🎓 レベル:標準 | 重要度:A(必須) 📎 前提:ファイアウォールとセグメンテーション
要点(BLUF)
- ファイアウォールが「予防」なら、IDS/IPS は「検知」の層。破られた前提で兆候に気づくのが役割(多層防御)。
- IDS は検知して通報、IPS は検知して遮断。手法はシグネチャ型(既知パターン照合)と異常型(平常からの逸脱)。
- 検知は必ず誤検知(false positive)と見逃し(false negative)のトレードオフを伴う。閾値の調整=チューニングが運用の肝。
概念:予防の次は「気づく」こと
完全な予防は存在しません(リスク評価と多層防御)。だから「破られたとき・破られかけたときに気づく」検知層が要ります。ネットワークでそれを担うのが **IDS(侵入検知システム)**と **IPS(侵入防止システム)**です。
- IDS(Detection):怪しい通信を見つけて通報する(通信は止めない)。
- IPS(Prevention):見つけたうえで遮断する(インラインに置く)。
検知して人に知らせるか、自動で止めるか。止める場合は誤検知で正規通信を切るリスクがあるため、配置(経路上か脇か)を慎重に選びます。
仕組み:シグネチャ型と異常型
| 方式 | 検知の根拠 | 長所 | 短所 |
|---|---|---|---|
| シグネチャ型 | 既知の攻撃パターンと照合 | 既知に正確・誤検知少 | 未知(ゼロデイ)に弱い |
| 異常型(アノマリ) | 平常時のモデルからの逸脱 | 未知も捉えうる | 誤検知が出やすい・学習が要 |
シグネチャ型はウイルス対策の定義ファイルに似ており、既知の手口には強いが新種に弱い。異常型はまず「平常(ベースライン)」を学習し、そこから外れた振る舞いを疑います。未知の攻撃も拾える可能性がある一方、平常の幅が広いと誤検知が増えます。異常検知の数理的手法は機械学習分野(異常検知)と接続します。両者を併用するのが実務の定石です。
図解:検知のトレードオフ
flowchart TD
T["通信・イベント"] --> D{"検知ロジック(シグネチャ/異常)"}
D -->|"攻撃と判定"| ALERT["アラート発報(IDS)または遮断(IPS)"]
D -->|"正常と判定"| PASS["通過"]
ALERT -. "正常を攻撃と誤る" .-> FP["誤検知(運用負荷・正規遮断)"]
PASS -. "攻撃を正常と見逃す" .-> FN["見逃し(侵入を許す)"]
閾値を厳しくすると見逃しは減るが誤検知が増え、緩めるとその逆になります。ゼロにはできないので、運用で釣り合いを取ります。
防御側の使い方/設定
- シグネチャ+異常を併用:既知に強い前者と未知に届きうる後者を組み合わせる。
- まず IDS(検知)から、慣れたら IPS(遮断)へ:いきなり自動遮断は誤検知で業務を止めうる。観測してチューニング後に遮断へ。
- チューニングを継続:誤検知の多いルールを抑え、見逃しの穴を埋める。環境ごとに平常は違う。
- 検知を運用につなぐ:アラートは SIEM(ログと監視(SIEM/SOC))へ集約し、相関分析とインシデント対応(インシデント対応のプロセス)に流す。アラートを出しっぱなしにしない。
- 暗号化通信の扱い:TLS で中身が見えない場合は、メタデータ・エンドポイント側の検知(EDR)で補う。
なぜ安全か:予防の穴を時間軸で埋める
検知層が効くのは、予防が破られてから被害が確定するまでの「間」に気づけるからです。早く気づくほど封じ込め(インシデント対応のプロセス)が間に合い、被害が小さく済みます。シグネチャと異常の併用は、既知・未知の両方に網を張る冗長性です。検知単体では止められなくても、対応プロセスと結ぶことで多層防御が完成します。
仕組みの直観
IDS は防犯カメラと警備員、IPS は自動で閉まるシャッターです。シグネチャ型は「指名手配写真と照合する」方式で既知の不審者に強く、異常型は「いつもと違う動き(深夜に大量搬出)」を疑う方式で未知にも反応します。シャッター(IPS)は強力ですが、来客を不審者と誤れば正規のお客を締め出すので、感度の調整が欠かせません。
⚠️ よくある誤解・設定ミス
- 「IDS/IPS があれば侵入されない」:検知層であって万能の壁ではない。予防・対応と組み合わせる。
- 誤検知放置でアラート疲れ:本当の警報が埋もれる。チューニングで誤検知を減らす。
- いきなり全自動遮断:誤検知で業務停止(可用性事故)。観測→調整→遮断の順に。
- アラートを対応に繋げない:検知しても動かなければ意味がない。SIEM・IR と連動させる。
- 暗号化で中身が見えない前提を無視:可視性の穴をエンドポイント検知などで補う。
対応 lab
実トラフィックの検知は環境依存かつスコープ外のため lab は置きません。異常型の土台となる「平常からの逸脱」の考え方は機械学習分野の異常検知ノートへリンクします。
関連
- 予防層との組み合わせ → ファイアウォールとセグメンテーション
- 検知の集約と相関 → ログと監視(SIEM/SOC)
- 検知後の動き → インシデント対応のプロセス