不正侵入検知（IDS）とは？仕組みと種類をわかりやすく解説

インターネットに接続された企業のネットワークは、常に外部からの攻撃にさらされています。サイバー攻撃の手口は年々巧妙になっており、「攻撃を完全に防ぐ」という発想だけでは、もはや十分なセキュリティとは言えない時代になっています。

そこで重要になるのが、「侵入を検知する」という考え方です。ファイアウォールが不審な通信を「入口でブロックする門番」だとすれば、不正侵入検知システム（IDS：Intrusion Detection System）は、ネットワーク内部に設置された「監視カメラ」のような存在です。

この記事では、IDSとは何か、どのような仕組みで不正を検知するのか、そして実際の運用においてどのような形で使われるのかについて、わかりやすく解説します。

https://unsplash.com

IDSとは何か——「検知」に特化したセキュリティの仕組み

IDS（Intrusion Detection System）とは、ネットワークやシステムへの不正アクセス・攻撃を検知し、管理者に通知することを目的としたシステムです。

ここで強調しておきたいのは、IDSはあくまでも「検知・通知」に特化したシステムであるという点です。ファイアウォールは不審な通信を遮断・ブロックするという「防御」の役割を担いますが、IDSは通信を止めるのではなく、異常を検知して管理者に知らせることが主な役割です。

なぜ「検知」だけに特化したシステムが必要なのかと疑問に思う方もいるかもしれません。しかし、攻撃者はファイアウォールをすり抜ける手口を常に研究しています。あらゆる攻撃を入口で完全にブロックすることは現実的に難しく、「万が一侵入されたとしても、いち早く気づいて対処する」という層を設けることが、実践的なセキュリティ設計の考え方です。IDSはまさにその役割を担っています。

なお、IDSに検知だけでなく遮断機能も加えたものをIPS（Intrusion Prevention System）と呼びます。IDSとIPSはよく対比されますが、この記事ではIDSの仕組みに焦点を当てます。

IDSの2つの検知方式——アノマリ型とシグネチャ型

IDSが「不正」を検知するための方式には、大きく2種類あります。「シグネチャ型」と「アノマリ型」です。この2つは、何を基準に「異常」と判断するかという点で根本的に異なります。

シグネチャ型

シグネチャ型は、過去に確認された攻撃パターンをデータベース化し、そのパターンと照合することで不正を検知する方式です。1つの攻撃パターンが1つの「シグネチャ」として登録・管理されており、ネットワークを流れる通信がそのシグネチャに一致した場合に検知・アラートを発します。

シグネチャ型の強みは、既知の攻撃に対して高い精度で検知できる点です。誤検知が少なく、動作も比較的シンプルです。一方で、シグネチャとして登録されていない新しい攻撃手法（ゼロデイ攻撃など）には対応できないという弱点があります。データベースを常に最新の状態に保つ運用も必要です。

アノマリ型

アノマリ型は、これとは異なるアプローチを取ります。まず「正常な状態」を定義し、そこから逸脱した動きを異常として検知します。具体的には、以下のような方法が用いられます。

通常のプロトコル手順から外れた通信を異常とする方法（プロトコルアノマリ）、ユーザーやシステムの通常の振る舞いをプロファイルとして記録し、そこから外れた動きを検知する方法、あらかじめ設定したしきい値を超えた通信量やアクセス頻度を異常とみなす方法などがあります。また、本来使用されていないIPアドレス（ダークIPアドレス）に対してスキャンや攻撃が発生した場合、それをワームに感染したPCとみなして隔離するという手法もアノマリ型の考え方に基づいています。

アノマリ型の強みは、シグネチャに登録されていない未知の攻撃にも対応できる可能性がある点です。一方で、「正常」の定義が難しく、誤検知（正常な通信を異常と判断してしまうこと）が発生しやすいという課題もあります。

実際のIDSでは、この2つの方式を組み合わせて運用するケースが多くあります。

ネットワーク型とホスト型——どこで監視するかの違い

IDSはその設置場所によっても分類されます。「ネットワーク型IDS」と「ホスト型IDS」です。

ネットワーク型IDSは、ネットワーク上を流れるパケット（通信データ）全体を監視し、不正な通信を検知します。ネットワークセグメント単位で設置され、そのセグメントを通過するすべての通信を対象とするため、広範囲の監視が可能です。

ネットワーク型IDSは通常、ステルスモードで運用されます。具体的には、監視用のネットワークインターフェイスにIPアドレスを割り当てず、いかなるプロトコルスタックもバインドしない状態で、インターフェイスをプロミスキャスモード（無差別モード）に設定して運用します。この状態では、外部の攻撃者からはIDSの存在自体を認知することができません。IDSの存在が攻撃者に知られると、IDS自体が攻撃対象となってしまうため、この隠蔽は重要な運用上の原則です。また、管理用の専用ネットワークセグメントを別途用意し、ファイアウォールを経由せずに管理できる構成が推奨されます。

ホスト型IDSは、監視対象のサーバーや端末それぞれに導入し、自分宛てのパケットとログ情報を監視して攻撃を検知するシステムです。個別のシステムに対してより詳細な監視が可能ですが、監視が必要なすべてのシステムにインストールする必要があるため、管理の手間が大きくなりやすいという特徴があります。また、エンドユーザーの端末に余分なソフトウェアを導入することへの抵抗感も生まれやすく、実運用上の課題となることもあります。

こうした理由から、一般的にはネットワーク型IDSを主軸に置き、特に重要なシステムにはホスト型を補完的に組み合わせる構成が取られることが多いです。

ハニーポットとデコイ——攻撃者を「おびき寄せる」逆転の発想

セキュリティの世界には、攻撃を「防ぐ」「検知する」という発想とはまったく異なるアプローチがあります。それが「ハニーポット」と「デコイ」です。

ハニーポットとは、ネットワーク上にわざとセキュリティホールがあるように見せかけた、脆弱なシステムを設置する手法です。攻撃者はそのシステムを本物の標的と誤認して攻撃を仕掛けてきます。ハニーポットは実際にシステムへの侵入を許す設計になっており、攻撃者がどのような手順でどのような手口を使うのかを観察・記録することが目的です。

なぜ「侵入を許す」のかというと、攻撃手法のデータを取得することに意義があるからです。本物のシステムへの攻撃を未然に防ぎながら、攻撃者の動きを研究することで、今後のセキュリティ対策に活かすことができます。まさに「おとり捜査」に近い発想です。

デコイは、ハニーポットと似た考え方を持ちながら、一線を画す点があります。デコイは攻撃者を引きつけることは同様ですが、システムへの実際の侵入までは許しません。あくまでも攻撃の目線を本物のシステムから引き離すことが目的であり、囮としての役割に徹します。

ハニーポットとデコイの違いを一言で表すなら、「攻撃者を研究するための罠」がハニーポット、「攻撃者を引きつけて本物を守るための囮」がデコイと言えるでしょう。

この2つの手法は、一見すると「リスクを取りに行く」ように思えるかもしれません。しかし実際には、攻撃者に気づかれずに情報を収集したり、本物の資産への攻撃を分散させたりする、高度かつ実践的なセキュリティ戦略の一部として機能しています。特にハニーポットで得られた攻撃データは、前述のシグネチャ型IDSのデータベース更新にも活用できるという点で、攻防の両面にわたる価値を持っています。

IDSを知ることで何が変わるか

あなたが所属する組織のネットワークに、IDSは導入されているでしょうか。あるいは、「ファイアウォールがあるから大丈夫」という認識で止まっていないでしょうか。

セキュリティは「防御」だけでは完結しません。攻撃者は常に防御の隙間を探しており、完璧な防御というものは現実には存在しないと言っても過言ではありません。だからこそ、侵入された際にいち早く気づく仕組みとして、IDSのような「検知」の層を持つことが重要です。

防御と検知の両輪をどう設計するか。その問いは、規模の大小を問わず、ネットワークを持つすべての組織に共通するものです。

まとめ

IDSは、ネットワークやシステムへの不正侵入を「検知・通知」することに特化したセキュリティシステムです。検知方式にはシグネチャ型とアノマリ型があり、設置場所によってネットワーク型とホスト型に分類されます。さらにハニーポットやデコイといった手法は、攻撃者を逆に利用するという発想でセキュリティを強化します。

「完全な防御」が難しい現代において、検知・観察・対処という層を持つことの重要性は、今後ますます高まっていくでしょう。