「脅威か否か」の見極めがキモでした：侵入検知システムIDS（続き）

2023年12月27日 12:00

こんにちは！ファイアウォール関連技術をご紹介中です！

前回は、侵入検知システム「IDS」のお話しをしました。DoS攻撃など、ファイアウォールでは対応しきれない攻撃を検知してアラートを出す機器でした。設置方法などにいくつかのパターンがありましたね。

さて、今回は、「IDS」の続きです。前回、紹介しきれなかった事項をご紹介しつつ、次に紹介する侵入防止システム「IPS」につなげます。

さっそくいってみましょう！

異なる検知戦略２種

IDS検知の検知方法には、大きく次の2種類あります。

文献によって呼び方が微妙に異なることがありますが、指し示していることは大差ありません。

不正検知法は、DoS攻撃やポートスキャンなど、すでに既知となっている攻撃パターン（シグネチャ）を大量にデータベースに保存し、それと照らし合わせて一致すればアラートを発する方法です。

強盗防止に例えましょうか。お店に「フルフェイスのヘルメットを被った人」が入ってきたから通報する、などです（実際は分かりませんけども）。

ちょっと注意しておきたいのは、IDSでいうシグニチャは、ウィルス対策ソフトの「パターンファイル（ウィルス定義ファイル）」とは異なることです。パターンファイルほど明確に攻撃を同定できるわけでなく、検知・誤検知に幅が生じます（次に解説しますよ）。

異常検知法は、ネットワークの通常の振る舞いと異なるパターンを検知します。

強盗防止でいえば、（服装は普通だけれども）「監視カメラを見上げる」「キョロキョロする」を繰り返していると、通報する、といったところでしょうか。

ただ、異常検知法を使うには、IDSにネットワークの正常状態を学習させる必要があります。「このネットワーク」において、何が正常なのかを知らなければ、異常を知ることはできないためです。導入すればすぐに使えるものではないんですね。

なお、不正検知法は、既知の攻撃パターンを検知するものであり、未知のものを取りこぼします。ですから、不正検知法と異常検知法は、どちらかを選ぶものではなく、補完する関係にあります。

IDSの運用において、フォールスポジティブ（誤った警告）とフォールスネガティブ（見逃し）は避けられない課題です。

フォールスポジティブ（偽陽性）は、危険でないものを危険とアラートしてしまうことです。調べてみて「問題なさそうだね、よかったね。」で終わるものです。空騒ぎです。頻度次第ですが、そこまで深刻な誤りではありません。

※ただ、IPSの場合は、正常なトラフィックが誤って遮断される可能性があるので注意が必要です。

一方、フォールスポジティブ（偽陰性）は、危険なものを問題ないと認識してアラートを発しないことです。実際の脅威を見逃してしまうことです。この点、フォールポジティブより深刻です。

このように、誤検知には2種類あるのですが、管理者は、これらが起こらないようにIDSの精度を高めるための微調整が必要になります。

はい、本日はここまで！2回にわたって侵入検知システムIDSをご紹介しました。

次回は、IDSと対をなすものであり、IDSよりも積極的に振る舞う、侵入防止システムIPSについてお話ししましょう！

では！