ネットワークセキュリティ
ホスト型 IDS(HIDS)
別称: HIDS, ホスト IDS
定義
サーバやエンドポイントに導入された侵入検知エージェントで、ローカルのファイル・プロセス・ログ・システムコールを監視して悪意ある活動を検出する。
ホスト型侵入検知システム(HIDS)は OS 内部でエージェントとして動作し、ファイル整合性、レジストリ変更、プロセス生成、システムコール、認証イベント、ログなどローカルなアーティファクトを監視して、ネットワーク上には現れない侵入を検知します。代表例は OSSEC、Wazuh、Tripwire、AIDE などで、現代の EDR / XDR は HIDS をさらに豊富なテレメトリ、振る舞い分析、応答機能で拡張しています。HIDS は NIDS では見えないもの、すなわちホスト上の操作・暗号化されたローカル活動・侵害後の挙動を捉えられます。エージェント管理の負荷、混雑したサーバでの性能影響、ホスト完全侵害時の改ざんリスクが課題であり、ログを外部に安全に転送・保管することが重要です。
例
- Wazuh エージェントが /etc/cron.d 配下に作られた不審な cron ジョブを警告する。
- OSSEC が /usr/bin の重要バイナリのチェックサム変化を検知する。
関連用語
侵入検知システム(IDS)
ネットワークやホストの活動を監視し、悪意のある挙動を検出してアラートを発する受動的なセキュリティ統制。トラフィックは遮断しない。
ネットワーク型 IDS(NIDS)
ネットワークセグメントから取得したトラフィックを解析し、悪意あるパターンやポリシー違反を検知する侵入検知センサー。
EDR(エンドポイント検知・対応)
プロセス・ファイル・レジストリ・ネットワーク活動を継続的に記録し、エンドポイント上の脅威を検知・調査・対応するエンドポイントセキュリティ技術。
シグネチャベース検知
観測したトラフィック・ファイル・挙動を、既知の悪性パターン(シグネチャ)のデータベースと突き合わせて悪意ある活動を検出する手法。
アノマリベース検知
正常な活動のベースラインを構築し、そこからの逸脱を潜在的に悪意があるものとして検出するアプローチ。
Log Analysis
Log Analysis — definition coming soon.