ネットワークセキュリティ
侵入検知システム(IDS)
別称: IDS
定義
ネットワークやホストの活動を監視し、悪意のある挙動を検出してアラートを発する受動的なセキュリティ統制。トラフィックは遮断しない。
侵入検知システム(IDS)は、トラフィック・ログ・システムコールを監視し、既知のシグネチャ・統計的な異常・ポリシー違反に合致する活動を検出するとアラートを生成します。IDS は SPAN/TAP ポートに接続するネットワーク型(NIDS)と、エンドポイントに導入するホスト型(HIDS)があり、アラートは通常 SIEM に集約され、相関分析・トリアージ・インシデント対応に利用されます。検知のみで遮断は行わないため、可用性へのリスクが低く、ハイスループットで可用性重視の環境にも導入しやすい一方、効果を引き出すにはシグネチャの最新化、丹念なチューニング、脅威インテリジェンスによる補強、成熟したアナリスト運用が必要です。
例
- Suricata が SPAN ポートを監視し、Log4Shell の悪用パターンに対してアラートを発する。
- Linux ホストの OSSEC が /etc/passwd の変更を検知し SIEM へアラートを送る。
関連用語
侵入防止システム(IPS)
データパスにインラインで配置され、悪意のあるトラフィックを検知してリアルタイムに遮断・リセット・浄化する能動的なセキュリティ統制。
ホスト型 IDS(HIDS)
サーバやエンドポイントに導入された侵入検知エージェントで、ローカルのファイル・プロセス・ログ・システムコールを監視して悪意ある活動を検出する。
ネットワーク型 IDS(NIDS)
ネットワークセグメントから取得したトラフィックを解析し、悪意あるパターンやポリシー違反を検知する侵入検知センサー。
シグネチャベース検知
観測したトラフィック・ファイル・挙動を、既知の悪性パターン(シグネチャ)のデータベースと突き合わせて悪意ある活動を検出する手法。
アノマリベース検知
正常な活動のベースラインを構築し、そこからの逸脱を潜在的に悪意があるものとして検出するアプローチ。
SIEM
企業全体のセキュリティテレメトリを集約・正規化・相関分析し、検知・調査・コンプライアンス・レポートを支援するプラットフォーム。