侵入検知システム
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2023/09/23 04:59 UTC 版)
種類
IDPSは以下の4種類に分類できる[3]:
分類 | センサー・エージェントの主な設置・インストール場所 | 主な検知イベント | 備考 | 技術的制約 |
---|---|---|---|---|
ネットワークベースIDPS | ネットワーク境界[9] |
|
| |
無線IDPS | 監視対象の無線ネットワークの通信範囲内や、無許可の無線ネットワーク活動が行われている懸念のある場所[9] |
|
||
NBA(Network Behavior Analysis) | 組織内ネットワークフローの監視ができる場所、もしくは組織内と外部ネットワークの間の通信フローの監視ができる場所[9] | |||
ホストベースIDPS | 攻撃を受けやすい公開サーバや機密情報が置かれているサーバなどの重要ホスト[9]。その他PCのようなクライアントホストやアプリケーションサービスにもインストールされる[27]。 |
|
ネットワークベースのIDPSとNBAはどちらもネットワークを監視する点では共通しているが、前者は主に組織LANと外部ネットワークの境界などネットワーク境界に設置され、境界をまたぐ通信を監視するのに対し、NBAは組織LAN内に設置され、LAN内の通信を監視する点に違いがある。
ネットワークベースIDS、IPSを略してそれぞれNIDS、NIPSと呼ぶ。同様にホストベースIDS、IPSをそれぞれ略してHIDS、HIPSという。
ネットワークベースのIDPSのセンサー設置方法としては、監視対象の通信が必ず通る場所にIDPSを設置するインライン型と[33]、監視対象の通信が必ず通る場所にスパニングポート、ネットワークタップ、IDSロードバランサ等を設置する事で監視対象の通信をコピーし、コピーした通信をIDPSで監視する受動型がある[33]。攻撃の遮断や回避のようなIPSとしての機能を利用する場合はインライン型が必須である[33]。
インライン型の場合、ファイヤーウォールが攻撃と考えられる通信を遮断するのでファイヤーウォールの前に設置するか後ろに設置するかで取得できる情報や、IDPSへの負荷が異なる。ファイヤーウォール前後両方を監視するためにIDPS機能とファイヤーウォール機能がハイブリッドになった製品もある[33]。
受動型はネットワークの複数箇所の通信をコピーして集約した上で解析できるという利点がある。例えばファイヤーウォールの前後およびDMZの通信を全てコピーして解析するといった行為が可能になる[33]。
- ^ “IDS(Intrusion Detection System)とは”. セキュリティ用語辞典. @IT (2018年10月9日). 2018年10月29日閲覧。
- ^ NIST SP800-94 侵入検知および侵入防止システム(IDPS)に関するガイド ページ: 2-1~2
- ^ a b NIST SP800-94 侵入検知および侵入防止システム(IDPS)に関するガイド ページ: ES-1
- ^ a b c d e f g h i j k l m n o p NIST SP800-94 侵入検知および侵入防止システム(IDPS)に関するガイド ページ: 2-2~4
- ^ NIST SP800-94 侵入検知および侵入防止システム(IDPS)に関するガイド ページ: ES-2
- ^ a b c d e f g NIST SP800-94 侵入検知および侵入防止システム(IDPS)に関するガイド ページ: 2-2
- ^ a b c d e f g h i j k NIST SP800-94 侵入検知および侵入防止システム(IDPS)に関するガイド ページ: 3-1~2
- ^ a b c 佐々木他2014 pp.76-79
- ^ a b c d NIST SP800-94 侵入検知および侵入防止システム(IDPS)に関するガイド ページ: 2-7~8
- ^ a b c d e NIST SP800-94 侵入検知および侵入防止システム(IDPS)に関するガイド ページ: 4-11~12
- ^ NIST SP800-94 侵入検知および侵入防止システム(IDPS)に関するガイド ページ:4-10
- ^ a b c NIST SP800-94 侵入検知および侵入防止システム(IDPS)に関するガイド ページ:4-9, 4-12~13
- ^ NIST SP800-94 侵入検知および侵入防止システム(IDPS)に関するガイド ページ:4-16
- ^ NIST SP800-94 侵入検知および侵入防止システム(IDPS)に関するガイド ページ:4-12
- ^ a b c d NIST SP800-94 侵入検知および侵入防止システム(IDPS)に関するガイド ページ:4-13~14
- ^ a b c d e f NIST SP800-94 侵入検知および侵入防止システム(IDPS)に関するガイド ページ: 5-9~10
- ^ a b c NIST SP800-94 侵入検知および侵入防止システム(IDPS)に関するガイド ページ: 5-5
- ^ NIST SP800-94 侵入検知および侵入防止システム(IDPS)に関するガイド ページ: 5-6
- ^ a b NIST SP800-94 侵入検知および侵入防止システム(IDPS)に関するガイド ページ: 5-10
- ^ NIST SP800-94 侵入検知および侵入防止システム(IDPS)に関するガイド ページ: 5-4
- ^ a b c NIST SP800-94 侵入検知および侵入防止システム(IDPS)に関するガイド ページ: 5-11
- ^ a b c d e NIST SP800-94 侵入検知および侵入防止システム(IDPS)に関するガイド ページ: 6-4~5
- ^ a b c NIST SP800-94 侵入検知および侵入防止システム(IDPS)に関するガイド ページ: 6-1
- ^ NIST SP800-94 侵入検知および侵入防止システム(IDPS)に関するガイド ページ: 6-2
- ^ a b c NIST SP800-94 侵入検知および侵入防止システム(IDPS)に関するガイド ページ: 6-5
- ^ a b NIST SP800-94 侵入検知および侵入防止システム(IDPS)に関するガイド ページ: 6-6
- ^ NIST SP800-94 侵入検知および侵入防止システム(IDPS)に関するガイド ページ: 7-2
- ^ a b c d e f g h NIST SP800-94 侵入検知および侵入防止システム(IDPS)に関するガイド ページ: 7-6~7
- ^ a b NIST SP800-94 侵入検知および侵入防止システム(IDPS)に関するガイド ページ: 7-1
- ^ a b c NIST SP800-94 侵入検知および侵入防止システム(IDPS)に関するガイド ページ: 7-4
- ^ NIST SP800-94 侵入検知および侵入防止システム(IDPS)に関するガイド ページ: 7-10
- ^ a b c d e f NIST SP800-94 侵入検知および侵入防止システム(IDPS)に関するガイド ページ: 7-8~9
- ^ a b c d e NIST SP800-94 侵入検知および侵入防止システム(IDPS)に関するガイド ページ: 4-5~8
- ^ a b c d e f g h i j k l m n o p q NIST SP800-94 侵入検知および侵入防止システム(IDPS)に関するガイド ページ: 2-4~7
- ^ a b c NIST SP800-94 侵入検知および侵入防止システム(IDPS)に関するガイド ページ: 3-3~4
- ^ “Molochフルパケットキャプチャー、セッションログ型”. 2020年7月21日閲覧。
- 侵入検知システムのページへのリンク