テクノロジーの進歩に伴い、サイバーセキュリティの問題は増大し、より複雑になっています。
サイバー犯罪者の賢くなるのを止めることはできませんが、IDS や IPS などのセキュリティ システムを採用して、攻撃対象領域を減らしたり、サイバー犯罪者をブロックしたりすることはできます。これにより、ネットワークにとってどちらがより良いかを選択するための IDS と IPS の戦いが始まります。
それに対する答えが必要な場合は、これらのテクノロジーの本質とは何なのか、どのように機能するのか、そしてその種類を理解する必要があります。これは、ネットワークにとってより良いオプションを選択するのに役立ちます。
とはいえ、IDS と IPS はどちらも安全で効果的であり、それぞれに長所と短所がありますが、セキュリティに関してはチャンスを逃すことはできません。
これが、IDS と IPS の比較を思いついた理由です。これは、IDS と IPS の機能を理解し、ネットワークを保護するためのより良いソリューションを見つけるのに役立ちます。
戦いを始めましょう!
IDS と IPS: それらは何ですか?
IDS と IPS の比較を始める前に、IDS から始めて、そもそも IDS が何であるかを確認しましょう。
IDSとは何ですか?
侵入検知システム (IDS) は、システムまたはネットワークの侵入、ポリシー違反、または悪意のあるアクティビティを監視するソフトウェア ソリューションです。また、侵入または違反を検出すると、ソフトウェアは管理者またはセキュリティ担当者に報告します。これは、報告されたインシデントを調査し、適切な救済策を講じるのに役立ちます。
この受動的な監視ソリューションは、脅威の検出を警告しますが、脅威に対して直接的な措置を講じることはできません。これは、建物に設置され、脅威の到来を警備員に通知できるセキュリティ システムのようなものです。
IDS システムは、脅威がネットワークに侵入する前に脅威を検出することを目的としています。ネットワーク トラフィック フローを妨げずにネットワークを確認できるようになります。ポリシー違反を検出するだけでなく、情報漏洩、不正アクセス、設定エラー、トロイの木馬、ウイルスなどの脅威からも保護できます。
これは、問題が表面化した場合でもトラフィック フローを妨げたり遅くしたりしたくないが、ネットワーク資産を保護したい場合に最も効果的です。
IPSとは何ですか?
侵入防御システム (IPS) は、侵入検知および防御システム (IDPS) とも呼ばれます。これは、悪意のあるインシデントについてシステムまたはネットワークのアクティビティを監視し、これらのアクティビティに関する情報をログに記録し、管理者またはセキュリティ担当者に報告して、それらのアクティビティの停止またはブロックを試みるソフトウェア ソリューションです。
これはアクティブな監視および防止システムです。どちらの方法も悪意のあるアクティビティを監視するため、IDS の拡張機能と考えることができます。ただし、IDS とは異なり、IPS ソフトウェアはネットワーク ファイアウォールの内側に配置され、受信トラフィックに合わせて通信し、検出された侵入をブロックまたは防止します。これをネットワークの (サイバー) セキュリティ ガードと考えてください。
脅威を検出すると、IPS はアラームの送信、特定された悪意のあるパケットのドロップ、悪意のある IP アドレスのネットワークへのアクセスのブロック、接続のリセットなどのさまざまなアクションを実行できます。さらに、巡回冗長検査 (CRC) に関連するエラーを修正し、パケット ストリームをデフラグし、余分なネットワーク層とトランスポート オプションをクリーンアップし、TCP シーケンスに関連するエラーを軽減することもできます。
セキュリティのために正規のトラフィックを含むすべてのトラフィックを閉じる必要がある場合でも、システムが攻撃を検出するとすぐに攻撃をブロックしたい場合は、IPS が最適なオプションです。その目標は、ネットワーク内の外部と内部の両方の脅威による被害を軽減することです。
IDS と IPS: タイプ
IDSの種類
IDS は、脅威の検出が行われる場所、または使用される検出方法に基づいて分類されます。検出場所 (ネットワークまたはホスト) に基づく IDS タイプは次のとおりです。
#1.ネットワーク侵入検知システム (NIDS)
NIDS はネットワーク インフラストラクチャの一部であり、ネットワーク インフラストラクチャを流れるパケットを監視します。スイッチなどのタップ、スパン、またはミラーリング機能を持つデバイスと共存します。 NIDS はネットワーク内の戦略的なポイントに配置され、接続されているすべてのデバイスから送受信されるトラフィックを監視します。
サブネット全体を通過するトラフィックを分析し、サブネットを通過するトラフィックを既知の攻撃ライブラリと照合します。 NIDS が攻撃を特定し、異常な動作を感知すると、ネットワーク管理者に警告します。
サブネット上のファイアウォールの背後に NIDS をインストールし、誰かがファイアウォールに侵入しようとしているかどうかを監視できます。 NIDS は、同様のパケットの署名を一致するレコードと比較して、悪意のある検出されたパケットをリンクして阻止することもできます。
NIDS には 2 つのタイプがあります。
- オンライン NIDS またはインライン NIDS は、ネットワークをリアルタイムで処理します。イーサネット パケットを分析し、特定のルールを適用して攻撃かどうかを判断します。
- オフライン NIDS またはタップ モードは、収集されたデータを処理します。データをいくつかのプロセスに渡し、結果を決定します。
さらに、NIDS を他のセキュリティ テクノロジーと組み合わせて、予測率と検出率を高めることができます。たとえば、人工ニューラル ネットワーク (ANN) に基づく NIDS は、その自己組織化構造により INS IDS が攻撃パターンをより効率的に認識できるため、大量のデータをスマートに分析できます。侵入につながった過去の間違いに基づいて攻撃を予測でき、初期段階の収益システムの開発に役立ちます。
#2.ホストベースの侵入検知システム
ホストベースの侵入検知システム (HIDS) は、ネットワーク上の個別のデバイスまたはホストで実行されるソリューションです。接続されたデバイスから送受信されるデータ パケットを監視し、不審なアクティビティを検出した場合に管理者またはユーザーに警告することのみが可能です。システムコール、ファイル変更、アプリケーションログなどを監視します。
HIDS は、システム内の現在のファイルのスナップショットを取得し、それらを以前のファイルと照合します。重要なファイルが削除または変更されたことが判明した場合、HIDS は問題を調査するために管理者にアラートを送信します。
たとえば、HIDS はパスワード ログインを分析し、ブルート フォース攻撃の実行や侵害の特定に利用される既知のパターンと比較できます。
これらの IDS ソリューションは、構成が変更されることが予想されないミッションクリティカルなマシンで広く使用されています。 HIDS ソリューションはホストまたはデバイス上のイベントを直接監視するため、NIDS ソリューションが見逃す可能性のある脅威を検出できます。
また、トロイの木馬などの整合性侵害の特定と防止や、暗号化されたネットワーク トラフィックでの作業にも効果的です。このようにして、HIDS は法的文書、知的財産、個人データなどの機密データを保護します。
これらとは別に、IDS には次のような他のタイプもあります。
- 境界侵入検知システム (PIDS): 防御の第一線として機能し、中央サーバーへの侵入の試みを検出して特定します。このセットアップは通常、サーバーの仮想境界フェンス上に設置された光ファイバーまたは電子デバイスで構成されます。誰かが別の方法でアクセスしようとするなどの悪意のあるアクティビティを検知すると、管理者に警告します。
- VM ベースの侵入検知システム (VMIDS): これらのソリューションは、上記の IDS またはその 1 つを組み合わせることができます。違いは、仮想マシンを使用してリモートでデプロイされることです。これは比較的新しく、主にマネージド IT サービス プロバイダーによって使用されます。
IPSの種類
一般に、侵入防御システム (IPS) には次の 4 つのタイプがあります。
#1.ネットワークベースの侵入防御システム (NIPS)
NIPS は、データ パケットを分析したり、ネットワーク全体のプロトコル アクティビティをチェックしたりすることで、不審なアクティビティや悪意のあるアクティビティを特定して防止できます。ネットワークおよびホストからデータを収集し、ネットワーク上の許可されたホスト、オペレーティング システム、およびアプリケーションを検出できます。さらに、NIPS は変化を根本から見つけるために、通常のトラフィックに関するデータをログに記録します。
この IPS ソリューションは、帯域幅の使用を制限したり、TCP 接続を送信したり、パケットを拒否したりすることで攻撃を軽減します。ただし、NIPS は、暗号化されたトラフィックの分析や直接攻撃や高トラフィック負荷の処理には効果的ではありません。
#2.無線侵入防御システム (WIPS)
WIPS は、ワイヤレス ネットワーク プロトコルを分析し、それらを防止または削除するための措置を講じることにより、ワイヤレス ネットワークを監視して、不審なトラフィックやアクティビティを検出できます。 WIPS は通常、現在の無線 LAN ネットワーク インフラストラクチャをオーバーレイして実装されます。ただし、スタンドアロンで展開し、組織内でワイヤレスなしのポリシーを強制することもできます。
この IPS ソリューションは、誤って設定されたアクセス ポイント、サービス拒否 (DOS) 攻撃、ハニーポット、MAC スプーフィング、中間者攻撃などの脅威を防止できます。
#3.ネットワーク動作分析 (NBA)
NBA は異常ベースの検出に取り組み、ネットワークまたはシステム内の異常または通常の動作から不審な動作への逸脱を探します。したがって、それが機能するためには、NBA はトレーニング期間を経て、ネットワークまたはシステムの通常の動作を学習する必要があります。
NBA システムが通常の動作を学習すると、逸脱を検出し、疑わしいものとしてフラグを立てることができます。効果的ではありますが、トレーニング段階では機能しません。ただし、卒業すると、信頼できます。
#4.ホストベースの侵入防御システム (HIPS)
HIPS ソリューションは、重要なシステムの悪意のあるアクティビティを監視し、コードの動作を分析することで悪意のあるアクティビティを防止できます。それらの最も優れている点は、個人の身元や健康に関連する機密データをホスト システムから保護することとは別に、暗号化された攻撃も検出できることです。これは単一のデバイス上で動作し、多くの場合、ネットワーク ベースの IDS または IPS とともに使用されます。
IDS と IPS: 仕組みは?
IDS と IPS では、侵入の監視と防止にさまざまな方法が使用されます。
IDS はどのように機能しますか?
IDS は 3 つの検出方法を使用して、悪意のあるアクティビティのトラフィックを監視します。
#1.シグネチャベースまたは知識ベースの検出
シグネチャベースの検出は、マルウェアが使用するサイバー攻撃シグネチャやネットワーク トラフィック内のバイト シーケンスなどの特定のパターンを監視します。シグネチャによって脅威を識別するという点では、ウイルス対策ソフトウェアと同じように機能します。
シグネチャベースの検出では、IDS は既知の脅威を簡単に識別できます。ただし、この方法は以前の攻撃パターンまたはシグネチャにのみ基づいて機能するため、利用可能なパターンのない新しい攻撃には効果的ではない可能性があります。
#2.異常ベースまたは動作ベースの検出
異常ベースの検出では、IDS はシステム ログを監視し、アクティビティが異常であるかどうか、またはデバイスまたはネットワークに指定された通常の動作から逸脱しているかどうかを判断することにより、ネットワークまたはシステム内の違反と侵入を監視します。
この手法により、未知のサイバー攻撃も検出できます。 IDS は機械学習テクノロジーを使用して、信頼できるアクティビティ モデルを構築し、それを通常の動作モデルのベースラインとして確立して、新しいアクティビティを比較して結果を宣言することもできます。
これらのモデルは、特定のハードウェア構成、アプリケーション、システムのニーズに基づいてトレーニングできます。その結果、動作検出を備えた IDS は、シグネチャベースの IDS よりもセキュリティ特性が強化されています。場合によっては誤検知が発生することもありますが、他の面では効率的に機能します。
#3.評判に基づく検出
IDS はレピュテーション ベースの検出方法を使用し、レピュテーション レベルに基づいて脅威を認識します。これは、ネットワーク内の友好的なホストと、ネットワークにアクセスしようとしているホストとの間の通信を、違反または悪意のある行為に関する評判に基づいて識別することによって行われます。
ファイルを使用するユーザーから、ソース、署名、経過時間、使用状況統計などのさまざまなファイル属性を収集および追跡します。次に、統計分析とアルゴリズムを備えた評判エンジンを使用してデータを分析し、それが脅威であるかどうかを判断します。
レピュテーションベースの IDS は、主にマルウェア対策ソフトウェアまたはウイルス対策ソフトウェアで使用され、バッチ ファイル、実行可能ファイル、および安全でないコードを含む可能性のあるその他のファイルに実装されます。
IPS はどのように機能しますか?
IDS と同様に、IPS は他の方法に加えて、シグネチャ ベースや異常ベースの検出などの方法でも機能します。
#1.シグネチャベースの検出
シグネチャベースの検出を使用する IPS ソリューションは、ネットワーク内で送受信されるデータ パケットを監視し、以前の攻撃パターンまたはシグネチャと比較します。これは、悪意のあるコードを運ぶ脅威を含む既知のパターンのライブラリに対して動作します。エクスプロイトを発見すると、その署名を記録して保存し、さらなる検出に使用します。
シグネチャベースの IPS には次の 2 つのタイプがあります。
- エクスプロイトに対応したシグネチャ: IPS は、シグネチャをネットワーク内の脅威のシグネチャと照合することで侵入を識別します。一致するものが見つかると、それをブロックしようとします。
- 脆弱性に直面したシグネチャ: ハッカーはネットワークまたはシステム内の既存の脆弱性をターゲットにし、IPS は検出されない可能性のあるこれらの脅威からネットワークを保護しようとします。
#2.統計的異常ベースまたは動作ベースの検出
統計的な異常ベースの検出を使用する IDS は、ネットワーク トラフィックを監視して不整合や異常を見つけることができます。ネットワークまたはシステムの通常の動作を定義するベースラインを設定します。これに基づいて、IPS はネットワーク トラフィックを比較し、通常の動作から逸脱した不審なアクティビティにフラグを立てます。
たとえば、ベースラインは、ネットワークに使用される指定された帯域幅またはプロトコルである可能性があります。 IPS は、帯域幅が急激に増加しているトラフィックを検出した場合、または別のプロトコルを検出した場合、アラームをトリガーしてトラフィックをブロックします。
ただし、誤検知を避けるためにベースラインをインテリジェントに構成するように注意する必要があります。
#3.ステートフルプロトコル分析
IPS は、ステートフル プロトコル分析を使用して、異常ベースの検出と同様にプロトコル状態の逸脱を検出します。業界のリーダーやベンダーによって設定された一般的な慣例に従って、事前定義されたユニバーサル プロファイルを使用します。
たとえば、IPS はリクエストと対応するレスポンスを監視できますが、各リクエストは予測可能なレスポンスで構成されている必要があります。期待される結果から外れた応答にフラグを付けて、さらに分析します。
IPS ソリューションはシステムとネットワークを監視し、不審なアクティビティを検出すると、警告を発し、ネットワークへのアクセスを防ぐためにいくつかのアクションを実行します。その方法は次のとおりです。
- ファイアウォールの強化: IPS は、脅威がネットワークに侵入する道を開くファイアウォールの脆弱性を検出する可能性があります。セキュリティを提供するために、IPS はプログラムを変更し、問題を修正しながら強化する可能性があります。
- システム クリーンアップの実行: 悪意のあるコンテンツまたは破損したファイルにより、システムが破損する可能性があります。このため、システム スキャンを実行してクリーンアップし、根本的な問題を除去します。
- セッションの終了: IPS は、異常のエントリ ポイントを見つけてブロックすることで、異常がどのように発生したかを検出できます。このため、IP アドレスをブロックしたり、TCP セッションを終了したりする可能性があります。
IDS と IPS: 類似点と相違点
IDSとIPSの類似点
IDS と IPS の初期プロセスは似ています。どちらも、システムまたはネットワークの悪意のあるアクティビティを検出して監視します。それらの共通点を見てみましょう。
- 監視: IDS および IPS ソリューションをインストールすると、指定されたパラメーターに基づいてネットワークまたはシステムを監視します。セキュリティのニーズとネットワーク インフラストラクチャに基づいてこれらのパラメーターを設定し、ネットワークから送受信されるすべてのトラフィックを検査させることができます。
- 脅威の検出: どちらも、ネットワーク内を流れるすべてのデータ パケットを読み取り、それらのパケットを既知の脅威を含むライブラリと比較します。一致するものが見つかると、そのデータ パケットに悪意のあるものとしてフラグを立てます。
- 学ぶ: これらのテクノロジーは両方とも、機械学習などの最新テクノロジーを使用して、一定期間自分自身を訓練し、新たな脅威と攻撃パターンを理解します。こうすることで、現代の脅威に対してより適切に対応できるようになります。
- ログ: 不審なアクティビティを検出すると、応答とともにそれを記録します。これは、保護メカニズムを理解し、システムの脆弱性を発見し、それに応じてセキュリティ システムをトレーニングするのに役立ちます。
- アラート: IDS と IPS は、脅威を検出するとすぐにセキュリティ担当者にアラートを送信します。あらゆる状況に備え、迅速な行動を起こすのに役立ちます。
ここまでは IDS と IPS は同様に機能しますが、その後の動作が区別されます。
IDSとIPSの違い
IDS と IPS の主な違いは、IDS が監視および検出システムとして機能するのに対し、IPS は監視および検出とは別に予防システムとして機能することです。いくつかの違いは次のとおりです。
- 対応: IDS ソリューションは、ネットワークの悪意のあるアクティビティを監視および検出するだけの受動的なセキュリティ システムです。彼らはあなたに警告することはできますが、攻撃を防ぐために独自の行動を起こすことはありません。ネットワーク管理者または割り当てられたセキュリティ担当者は、攻撃を軽減するために直ちに措置を講じる必要があります。一方、IPS ソリューションは、ネットワーク内の悪意のあるアクティビティを監視および検出し、警告を発して攻撃の発生を自動的に防止するアクティブ セキュリティ システムです。
- 位置付け: IDS は、すべてのイベントを収集し、違反を記録および検出するためにネットワークのエッジに配置されます。このように配置することで、IDS はデータ パケットの可視性を最大限に高めることができます。IPS ソフトウェアはネットワーク ファイアウォールの内側に配置され、受信トラフィックに合わせて通信し、侵入をより効果的に防ぎます。
- 検出メカニズム: IDS は、悪意のあるアクティビティに対してシグネチャ ベースの検出、異常ベースの検出、およびレピュテーション ベースの検出を使用します。シグネチャベースの検出には、エクスプロイトに直面するシグネチャのみが含まれます。一方、IPS は、エクスプロイト対応シグネチャと脆弱性対応シグネチャの両方を使用したシグネチャ ベースの検出を使用します。また、IPS は統計的な異常ベースの検出とステートフル プロトコル分析の検出を使用します。
- 保護: 脅威にさらされている場合、セキュリティ担当者がネットワークを保護し、システムまたはネットワークを直ちにクリーンアップする方法を見つけ出す必要があるため、IDS はあまり役に立たない可能性があります。IPS は単独で自動防止を実行できます。
- 誤検知: IDS が誤検知を示した場合、何らかの利便性が得られる可能性があります。しかし、IPS がそうする場合、ネットワークに送受信されるすべてのトラフィックをブロックする必要があるため、ネットワーク全体に影響が及びます。
- ネットワーク パフォーマンス: IDS はインラインで展開されないため、ネットワーク パフォーマンスが低下しません。ただし、トラフィックに応じた IPS 処理により、ネットワーク パフォーマンスが低下する可能性があります。
IDS と IPS: サイバーセキュリティにとって IDS が重要な理由
オンラインで存在するほぼすべての業界で、データ侵害やハッキングのさまざまな事件が発生しているのを耳にするかもしれません。このため、IDS と IPS はネットワークとシステムを保護する上で重要な役割を果たします。その方法は次のとおりです。
セキュリティの強化
IDS および IPS システムは、悪意のある脅威の監視、検出、防止に自動化を使用します。また、機械学習や人工知能などの新興テクノロジーを使用してパターンを学習し、効果的に修正することもできます。その結果、追加のリソースを必要とせずに、システムはウイルス、DOS 攻撃、マルウェアなどの脅威から保護されます。
ポリシーの適用
組織のニーズに基づいて IDS と IPS を構成し、ネットワークに出入りするすべてのパケットが従う必要があるセキュリティ ポリシーをネットワークに適用できます。これは、システムとネットワークを保護し、誰かがポリシーをブロックしてネットワークに侵入しようとした場合に逸脱を迅速に発見するのに役立ちます。
企業コンプライアンス
現代のセキュリティ環境において、データ保護は重要です。このため、HIPAA や GDPR などの規制遵守機関が企業を規制し、顧客データの保護に役立つテクノロジーへの投資を徹底しています。 IDS および IPS ソリューションを実装することで、これらの規制を遵守し、法的問題に直面することはありません。
評判を救う
IDS や IPS などのセキュリティ テクノロジを導入することは、顧客のデータの保護に気を配っていることを示しています。それはあなたのブランドに顧客に良い印象を与え、業界内外での評判を高めます。さらに、機密性の高いビジネス情報の漏洩や評判の低下を引き起こす可能性のある脅威からも身を守ることができます。
IDS と IPS は連携できますか?
一言で言えば、そうです!
IDS と IPS の両方をネットワーク内に一緒に導入できます。 IDS ソリューションを導入して、ネットワーク内のトラフィックの動きを包括的に理解しながら、トラフィックを監視および検出します。また、ネットワークのセキュリティ問題を防ぐための積極的な手段として、システムで IPS を使用することもできます。
こうすることで、IDS と IPS を選択するオーバーヘッドを完全に回避することもできます。
さらに、両方のテクノロジーを実装すると、ネットワークを総合的に保護できます。以前の攻撃パターンを理解して、より適切なパラメータを設定し、より効果的に戦うためにセキュリティ システムを準備することができます。
IDS および IPS のプロバイダーには、Okta、Varonis、UpGuard などがあります。
IDS と IPS: どちらを選択する必要がありますか? 👈
IDS と IPS の選択は、組織のセキュリティ ニーズのみに基づいて行う必要があります。ネットワークの規模、予算、およびどれくらいの保護が必要かを考慮してネットワークを選択してください。
一般的に何が優れているかと問われれば、予防、監視、検出を提供する IPS でなければなりません。ただし、誤検知が発生する可能性があるため、信頼できるプロバイダーのより優れた IPS を選択すると役立ちます。
どちらにも長所と短所があるため、明確な勝者はいません。ただし、前のセクションで説明したように、信頼できるプロバイダーからのこれらのソリューションは両方とも利用できます。侵入検知と防御の両方の観点からネットワークに優れた保護を提供します。