDPS）に関するガイド　ページ： 2-1～2
3. ^ ^{a b} NIST SP800-94 侵入検知および侵入防止システム（IDPS）に関するガイド　ページ： ES-1
4. ^ ^{a b c d e f g h i j k l m n o p} NIST SP800-94 侵入検知および侵入防止システム（IDPS）に関するガイド　ページ： 2-2～4
5. ^ NIST SP800-94 侵入検知および侵入防止システム（IDPS）に関するガイド　ページ： ES-2
6. ^ ^{a b c d e f g} NIST SP800-94 侵入検知および侵入防止システム（IDPS）に関するガイド　ページ： 2-2
7. ^ ^{a b c d e f g h i j k} NIST SP800-94 侵入検知および侵入防止システム（IDPS）に関するガイド　ページ： 3-1～2
8. ^ ^{a b c} 佐々木他2014 pp.76-79
9. ^ ^{a b c d} NIST SP800-94 侵入検知および侵入防止システム（IDPS）に関するガイド　ページ： 2-7～8
10. ^ ^{a b c d e} NIST SP800-94 侵入検知および侵入防止システム（IDPS）に関するガイド　ページ： 4-11～12
11. ^ NIST SP800-94 侵入検知および侵入防止システム（IDPS）に関するガイド　ページ：4-10
12. ^ ^{a b c} NIST SP800-94 侵入検知および侵入防止システム（IDPS）に関するガイド　ページ：4-9, 4-12～13
13. ^ NIST SP800-94 侵入検知および侵入防止システム（IDPS）に関するガイド　ページ：4-16
14. ^ NIST SP800-94 侵入検知および侵入防止システム（IDPS）に関するガイド　ページ：4-12
15. ^ ^{a b c d} NIST SP800-94 侵入検知および侵入防止システム（IDPS）に関するガイド　ページ：4-13～14
16. ^ ^{a b c d e f} NIST SP800-94 侵入検知および侵入防止システム（IDPS）に関するガイド　ページ： 5-9～10
17. ^ ^{a b c} NIST SP800-94 侵入検知および侵入防止システム（IDPS）に関するガイド　ページ： 5-5
18. ^ NIST SP800-94 侵入検知および侵入防止システム（IDPS）に関するガイド　ページ： 5-6
19. ^ ^{a b} NIST SP800-94 侵入検知および侵入防止システム（IDPS）に関するガイド　ページ： 5-10
20. ^ NIST SP800-94 侵入検知および侵入防止システム（IDPS）に関するガイド　ページ： 5-4
21. ^ ^{a b c} NIST SP800-94 侵入検知および侵入防止システム（IDPS）に関するガイド　ページ： 5-11
22. ^ ^{a b c d e} NIST SP800-94 侵入検知および侵入防止システム（IDPS）に関するガイド　ページ： 6-4～5
23. ^ ^{a b c} NIST SP800-94 侵入検知および侵入防止システム（IDPS）に関するガイド　ページ： 6-1
24. ^ NIST SP800-94 侵入検知および侵入防止システム（IDPS）に関するガイド　ページ： 6-2
25. ^ ^{a b c} NIST SP800-94 侵入検知および侵入防止システム（IDPS）に関するガイド　ページ： 6-5
26. ^ ^{a b} NIST SP800-94 侵入検知および侵入防止システム（IDPS）に関するガイド　ページ： 6-6
27. ^ NIST SP800-94 侵入検知および侵入防止システム（IDPS）に関するガイド　ページ： 7-2
28. ^ ^{a b c d e f g h} NIST SP800-94 侵入検知および侵入防止システム（IDPS）に関するガイド　ページ： 7-6～7
29. ^ ^{a b} NIST SP800-94 侵入検知および侵入防止システム（IDPS）に関するガイド　ページ： 7-1
30. ^ ^{a b c} NIST SP800-94 侵入検知および侵入防止システム（IDPS）に関するガイド　ページ： 7-4
31. ^ NIST SP800-94 侵入検知および侵入防止システム（IDPS）に関するガイド　ページ： 7-10
32. ^ ^{a b c d e f} NIST SP800-94 侵入検知および侵入防止システム（IDPS）に関するガイド　ページ： 7-8～9
33. ^ ^{a b c d e} NIST SP800-94 侵入検知および侵入防止システム（IDPS）に関するガイド　ページ： 4-5～8
34. ^ ^{a b c d e f g h i j k l m n o p q} NIST SP800-94 侵入検知および侵入防止システム（IDPS）に関するガイド　ページ： 2-4～7
35. ^ ^{a b c} NIST SP800-94 侵入検知および侵入防止システム（IDPS）に関するガイド　ページ： 3-3～4
36. ^ “Molochフルパケットキャプチャー、セッションログ型”. 2020年7月21日閲覧。