IDS（侵入検知システム）

今回は、「IDS（侵入検知システム）」について。

IDSとは、「Intrusion Detection System」の略で、訳すと「侵入検知システム」となります。IDSは、その名の通り、回線などを監視することで、ネットワークへの侵入を検知するシステムです。役割は言わずもがな、ネットワークのセキュリティを担保するためのソフトウェアです。前回の豆知識で「Linuxでゲートウェイを構築する」という内容を取り上げましたが、そのゲートウェイに搭載することで、ネットワークのセキュリティを保つことができます。

代表的なオープンソースのIDSに、「Snort」があります。「Snort」は、主にネットワークを流れるパケットを監視し、不正が疑われるパケットを発見した場合に、管理者に通知する形で侵入を検知します。不正侵入が疑われる手段をパターン化しておき、パケットをパターンと比較して、不正の有無を
判定します。

一方、「Tripwire」というソフトウェアもIDSに分類されることがあります。
こちらはネットワークではなく、ファイルシステムをチェックし、ファイルシステムに改ざんがないか？をチェックします。ネットワークを監視するわけではありませんが、侵入された場合、高い確率でファイルシステムに何らかの書き換えが加わるため、ファイルシステムを監視すれば、侵入を検知することが可能となります。

IDSは非常に強力なツールであるという側面もある一方、設定が難しいという一面もあります。設定を「厳しく」すると、誤検知、すなわち「不正でないのに不正とみなしてしまう」ケースが増えます。一方、設定を「ゆるく」すると、不正の見逃しが出てしまいます。適切に設定するのが難しく、またケースによって「適切な設定」が異なるので、どうしても「こうすればOK」というのがなく、手間がかかります。

とはいえ、非常に強力なツールであることに違いはありません。さまざまな知識を駆使して、使いこなしに挑戦してみてください。