マルウェアをはじめとしてさまざまなサイバー攻撃により、大きな被害となっている事例が増えています。そのため、企業はさまざまな方法でセキュリティ対策が必要です。IDSはセキュリティ対策をおこなうための方法の1つであり、システムやネットワークにおいて、通常とは違う動きがあった場合に検知し迅速に担当者に知らせます。担当者は不審な動きがあったことをいち早く知れるため、不正なアクセスによる被害を最小限にすることが可能です。

目次

•  IDSとは何か？
• IDSの仕組み
• IPSとの違い
  • 役割
  •  機能
  • 導入コスト
• IDS導入のメリット
  • 不正侵入の早期発見
  •  脅威の分析
  • コンプライアンスの遵守
• IDS設定の初歩的な手順
  • 必要なソフトウェアをインストールする
  • 設定ファイルを編集する
  • ルールセットを更新する
  • IDSを起動する
  • 動作確認を行う
  • 運用・監視を行う
•  IDS設定に必要なソフトウェア
  • Snort
  •  Suricata
  •  Bro
  •  OSSEC
  •  Sagan
•  IDSで不正アクセスが検知された場合の対処法
  •  状況の確認
  •  応急措置
  • 原因調査
  • 再発防止策
•  IDS導入の注意点
  • 誤検知が多い
  • 専門知識が必要
  • 運用負荷がかかる
  • すべての攻撃を検知できるわけではない
• まとめ：IDS設定でネットワークセキュリティを強化

監修者 Webライター writerbear

個人事業主としてWebライターをしています。 WebやIT関連を中心としてさまざまな分野の執筆をしています。

 IDSとは何か？

IDS（Intrusion Detection System）の基本概念とその重要性について解説します。IDS（Intrusion Detection System）とは、ファイルの改ざんや不正な侵入などシステムへの不正侵入検知をおこなうシステムです。

不正が検出されたらすぐに管理者へ通知をすることで、担当者は迅速な対応が可能です。IDSはネットワークやシステム内にて異常な行動やアクティビティを監視して、事前に設定しておいたパターンとは違う動きを検知します。

このため、システムやネットワークなどにおいて不正なアクセスがあった場合は異常なデータが転送された場合に警告を発信することが可能です。担当者は不正な動きがあることをいち早く把握して、不正アクセスによる被害を最小限に食い止められます。

また、不正な動きをデータ化して今後のセキュリティ対策を行うためにもIDSを活用することが可能です。しかし、IDSは全ての不正データを検知できるわけではないため、セキュリティ対策の一環として活用することが重要です。

IDSの仕組み

IDSは、アノマリ型とシグネチャ型といった仕組みがあります。アノマリ型は、正常な動きを登録しておいて登録した動きと異なった動きを発見した場合に検知をする方法です。シグネチャ型は、異常な行動を登録しておいて登録したパターンと一致した場合に検知します。

シグネチャ型はあらかじめ不正なパターンを把握しておいて、一致すればスピーディーに把握できます。しかし、あらかじめ想定しておかなければ検知しないため不正アクセスを見つけられない場合があるので注意が必要です。

アノマリ型は正常なパターンとは違った動きをすれば検知しやすくなります。しかし、ワークフローが変化したり業務内容が変わったりした場合は定期的にパターンを変更しなければいけません。

いずれの場合でも従来のセキュリティシステムであるファイアウォールでは検知できなかった動きも検知出来る場合があります。さらに、リアルタイムで検知できるため不正アクセスが見つかった場合にスピーディーに対応することで、被害が広まらないように対策可能です。

IPSとの違い

IDSとIPS（Intrusion Prevention System）の違いと、それぞれの特性を分かりやすく解説します。

IPSはIDS共にネットワークを通して通信を監視することで、不正アクセスがあるかどうかを確認します。このことで、システム障害を事前に防ぐことができ、特にサーバーの脆弱性を狙ったサイバー攻撃に強いことが特徴です。

システム障害が起きてしまうと、業務が一時的に全て止まってしまう可能性があるだけでなく、顧客やそのほか関係者に迷惑がかかってしまい信用低下につながります。このようなリスクを減らすためにIPSやIOSの重要性が高まっています。

役割

IDSとは不正侵入検知システムであり、ネットワークを通して通信を監視することで不正アクセスを検知すればすぐに管理者に知らせることが目的です。管理者は検知した情報を基にセキュリティ対策をすることで、被害を最小限にできます。

IPS（Intrusion Prevention System）は、不法侵入防止システムを意味しており、同じようにネットワークを通して通信を監視するだけでなく不正なアクセスをブロックします。しかし、誤検知や必要な通信を遮断しやすいように適切に調整することが必要です。

いずれも不正なアクセスを検知することが目的ですが、IDSは通知するまでIPSはブロックするまでが役割です。

 機能

IDSやIPS共にネットワークにおける異常を検知することが目的であり、基本的な機能は同じです。仕組み自体もほとんど変わりません。しかし、IDSが不正アクセスを検知した時点で管理者に知らせるだけであるのに対して、IPSは通信を止める防御機能があります。異常通信をブロックするために、通信経路の間に設置しなければいけません。

IDSはシステムやネットワークにおいて異常なアクティビティやパターンをルールにしたがって検知します。検知すると即座に管理者に知らせることが目的であり、管理者は対応が必要です。

IPSは検知したアクティビティやパターンをブロックするので管理者の手間が減ります。しかし、正当な通信までブロックされる可能性があるので人間の監視は必要になるでしょう。

導入コスト

IPSやIDS共に初期費用や運用コストが必要です。そのため、製品を選ぶ場合は初期費用だけでなく、運用コストまで考慮する必要があります。初期費用は機器の購入以外に導入作業にかかる費用やライセンスの購入などが含まれます。また、定期的にアップデートやメンテナンスが必要です。いずれもネットワーク型とホスト型の2種類があり、監視方法や基本的な機能は同じです。

しかし、防御機能のあるIPSの方がやや割高です。さらに、通信経路の間に設定が必要であることから、コストがかかる可能性もあるでしょう。そのため、IPSやIDSを導入することによる費用対効果まで考慮する必要があります。IDSの場合は通知までのため対策に人件費が必要です。ほかにも必要なコストをすべて把握しておくとよいでしょう。

IDS導入のメリット

IDSを導入することで、不正アクセスをリアルタイムで発見できます。すばやく不正アクセスを見つけることで、次のようなメリットがあります。

• 不正侵入の早期発見
• 脅威の分析
• コンプライアンスの遵守

世界中で不正アクセスの被害が広まっているため対策が求められており、IDSの導入は必要不可欠です。

不正侵入の早期発見

IDSの大きな目的は、不正侵入を早期発見することです。不正侵入に対応しなければ被害が広まってしまい取り返しがつかなくなる可能性があります。そこで、スピーディーに対応することによって被害の広まりを防止することが可能です。

IDSはシステムやネットワーク内の異常な動きを検知することでセキュリティを強化しています。また、アップデートをすることで新たな脅威にも対応できることが一般的です。常に最新のセキュリティ対策ができることから、不正侵入の早期発見につなげられます。

世界中で不正アクセスによる被害が増え続けている現在において、今後もさらにIDSの需要は高まることでしょう。

 脅威の分析

IDSの導入は不正侵入を早期発見するだけでなく、今後のセキュリティ対策として脅威の分析ができます。IDSは不正アクセスや不審な活動などを検知しますが、データとして蓄積することで脅威の分析が可能です。

膨大なデータを分析することで今後のセキュリティ対策を向上できます。不正侵入の傾向を集めることで、対策できるようなセキュリティシステムを作り出せるのです。IDSを運用し続けることで持続的なセキュリティ対策が可能であり、安全にシステムやネットワークなどを活用できます。

コンプライアンスの遵守

IDSを導入して不正侵入に対してスピーディーに対策することで、コンプライアンスの遵守につながります。セキュリティ面を強化することで早期で適切な対応をすることで、法的な義務を果たすことが可能です。不正アクセスがあった場合でも、迅速な対応をできることで顧客やステークホルダーからの信頼度があがります。

IDSはセキュリティポリシーの順守を促進する一環として、セキュリティ体制の確率につながります。IDSの導入は信頼性のあるセキュリティインフラを構築することが可能です。不正アクセスの影響を最小限に抑えることで、信頼性の高いサービスを提供できます。また、顧客満足度を向上できることから他社との差別化につながります。

IDS設定の初歩的な手順

IDS設定をするためには次のような手順で進めることが一般的です。

1. 必要なソフトウェアをインストールする
2. 設定ファイルを編集する
3. ルールセットを更新する
4. IDSを起動する
5. 動作確認を行う
6. 運用・監視を行う

このように、IDS設定をするためには、十分な準備が必要です。それぞれのプロセスについて解説していきます。

必要なソフトウェアをインストールする

IDS設定をするために必要なソフトウェアをインストールしましょう。IDSにはネットワーク型とホスト型の2種類があります。ネットワーク型はネットワーク全体が対象であり、ホスト型は個々のデバイスが対象です。導入するニーズや目的によってそれぞれのタイプを選ぶようにしましょう。

IDSソフトウェアによっても機能が異なるため、導入する目的にあっているかどうかを把握することが重要です。例えば、特定のデバイスやネットワークを集中して検知したい場合はホスト型が向いています。組織全体的に監視したい場合はネットワーク型を選ぶとよいでしょう。さらに、セキュリティの要件によっては高度な機能を備えたIDSもあります。

設定ファイルを編集する

必要なソフトウェアをインストールできたら、設定ファイルを編集します。設定ファイルを編集する目的は、IDSを導入目的に合わせた形で機能させることです。まずは、検知ルールを設定しましょう。設定したルールを基にして検知するようになります。

導入企業のセキュリティポリシーや運用環境などに合わせてルール設定をすることで、より高い確率で不正アクセスを検知できるようになるでしょう。また、担当者をはじめとして適切な相手に通知をするような設定が必要です。

設定ファイルを適切に編集することによって、適切に検知する確率が上がります。さらに、担当者の負担を減らすことで業務効率化も期待できます。

ルールセットを更新する

次にルールセットを更新していきましょう。新たな脅威や攻撃が登場するたびに新しいルールを追加していきます。検知するルールや通知の仕組みなどを適切に設定することで、不正アクセスをより効率的に検知できるようになります。また、ルールは運用状況に合わせて定期的に変更することが重要です。

外部からの攻撃に関連する情報を常に把握してセキュリティインテリジェンスを保つことが求められます。常にアップデートされるようなIDSシステムを選ぶことも重要です。ルールセットの内容によって不正アクセスを検知する質が変わります。そのため、ルールセットの更新とIDSのアップデートはIDS設定にあたって重要なプロセスの1つです。

IDSを起動する

ルールセットを更新した時点でIDSを起動します。設定したルールや設定などが反映されることで、IDSが導入企業にとって適切に機能するようになるでしょう。起動をしたあとはすぐに運用ができますが、その前に動作確認をすることが重要です。

動作確認をするにあたって、まずIDSが正常に動作しているかどうかを確認しましょう。実際にアクティビティを進めて検知ができるかを試す場合もあります。また、正しく通知をするかどうかも確認しましょう。

いきなり、運用を始めてしまうとかえって非効率になってしまう可能性があるため注意が必要です。また、この時点で問題があるようであればIDS導入企業と打ち合わせが必要になる場合もあります。

動作確認を行う

IDSを起動したら必ず動作確認を行うようにしましょう。IDSは長期間の運用が必要であり、定期的に見直すことが求められます。そのため、適切に動作していないと思ったような効果は得られないでしょう。

また、担当者がIDSの操作になれていないとかえって負担がかかってしまう可能性があります。そのため、実際に運用を始める前に担当者がIDSに慣れることも重要です。担当者がIDSをうまく操作できないでいると、思ったような効果がでないばかりか負担だけが大きくなる可能性もあるでしょう。

運用・監視を行う

動作確認が終わった時点で運用するための準備が終了しました。IDSを運用して終わりではなく監視を行い、問題があった場合はその都度対応することが重要です。定期的にモニタリングすることで長期スパンでIDSが問題なく動作しているかどうかを把握するようにしましょう。

また、設定したルールも定期的に見直すことが重要です。外部攻撃は常に新しいものが登場するため、その都度対応が求められます。また、業務の変化に合わせて適切なルール設定をすることも重要です。IDSを適切に運用するためには、運用者のスキルも求められます。

そのため、担当者のトレーニングが必要になる場合もあるでしょう。IDSは短期ではなく長期的に運用することが重要です。

 IDS設定に必要なソフトウェア

IDSを設定するためには、対応しているソフトウェアを活用することが一般的です。オープンソースのタイプであれば誰でも利用できます。ルールセットが用意されているタイプであれば、スムーズな導入が可能です。この記事ではおすすめのソフトウェアを紹介します。

• Snort
• Suricata
• Bro
• OSSEC
• Sagan

いずれも英語サイトですが、使い方は決して難しくありません。ダウンロードして利用しましょう。

Snort

画像出典：Snort

Snortは、オープンソース型であることから誰でも利用できるネットワーク型のIDSです。IDSとしての機能以外に、パケットログや検査などが可能です。SnortはDDos攻撃に対して特に高い確率で検知できるほか、ポートスキャンをすることでセキュリティ対策ができます。

導入者に合わせたルール設定や編集を簡単にできるため、導入しやすいIDSです。windowsやMac以外にLinuxのセキュリティ対策としてもよく利用されています。ソースとして提供されているため、ダウンロードして利用することが必要です。

無料でルールセットが公式サイトのコミュニティ版に用意されているため、スムーズな導入が可能でしょう。

 Suricata

画像出典：Suricata

Suricataは、オープンソースのIDSです。ネットワークトラフィックを確認することで、通常と違う動きを発見した場合にアラートします。マルチスレッドエンジンによって、高い確率でネットワークトラフィックの分析が可能です。

導入するためには公式サイトからインストールを行います。さまざまなルールセットを利用できるほか、特定の脅威がある場合は、独自のルールを設定することも可能です。

ルールセットは無料で公開されており、ダウンロードしてディレクトリーにコピーすることで利用できます。

 Bro

画像出典：Bro

Broとはネットワークを使ったフレームワークです。オープンソースであるため、誰でも利用できます。Broの大きな特徴として、ネットワークセキュリティを監視することが挙げられます。トラブルシューティングやパフォーマンスの測定をはじめとしたネットワーク分析を行います。

さらに、SQLインジェクション攻撃やWeb上の脆弱なソフトウェアバージョンを把握していち早く知らせてくれることが特徴です。HTTPセッションにおけるファイルや外部レジストリと接続している部分のマルウェアの抽出など、さまざまな分野で不正な動きを発見できます。

Broは公式のダウンロードページからダウンロード可能です。

 OSSEC

画像出典：OSSEC

OSSECとは、ホスト型のIDSの機能を持った誰でも利用できるオープンソースのソフトウェアです。Windowsレジストリの監視やルートキットの検出、整合性チェックなどさまざまな機能があります。OSSECを活用することで異常なログをスピーディーに発見でき、ファイル改ざんを検知することが可能です。

サイバー攻撃による侵入をスピーディーに発見し、情報漏洩やシステムの不正利用など被害の拡大を防げます。WindowsをはじめとしてLinuxやOpenBSDなどさまざまなオペレーティングシステムに対応しています。

OSSECはファイル整合性データベースやシステム監査などをおこなうマネージャと、監視対象機にあるコンポーネントであるエージェント、エージェントをインストールできない場合に対応しているエージェントレスから成り立っています。

 Sagan

画像出典：Sagan

Seganは、ログ分析エンジンであり高性能であることが特徴です。さまざまなプラットフォームに対応しており、リアルタイムでの分析が可能であることからよく利用されています。ログ分析は時間がかかってしまうと不正アクセスを検知することが難しくなります。そこで、Saganの需要が高まっているといえるでしょう。

また、GNUやGPLバージョン2に対応してライセンスされているため、安心して導入可能です。サーバーやエンドポイント、ネットワークやクラウドまで適切に保護できるようなセキュリティ分析環境を提供しています。

 IDSで不正アクセスが検知された場合の対処法

IDSによって不正アクセスが検知された場合、スピーディーな対処が必要です。対処方法を手順や事例を交えて詳しく説明していきます。不正アクセスが見つかった場合は次のような手順で進めることが一般的です。

1. 状況の確認
2. 応急措置
3. 原因調査
4. 再発防止策

 状況の確認

IDSで不正アクセスが検知された場合、まず状況の確認が必要です。まず、社内システムにログインできるようなIDやパスワードが不正利用されていないか確認をしましょう。この確認作業は、不正利用されている可能性がある端末を使わないようにしてください。

また、IDやパスワードでログインをしてそれぞれのサービスやアプリケーションなどで利用履歴を確認することが必要です。特に、ECサイトなどクレジットカードを登録して課金できるアプリケーションやWebサイトには注意が必要です。この時点で2次被害が発生しないようにすることが求められます。

 応急措置

状況を把握できたら応急処置をおこないます。不正アクセスが発生するとネットワークを通じて被害が広まる可能性があるため、まずネットワークと端末を遮断することが重要です。パソコンやスマートフォンなどの端末をやLANケーブル、WiFiなどのネットワークから接続を切ることが重要です。

次にソフトウェアやOSなどのアップデートを行うことも重要です。ソフトウェアやOSの脆弱性が狙われやすいため、必ず最新版にアップデートをするようにしましょう。この時点で、明らかに悪質である可能性がある場合は早めに警察に届け出することが大切です。

場合によっては、警察でないと調査できないこともあります。ベンダーでは対応できないこともあるので注意が必要です。

原因調査

応急処置が終わったら再発防止を目的として原因調査をおこないます。不正アクセスにはさまざまなルートがあります。そのため、不正アクセスがどのような方法でおこなわれたか原因調査することで次に発生しないための対策が可能です。

さらに、不正アクセスによっては2次被害が起きる可能性もあります。そのためにも原因調査が重要です。不正アクセスの調査を専門的におこなうフォレンジック業者や企業などに依頼をすることも必要となるでしょう。

原因を明確にすることで次に説明する再発防止策ができるようになります。原因によって対応策が変わるため注意が必要です。

再発防止策

原因を明確にできたら再発防止策を作ります。

今後不正アクセスが減らせるように再発防止策の設定が重要です。原因調査で得た情報を基に、不正アクセスされた部分の強化が求められます。またシステム全体においてセキュリティに問題がないかどうかを把握することも重要です。

もし、問題がある場合は対策強化が必要です。また、日頃からパスワードを定期的に変更する、二段階認証をおこなうなど不正アクセスをされないような対策も求められます。セキュリティソフトも不正アクセスに強いものがでているため、専門の業者に依頼をするとよいでしょう。

また、ハード面だけでなく従業員一人ひとりが不正アクセス対策を把握することも重要です。

 IDS導入の注意点

IDS導入をするためには、専門知識が必要な上に運用には手間がかかります。

さらに、誤検知が多いことからすべての攻撃を検知できるわけではありません。そのため、IDS設定だけなくネットワークセキュリティ強化全体的に力を入れることが必要です。IDS導入においては、次の点に注意が必要です。

• 誤検知が多い
• 専門知識が必要
• 運用負荷がかかる
• すべての攻撃を検知できるわけではない

誤検知が多い

IDSを導入しても誤検知が多い現状があります。例えば、正常な通信であっても検知してしまう可能性や、検知すべき通信であっても反応しない場合もあります。また、IDSはDoS攻撃やバッファオーバーフロー攻撃、シンフラッド攻撃には強いのですが、Webアプリの脆弱性を狙った不正アクセスは検知しにくい点がデメリットです。

サーバーへのトラフィックを監視することで、不審なパケットを遮断できますが特定のパターン検知に限っています。そのため、パラメータの正当性まではチェックできないため他のシステムを利用することが必要です。IDSで全ての対策をすることは不可能ですが、サーバーのセキュリティ強化が目的であれば導入する価値があります。

専門知識が必要

IDSを導入するためには専門知識が必要です。例えば、システムやネットワークの動きを正確に把握することでIDSが検出した情報への対策が可能になります。IDSを導入するためには、対応できるセキュリティチームを組むこと、もしくは知識のあるベンダーに依頼するようにしましょう。

IDSを効率的に導入するためには、システムやネットワークに関する知識以外に最新のセキュリティ脅威に関しても把握することが重要です。また、異常な活動が検知された場合スピーディーに対策をするための仕組みも必要です。

IDSはあくまで不正を見つけるシステムであることから、今後の対策をするための知識が求められます。IDSはツールとして活用するだけでなく、セキュリティ戦略の一環であり知識をもったリソースが必要不可欠です。

運用負荷がかかる

IDSは導入だけでなく、運用しなければ意味がありません。そのため、十分な知識をもった責任者を設定してチームとして管理をすることが求められます。特に、セキュリティ関連の専門家が企業内にいない場合は、ベンダーとコミュニケーションをとりながら良好な関係を築くことが大切です。

IDSを運用するためには検知された活動に対する対応策を策定したり、新たな不正アクセスに対するシステムをアップデートしたりなどさまざまなことが必要です。セキュリティチームを配置するか外部ベンダーに依頼をして継続的にセキュリティ対策が求められます。

これらのことから、IDSは運用するだけで負荷がかかります。そのため、導入効果があるかどうかを事前に判断することが重要です。

すべての攻撃を検知できるわけではない

IDSを導入したからといってすべての攻撃を検知できるわけではありません。

特に、IDSはWebアプリの脆弱性が原因の不正アクセスは検知できない場合があります。そのため、Dos攻撃や新フラッド攻撃などにはIDSを導入して、Webアプリに関してはセキュリティを強化したり他のシステムを導入したりするなどが必要です。

いずれにおいても、IDSはすべての攻撃を検知できるわけではないのであくまでセキュリティ対策の一環として導入するとよいでしょう。システムやPC、サーバーなどに対するセキュリティ対策を強化したうえでIDSを導入することで不正アクセス対策の効果が期待できます。

不正アクセスにもさまざまな種類があるため、それぞれに対策が必要です。

まとめ：IDS設定でネットワークセキュリティを強化

サイバー攻撃による被害が世界中で年々増えていることから、ネットワークセキュリティの重要性が高まっています。

サイバー攻撃にも、マルウェアやフィッシングなどさまざまな種類があり、個人情報の漏洩やシステムの不正利用などさまざまな被害が事例として上がっています。

そこで、不正侵入検知をおこなうIDSを導入することが重要です。IDSはサーバーに負荷をかけるような攻撃に対して有効的です。ファイアウォールでは対応しきれないWebサーバーへの攻撃にも対応可能です。

しかし、IDSを導入するためには専門知識が必要です。JiteraではIDSの設置を含めたシステム開発プロジェクトをおこなっています。開発プロジェクトの無料相談や無料シミュレーションをおこなっているので、まずはお気軽にご相談ください。

年々サイバー攻撃による被害が広まっており、早急に対応する必要のある可能性があります。大きな被害を受ける前に、しっかりと準備をすることが重要です。