TOPNetwork > 侵入検知システムの基本と現状、そして今後(上)

Network

侵入検知システムの基本と現状、そして今後(上)

2018/03/12

Mary K. Pratt CSO

 侵入検知システム(IDS)は、ネットワーク上を流れるトラフィックやシステムの通信を監視して、疑わしい挙動や既知の脅威が含まれていないかどうかを調べ、見つけた場合は警告を通知する。企業のIT部門は、自社のIT環境で生じている不審な動きを把握する目的でIDSを導入する。

 「IDSの役割を大まかに言えば、ネットワーク侵入が起きている可能性をIT担当者に伝えることだ。警告で通知する情報としては、侵入の発信元のアドレス、標的や侵入先のアドレス、疑われる攻撃の種類などが一般的だ」。米AT&Tのセキュリティプラットフォーム担当バイスプレジデント、Brian Rexroad氏はそのように説明する。

 IDSのプログラムは、トラフィックを分析して、各種サイバー攻撃の兆候を示すパターンが含まれているかどうかを特定する。

 IDSで特定できるのは、「トラフィックのうちで、普遍的に悪質と見られるものや、注目すべきと考えられるものだ」と、米SANS Instituteのシニアインストラクター、Judy Novak氏は述べる(Novak氏は、「SANS SEC503:Intrusion Detection In-Depth」の作者でもある)。例えば、悪質なソフトウエアをダウンロードするフィッシング攻撃のリンクなどである。加えて、IDSは、特定のソフトウエアにとって問題をはらんでいるトラフィックを検知する。例えば、社内で使用しているブラウザー「Firefox」を標的にした既知の攻撃を検知した場合には、IT部門に警告を伝える(だが、社内で使用しているのが別のブラウザーの場合には、警告は必要ない)。

↑ページ先頭へ