ネットワークセキュリティ
ネットワーク型 IDS(NIDS)
別称: NIDS, ネットワーク IDS
定義
ネットワークセグメントから取得したトラフィックを解析し、悪意あるパターンやポリシー違反を検知する侵入検知センサー。
ネットワーク型侵入検知システム(NIDS)は、SPAN ポート、ネットワーク TAP、パケットブローカ、仮想 TAP などからミラーリング/分岐されたトラフィックを受け取り、シグネチャ(Snort/Suricata ルール)、プロトコル解析(Zeek)、統計モデルで分析します。エンドポイントごとにエージェントを入れずに広い可視性を得られ、南北・東西のトラフィック監視に有効で、SOC や脅威ハンティングの基盤センサーとなります。現代の通信は TLS で暗号化されている割合が高いため、TLS メタデータ、JA3/JA4 フィンガープリント、フローの振る舞い解析への依存が増しています。TAP 設計、キャプチャ容量、時刻同期、SIEM や NDR との連携を整えて初めて十分に機能します。
例
- Suricata が SPAN ポート上で ET CINS ルールセットを使い、既知の C2 IP に対してアラートを発する。
- Zeek スクリプトが DNS クエリラベルのエントロピー解析により DNS トンネリングを検知する。
関連用語
侵入検知システム(IDS)
ネットワークやホストの活動を監視し、悪意のある挙動を検出してアラートを発する受動的なセキュリティ統制。トラフィックは遮断しない。
ホスト型 IDS(HIDS)
サーバやエンドポイントに導入された侵入検知エージェントで、ローカルのファイル・プロセス・ログ・システムコールを監視して悪意ある活動を検出する。
侵入防止システム(IPS)
データパスにインラインで配置され、悪意のあるトラフィックを検知してリアルタイムに遮断・リセット・浄化する能動的なセキュリティ統制。
ディープパケットインスペクション(DPI)
ヘッダだけでなくパケットのペイロード全体を検査し、アプリケーション・コンテンツ・脅威を識別する技術。
NDR(ネットワーク検知・対応)
復号トラフィック、メタデータ、フローを含むネットワーク通信を行動分析と機械学習で解析し、脅威の検知と対応のオーケストレーションを行うネットワークセキュリティ技術。
シグネチャベース検知
観測したトラフィック・ファイル・挙動を、既知の悪性パターン(シグネチャ)のデータベースと突き合わせて悪意ある活動を検出する手法。