DOS攻撃も検知！ファイアウォールをナイスアシスト：侵入検知システムIDS

はい、こんにちは！ファイアウォールに関する記事を連続で書いております。だんだん、ファイアウォール自体というよりは、次世代ファイアウォールの領域に入ってきております。

前回は、プロキシサーバについてお話ししました。プロキシサーバは、アプロケーションゲートウェイとも呼べるセキュリティ機能を持つのでしたね。

さて、今回はファイアウォールと組み合わせて利用することが重要である、侵入検知システム「IDS」（Intrusion Detection System）のお話です。外部からの脅威への対策は、ファイアウォールだけでは足りないのです。

さあ、IDSがどんな仕組みなのか見てみることにしましょう！

侵入検知システム（IDS）とは何か？

侵入検知システム（IDS）という言葉を聞いて何を思い浮かべるでしょうか？家に不審者が現れると通報してくれるサービスでしょうか？私も同じですｗ。

しかし、サイバーセキュリティにおけるIDSは、ネットワークやシステムへの不正なアクセスや異常行動を検知し、警告してくれる機器やソフトウェアのことです。

これにより、攻撃、侵害のリスクを軽減します。ふむ、頼もしいですね！

DOS攻撃とIDS

「それならファイアウォールを使えばいいのでは？」と思いますよね？でもそうではありません。

例えば、ファイアウォールは「DOS攻撃」に対応できないことがあります。

DOS攻撃（Denial of Service Attack）は、サーバーなどに対して大量のリクエストを送り、正規のサービスを妨害するサイバー攻撃でしたね。ファイアウォールは、ACLで許可されているものは通す性質のものです。攻撃パケットであっても条件に合致すれば、通してしまいます。

IDSは、このような異常なトラフィックパターンを検知し、早期に警告を発することで、DOS攻撃による被害を軽減できます。

具体的には、トラフィックを監視し、通常と異なる大量のデータフローがある場合にアラートを出します。これにより、システム管理者は迅速に対応することが可能なんですね。

ホスト型（HIDS）とネットワーク型（NIDS）

IDSには大きく2種類あります。ホスト型（HIDS; Host based IDS）とネットワーク型（NIDS; Network base IDS）です。

ホスト型侵入検知システム（HIDS）は、個々のデバイス上で、システムログ、ファイルの変更、異常な振舞いをを監視するタイプです。

一方、ネットワーク型侵入検知システム（NIDS）は、ネットワーク全体のトラフィックを監視し、パケットの分析を行います。ここでいうパケットは、ペイロード部を含みますよ。他方、ファイアウォール（L3やL4）は、ヘッダだけを見て監視するのでしたね～。

また、NIDSが監視できる範囲にも注目しましょう。NIDSが監視できるのは、コリジョンドメイン内だけです。スイッチやルータを超えて監視はできません。届かないパケットは監視しようがありません。

以上が、HIDSとNIDSです。一般に、HIDSは内部からの脅威や特定のシステムの異常に強く、NIDSは外部からの攻撃やネットワーク全体のセキュリティ侵害に効果的です。組み合わせて使うのが大事ですね！

IDSの運用モードの違い

IDSは、インラインモードとプロミスキャスモードのいずれかで運用されます。これまた聞きなれない用語ですね…。

インラインモードでは、IDSはネットワークの主要な経路に配置されます。「関所」みたいな設置方法です。簡単に絵にすると次の通りです（簡単すぎるな…。）

インラインモード

一方、プロミスキャスモードでは、スイッチのミラーポート（別のポートの送受信データを複製して送出するポート。監視用です）にIDSを接続して使うものです。

プロミスキャスモード

通りふさがる形でなく、近くでじっと見守るイメージですね。

ちなみに、プロミスキャス（Promiscuous）という単語は、「分別なく受け入れること」を本来意味します。ミラーポートで片っ端からデータを受け入れるからでしょうね。ただ、この単語を人に使ってはいけませんよ～。「えり好みしないで誰でもＯＫ」という意味に取られますからね。

はい、本日は、ここまで～。今回は、侵入検知システムIDSについて紹介しました。が、終わらなかった！もう少し話をしたいです。

次回は、ＩＤＳの続きをさせてください。

では！