What Is IDPS? How Intrusion Detection & Prevention Systems Work

主な洞察

IDS/IDPSの世界市場は2023年までに80億ドルに達すると予想されており、サイバーセキュリティにおけるこれらの技術への依存の高まりを浮き彫りにしている。(出典：MarketsandMarkets)
IDS/IDPSソリューションを採用している組織では、インシデントレスポンス時間が30%短縮されたと報告されており、セキュリティ運用の改善におけるIDS/IDPSの有効性が実証されています。(出典：Ponemon Institute)

侵入検知システム (IDS) とは？

侵入検知システム (IDS)は、悪意のある活動やポリシー違反がないか、ネットワークやシステムの活動を監視するように設計されたセキュリティ技術である。IDSはトラフィックを分析し、異常、既知の攻撃パターン、不正アクセスの試みを検知、潜在的なセキュリティ侵害のアラートを管理者に提供する。

‍

IDS/IDPSの種類

侵入検知システムにはさまざまな分類がある。最も一般的な分類は以下の通りである：

IDSの種類	説明	ユースケース	メリット	課題
ネットワークベースIDS(NIDS)	パケットを分析することで、ネットワーク・トラフィックに不審な動きがないか監視する。	ポートスキャンやDDoSなどの攻撃を検知するため、ネットワークの境界や重要なセグメントに配置される。	広範なネットワークの可視性を提供し、幅広いネットワークベースの攻撃を検知することができます。	大量のトラフィックに圧倒され、暗号化されたトラフィックを見逃す可能性がある。
ホストベースIDS(HIDS)	システムやアプリケーションのログなど、コンピューティング・システムの内部を監視する。	個々のデバイスやサーバーにインストールし、異常や不正アクセスを検知する。	個々のホストを詳細に監視し、ローカル攻撃を検知することができる。	リソースを大量に消費するため、ホストが侵害された場合に危険にさらされる可能性がある。
シグネチャベースのIDS	事前に定義された攻撃パターン(シグネチャ)を使用して、潜在的な脅威を特定する。	シグネチャが確立された既知の脅威の検出に有効。	既知の脅威に対して正確で、認識されたシグネチャの偽陽性率は低い。	既存のシグネチャがない新しい脅威や未知の脅威は検知できない。
アノマリーベースのIDS	潜在的な脅威を特定するために、通常の行動からの逸脱を検出する。	通常とは異なる活動を監視することで、未知の脅威を特定するのに有効。	異常を特定することで、新たな攻撃やゼロデイ攻撃を検知することができる。	正常な」行動の定義が難しいため、偽陽性率が高い。

IDS/IDPSの仕組み

Intrusion detection and prevention system solutions utilize a combination of signature-based and anomaly-based detection techniques to analyze network traffic and system activities. Here's how they work:

シグネチャ・ベースの検知：IDS/IDPSシステムは、既知の攻撃パターン(シグネチャ)のデータベースを保持し、受信するネットワーク・トラフィックやシステム・イベントと比較する。一致するものが見つかると、侵入やセキュリティ脅威の可能性を示すアラートが生成されます。
異常ベースの検知：これらのシステムは、時間の経過に伴う正常なネットワークとシステムの動作のベースラインを確立する。このベースラインからの逸脱は、潜在的な異常としてフラグが立てられます。アノマリー・ベースの検知は、未知の脅威や既知のシグネチャを持たない攻撃を特定するのに効果的です。
リアルタイム・モニタリング：IDS/IDPSソリューションは、ネットワーク・トラフィックを継続的に監視し、既知の攻撃シグネチャに一致する、または確立された標準から大きく逸脱するパターンやアクティビティを探します。
Alerting and Reporting: When suspicious or malicious activity is detected, IDS/IDPS systems generate alerts, which can include details about the detected threat, its severity, and the affected system or network segment. These alerts are sent to security personnel or integrated with Security Information and Event Management (SIEM) systems for further analysis and response.
レスポンス・メカニズム(IDPS)：IDPS ソリューションには、検出に加えて、検出された脅威をリアルタイムでブロックまたは軽減するための自動化されたアクションを実行する機能があります。このプロアクティブなアプローチは、潜在的なセキュリティ侵害の防止に役立ちます。

IDS/IDPSの利点

Intrusion Detection Systems (IDS) and Intrusion Detection and Prevention Systems (IDPS) are essential components of an organization's cybersecurity strategy for several reasons:

脅威の検知IDS/IDPSソリューションは、潜在的なセキュリティ脅威や侵入を特定し、組織に警告する上で重要な役割を果たします。早期警告と迅速な検知を提供することで、サイバー攻撃の防止や影響の最小化を支援します。
規制コンプライアンス：多くの業界や組織は、機密データを保護し、サイバーセキュリティ基準へのコンプライアンスを確保するために、IDS/IDPSの使用を義務付ける規制要件の対象となっています。
インシデントレスポンスIDS/IDPS ソリューションは、インシデント対応の取り組みに不可欠です。侵入の性質と範囲に関する貴重な情報を提供することで、セキュリティ・チームは脅威を封じ込め、緩和するための適切な措置を講じることができます。
ダウンタイムと被害の削減IDS/IDPSソリューションは、脅威を迅速に検出し対応することで、サイバー攻撃によるダウンタイムと潜在的な損害を削減し、関連するコストと混乱を最小限に抑えます。
ネットワークの可視性：これらのシステムは、ネットワーク・トラフィックとアクティビティに関する洞察を提供し、組織がネットワークの動作を理解し、追加の保護が必要な脆弱性の領域を特定するのに役立ちます。
プロアクティブ・ディフェンス (IDPS)： IDPS ソリューションは、脅威によるネットワーク・セキュリティの侵害を積極的に防止することで、検知を超えた防御を実現します。悪意のあるトラフィックや疑わしいアクティビティをリアルタイムで自動的にブロックまたは隔離し、アタックサーフェスを縮小します。

IDS/IDPSの限界

現代の攻撃者は、境界防御やマルウェア検出技術を容易に回避・回避できます。検出回避には、以下の5つの特徴のいずれか、またはその組み合わせがみられます：

サイン回避
暗号化されたトラフィック
ペリメーター回避
内部の動き
クレデンシャル・ハーベスティング

サイン回避

シグネチャベースのIDPSを回避する最も単純な手法は、既知のシグネチャに一致しないトラフィックを使用することである。これは単純なものから高度に複雑なものまで存在する。例えば、シグネチャ検出はしばしば「既知の」侵害されたIPアドレスやボットネットが使用するURLに基づいておりマルウェアが使用する「既知の」侵害されたIPアドレスやURLに基づいています。攻撃者にとって回避策は、新しいドメインを登録するだけで十分です。

一方、高度に洗練された攻撃者は、未知の脆弱性を発見し、それを悪用することができる。そのような「未知の」脆弱性に対する攻撃は、当然ながらIDPSが見つけようとするシグネチャの種類を欠いている。

暗号化されたトラフィック

シグネチャを回避するもう一つの方法は、トラフィックを不明瞭にすることだ。これは、悪意のあるネットワーク・トラフィックを暗号化するという単純なものである。境界でのSSL復号化も選択肢の1つではあるが、パフォーマンス・ペナルティが発生するためコストがかかり、運用も複雑になっている。

今日の洗練された攻撃者は、最善の状況下でも復号化できないカスタマイズされた暗号化を使用しています。このため、セキュリティ・チームは、境界で未知のトラフィックをブロックするか許可するかを決定しなければならない。

ペリメーター回避

攻撃者は、境界とその保護を完全に回避することを学んでいる。自宅や境界の外にいるユーザーのデバイスを感染させることで、脅威は玄関から侵入することができる。

特筆すべきは、モバイル・デバイスが境界周辺の論理的・物理的な経路を提供していることだ。LTEや5Gのデータ接続を持つモバイル・デバイスは、インターネットへの容易な経路を持ち、攻撃者がネットワーク内部に侵入するために好んで使用する目に見えない導管として機能する。

内部の動き

Given the almost exclusive focus of IDPS is on the perimeter, once around the initial defenses, attackers can move much more freely. This involves an ongoing process of internal reconnaissance, lateral movement, and the access and theft of key assets. Each area employs a wide variety of attacker techniques, and they all take place inside the network where visibility is typically low.

これをさらに一歩進めると、ハイブリッドクラウドやマルチクラウドの導入が始まったことで、ネットワークの可視性のギャップは、しばしばコンピュートインスタンスとストレージインスタンス間の接続にまで及んでいる。サイバー攻撃者はこの可視性のギャップを好んで利用する。

クレデンシャル・ハーベスティング

Once inside the network, savvy attackers don’t need exploits and malware to extend their incursion. Instead, they simply harvest user credentials from compromised hosts to spread through the network. Typically, they capture a username and login during the authentication process or steal credentials or hashes from memory. In either case, attackers can spread throughout the network using valid credentials without having to use exploits or malware.

Vectra AIでIDS/IDPSのセキュリティギャップをカバー

IDS/IDPSソリューションはネットワークセキュリティにおいて重要な役割を果たしますが、それだけでは高度化・進化するサイバー脅威に対する包括的な保護を提供できない場合があります。そこでVectra AIの出番です。

Vectra AI offers an advanced threat detection and response platform that goes beyond traditional IDS/IDPS capabilities.

人工知能と機械学習アルゴリズムを活用することで、Vectra AI ネットワークトラフィックとユーザー行動をリアルタイムでVectra AI 、IDS/IDPSシステムを迂回する可能性のある高度な攻撃を検知します。

Vectra AIは、隠れた脅威、ゼロデイ攻撃、内部脅威を特定する能力を備えており、IDS/IDPSソリューションでは対応できないセキュリティギャップを埋め、組織がネットワークをプロアクティブに防御し、新たな脅威に迅速に対応することを可能にします。Vectra AIを活用することで、企業はセキュリティ体制全体を強化し、サイバー犯罪者の一歩先を行くことができます。

> セキュリティ・チームが老朽化したIDPSをNDRに置き換える理由を読む

貴社の防御を強化し、より強靭なサイバーセキュリティポスチャを実現するために、私たちがどのようなお手伝いができるか、お問い合わせください。

よくある質問 (FAQ)

侵入検知システム (IDS) とは？

侵入検知システム (IDS) は、不正アクセス、攻撃、ネットワーク・トラフィックやシステム動作の異常を検知し、セキュリティ担当者に潜在的な脅威を警告するように設計された監視ソリューションである。

侵入防御システム (IDPS) はIDSとどう違うのですか？

IDSが主に潜在的な脅威の検出と警告に重点を置いているのに対し、侵入防御システム (IDPS) は、事前に定義されたセキュリティ・ポリシーに基づいて、検出された脅威が危害を加える前にブロックまたは軽減するためのアクションを自動的に実行することで、さらに一歩進んでいます。

IDSの主な種類は？

IDSの主な種類には、ネットワーク・トラフィックに不審な動きがないか監視するネットワーク・ベースの侵入検知システム (NIDS) と、悪意のある活動の兆候がないか個々のデバイスやホストを監視するホスト・ベースの侵入検知システム (HIDS )がある。

セキュリティ・チームは、IDSとIDPSのどちらをどのように選択するのだろうか？

IDSとIDPSのどちらを選択するかは、組織固有のセキュリティニーズ、リスク許容度、既存のサイバーセキュリティインフラによって決まる。IDSは、脅威検出後に手動で介入することが望ましい環境に適している一方、IDPSは、脅威に対する即時の自動応答を必要とするシナリオに適している。

IDSとIDPSの導入に伴う主な課題は何ですか？

課題には、生成される大量のアラートの管理、誤検知と本物の脅威の区別、これらのシステムを既存のセキュリティ・インフラと統合すること、進化するサイバー脅威に対応するための継続的な更新と設定の必要性などがある。

偽陽性と偽陰性を効果的に管理するには？

効果的な管理には、検出アルゴリズムの継続的なチューニング、脅威シグネチャの定期的な更新、精度を向上させるための機械学習やAI技術の活用、アラートの確認と解釈を行う熟練したセキュリティアナリストの採用などが含まれる。

コンプライアンスや規制要件において、IDS/IDPSはどのような役割を果たすのか？

IDS/IDPSは、継続的な監視、脅威の検出、および予防のメカニズムを提供することにより、コンプライアンスや規制の要件を満たす上で重要な役割を果たし、それによって、さまざまな標準や規制で義務付けられている機密データやシステムの保護を保証します。

IDSやIDPSは他のセキュリティソリューションと統合できますか？

IDSやIDPSを、セキュリティ情報イベント管理(SIEM)システム、ファイアウォール、エンドポイント保護プラットフォームなどの他のセキュリティソリューションと統合することで、脅威の状況をより包括的に把握し、インシデントへの協調的な対応を促進することで、セキュリティ全体を強化することができます。

IDSとIDPS技術には今後どのような発展が期待されるのか？

今後の展開としては、検知能力を強化し誤検知を減らすための人工知能や機械学習の利用拡大、クラウドベースやas-a-serviceモデルの重視、より適応的でコンテキストを意識した防止メカニズムの統合などが考えられる。

IDSとIDPSを効果的に使用するために、組織はスタッフをどのように教育すべきか？

組織は、最新のサイバー脅威、IDS/IDPS の機能、および脅威の検知とレスポンスに関するベストプラクティスについて、継続的なトレーニングを提供すべきである。これには、ハンズオントレーニング、シミュレーション演習、最新機能や脅威インテリジェンスに関する最新情報が含まれる。