侵入検知システムとは(前半)
リアルな世界で考えてみましょう。
もし、外部侵入を許さない建物に何者かがが侵入した場合。
どうなるのが普通ですか?
そうです。
アクション系映画などでおなじみ、警報装置が作動しますよね。
外部から侵入があるかどうか判別するには、監視カメラが必要です。
ネットワークの世界でも、この「監視カメラ」の役割を持つシステムがあります。
これは、侵入検知システム(IDS)と呼ばれ、ネットワーク型IDSとホスト型IDSの2種類があります。
今回は、この侵入検知システム(IDS)についてご紹介します。
ネットワーク型IDS(NIDS)とは?
まずネットワークに設置するタイプのIDSについて。
前提ですが、あくまでも「監視カメラ」ですので、脅威を防ぐことはできません。
NIDSはネットワークの通信を監視します。
代表例として、パターンマッチング方式が挙げられます。
クラッキングや不正アクセスに共通するパターンファイルと照らしあわせ、
怪しげな通信を検知する方法です。
もう一つの例としては、異常検知です。
明らかに膨大な通信がある、とか、通信プロトコルの仕様と違う、といった状態を「異常」と判定し、
検知する方法です。
ホスト型IDS(HIDS)とは?
次に、ホスト(コンピューター)に設置するタイプのIDSについて。
NIDSが玄関の通行人を監視する監視カメラだとすれば、
HIDSは自宅内のホームセキュリティーセンサーのイメージです。
HIDSは、コンピューター内部で何らかの異常操作が行われた場合、
アラートを出します。
代表的なソフトウェアとして、Tripwireが挙げられます。
意図しないファイルの作成・更新や操作、
意図しない時間帯のログインや権限付与操作などを検知することができます。
以上、2種類のIDSについてご紹介しました。
次回は、NIDSについてもう少し具体的なお話をします。
